Keine websearch in Firefox & IE: syntax error hxxp://johndoeppctest.com/ads_prod; (Warnung Telekom)
 

Hallo,

wie schon von Realbiker gepostet habe auch ich das Problem, dass weder mit Firefox noch mit dem Internet Explorer eine google websearch möglich ist.
Opera funktioniert hingegen scheinbar problemlos.

In Firefox erscheint folgende Fehlermeldung:
Fehler: syntax error

Quelldatei: hxxp://johndoeppctest.com/ads_prod.php
Zeile: 1
Quelltext:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "hxxp://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">


Gestern erhielt ich dann von der Telekom eine mail, die mich darauf hinwies, dass von meinem Zugang unerwünschte Zugriffe auf fremde Rechner erfolgt sind...

Verschiedenste Versuche meinerseits den Rechner von dem Übeltäter zu befreien u.a. mit spybot, antivir und malwarebytes sind leider fehlgeschlagen (keine Funde).

Nun hoffe ich hier einen freundlichen Helfer anzutreffen, der mir bei diesem Problem weiterhelfen kann.

Die erforderlichen Logfiles habe ich nach Anleitung erstellt und angehängt.


Schon mal Danke für Eure Hilfe!
MrKing

Poste trotzdem bitte mal alle Logs von Malwarebytes, das enthält ein paar mehr Infos als Fund oder kein Fund :)

Hallo Arne,

danke für die schnelle Rückmeldung!!Leider kann ich nur mir einem aktuellen Malwarebytes Log dienen. Ältere Logs wurden leider von mir gelöscht...:heulen:
Ich hoffe, dies hilft trotzdem weiter...

Grüße MrKing

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Wer hat dich angewiesen das auszuführen? Wieso erwähnst du das nichtmal und postesst auch nicht das Log!?

Sorry, der Hinweis kam für mich leider zu spät, da ich auf der Suche nach einer Lösung zunächst in einigen anderen (englischsprachigen) Foren (als Mitleser) unterwegs war und dort bin ich auf ComboFix gestoßen. Asche auf mein Haupt...

Grüße
MrKing

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

ich bin wie von dir beschrieben vorgegangen. Das Problem mit den Browsern besteht nach wie vor. Das Logfile ist anbei. Danke für die Unterstützung!

MrKing

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Auf meine eigenen Dateien kann ich zugreifen und auch ansonsten verhält sich mein PC unauffällig. Allerdings besteht das benannte Problem nach der Ausführung von TDSSKiller weiterhin.

Grüße
MrKing

Da wurde ein Rootkit erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.

Hallo Arne,

hier das neue Log. Ich weiß nicht, ob es relevant ist, aber TDSS-Killer erkennt zwar den Schädling, aber im Kontext-Menü steht nur zur Wahl skip, quarantine (von mir ausgeführt) oder restore, nicht aber delete oder cure.
Websearch funktioniert nach wie vor leider nicht. In der Firefox Fehlerkonsole erscheint immer noch die o. g. syntax error Meldung.

Grüße
MrKing

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Die Symptome sind verschwunden!!

Grüße
MrKing

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hat leider etwas gedauert. Gmer braucht seine Zeit. Hier nun die 3 logfiles.

Grüße
MrKing

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

ich habe die Scans wie angegeben durchgeführt und es gab noch weitere Funde!


Grüße
MrKing

Sowas will ich hier nicht sehen! :pfui:
Hast du den Müll installiert/ausgeführt?

Hallo Arne,

ich habe die Hinweise zu patches usw. gelesen. Der Rechner hat schon einige Jahre auf dem Buckel und das von dir zu Recht angemahnte Programm ist schon lange nicht mehr installiert...

Grüße
MrKing

Wenn die Cracks schon mal ausgeführt wurden und der Rechner auch schon Jahre auf dem Buckel hat, solltest du ihn bei Gelegenheit mal komplett formatieren und neu installieren.

Ist auch so ein Kandidat.
Und ich seh installierte Sachen wie

O&O Defrag Professional
ABBYY FineReader 9.0 Professional Edition
SiSoftware Sandra Professional Business XII

Sind die wirklich alle legal? :pfeiff:

OK. Werd ich dann wohl oder übel mal machen müssen, damit ich die alten Sünden restlos los werde!Auf jeden Fall nochmal Danke für die professionelle Hilfe!

Grüße
MrKing