|
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" Hallo zusammen, seit 2 Tagen habe ich nun auf den unterschiedlichsten Seiten (Facebook, Google, Sport1, so ein Zeug...) das Problem, dass ich entweder auf eine Seite "gostats.com" weitergeleitet werde (sehe ich unten in der Statusleiste), oder neuerdings werden auch Werbungen irgendwann eingeblendet, wo dann oben steht "served by Yourprofitclub". Nach einigen Recherchen konnte ich zumindest das Problem mit "gostats.com" irgendwie beheben. Ich habe Malwarebytes' Anti-Malware installiert und gefundene Sachen gelöscht, ich habe SUPERAntiSpyware installiert und Vorkommnisse gelöscht, ich habe einen "ATF Cleaner" im gesicherten Modus von WinXP laufen lassen und Sachen entfernen lassen. Dann bin ich endlich mal, weil ich mich an Hijackthis erinnert habe, auf dieses (endlich mal deutschsprachige) Board gestoßen. Gerne hätte ich auch zu dem gleichen Problem (http://www.trojaner-board.de/95907-i...seiten-um.html) geantwortet, aber anscheinend war mir das nicht erlaubt, also mache ich ein neues Fass auf. Nun bin ich letztendlich auch der Anleitung des CCleaners gefolgt und habe anschließend einen Scan mit ComboFix gemacht. Ob sich mittlerweile etwas geändert hat, keine Ahnung, jedoch habe ich die wage Vermutung, dass das Problem immer noch nicht behoben ist. Denn auch nach mehrfachen Durchläufen mit Anti-Spyware und SUPERAntiSpyware kam es später trotz der Isolation und Löschung der vermeintlichen Viren/Malware trotzdem wieder zu Vorkommnissen, die wieder gleich aussahen. Ich stehe also wieder am Anfang und ich kann auch nicht alle 4 Std einen kompletten Scan laufen lassen, um dann 1 Std wieder frei surfen zu können. Im Anhang findet ihr Logdateien (ja, auch Hijackthis, wenn es vielleicht was nützt...), in der Hoffnung, dass man da evtl was findet... In der Hoffnung, dass mir hier jemand helfen kann um die Malware endlich mal in den Griff zu bekommen, verbleibe ich mit vielen Grüßen. |
bitte combofix niemals nicht mehr ohne anweisung nutzen. dieses tool ist nur unter anleitung eines erfahrenen helfers einzusetzen da es probleme geben kann öffne malwarebytes logdateien, poste alle logs. start programme zubehör editor kopiere rein Killall:: Rootkit:: c:\windows\system32\bdb88c09.exe c:\windows\system32\iwteamzygwd.exe c:\windows\system32\Langi.dll datei speichern unter, ort dort wo sich combofix.exe befindet, dateityp alle dateien name cfscript.txt ziehe cfscript auf combofix programm startet log posten |
Ich habe ComboFix ja nur ausgeführt, weil es im anderen Thread mit den gleichen Symptomen als Lösung stand. Anbei die Log-Dateien vom 2. Durchlauf ComboFix und Malware... Danke schonmal für die Antwort! |
update mal malwarebytes und mach nen vollständigen scan, log posten, funde löschen |
Hey, hab nochmal n Scan gemacht, er hat diesmal nichts gefunden, lag aber wahrscheinlich daran, dass ich vorher n Quick-Scan gemacht hab und er da schon was gefunden hatte (siehe frühere LOG). Das Problem besteht dennoch. Immer wenn er was bei nem Scan findet habe ich 1-2 Std Ruhe, dann bekomme ich auf jeglichen Seiten zu irgendwelchen Zeitpunkten verschiedenste Werbungen eingeblendet :/ |
poste bitte auch die alten logs von malwarebytes, zu finden unter logdateien. |
Ich habe bereits alle 4 gepostet, siehe den Post vom 01.03.2011, 21:39. Mehr habe ich nicht, sorry... |
Ich könnte noch 2 Log vom SUPERAnti-Spyware anbieten, falls das was hilft. Glaube aber mittlerweile, dass nur eine Neuinstallation das Problem behebt :( |
poste einen gmer report http://www.trojaner-board.de/74908-a...t-scanner.html |
Soo, anbei der Log vom GMER Scan. Habe übrigens grad auch hier just auf dieser Forums-Seite Werbung eingeblendet bekommen... |
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? nutzen und log posten |
1 Threat gefunden: Service name: sptd Service type: Kernel driver (0x1) Service start: Boot (0x0) File: C:\WINDOWS\system32\Drivers\sptd.sys MD5: cdddec541bc3c96f91ecb48759673505 Habe das hier abgeschrieben, weil unten in der Log-Datei ja nur steht, dass ich die Bereinigung übersprungen habe (stand ja so in der Anleitung) |
ok das ist nichts gefährliches. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Done. Musste die OTL.txt splitten, da sie zu groß für einen Upload war. |
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com warum sind dieser und weitere in deiner hosts zu finden? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board