Trojaner-Board - Firefox und Internetexplorer werden auf fremde Seiten umgeleitet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Firefox und Internetexplorer werden auf fremde Seiten umgeleitet (https://www.trojaner-board.de/105877-firefox-internetexplorer-fremde-seiten-umgeleitet.html)

Firefox und Internetexplorer werden auf fremde Seiten umgeleitet

Liebe unbekannte Freunde, ich bitte um Hilfe

Wird in einem neuen Fenster im Firefox eine Adresse eingegeben, so ist, abgesehen von einem langsameren Bildaufbau alles normal. Wenn ein Google- Suchergebnis gewählt wird, so wird auf eine ganz fremde Seite umgeleitet. Wenn das Suchergabnis kopiert und in einem neuen Fenster des Firefox eigefügt wird, dann wird auf die richtige Seite geleitet. Die Umleitung führt auch gerne auf search.babylon.com, obwogl dise URL niemals eingercihtet wurde.

AVIRA hat gefunden:

C:\Dokumente und Einstellungen\a\Lokale Einstellungen\temp\luzTrefi.exe.part
[FUND] Ist das Trojanische Pferd TR/Offend.6940696
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP59\A0028534.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030545.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP64\A0030619.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP64\A0030620.ini
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0029534.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030534.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030552.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030553.ini
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beim Neustart kommt die Avira- Meldung:
systray.exe stub
usg1.exe scheint eine Umleitung durch eine andere Datei zu sein.
Internetverbindung zulassen ? ja / nein
Die Antwort "nein" scheint das Virus nicht zu beeinflussen, denn bei jedem Neustart wechslt der Name, nur ***1.exe ändert sich dabei nicht. Ein Bild der Meldung füge ich bei.

Wenn eine Verbindung von Firefox fehlgeleitet wird und von Hand abgebrochen wird, bleibt die Internetverbindung aktiv, ein ungewollter Datenaustausch findet statt. Er hört nur auf, wenn die Verbindung deaktiviert oder der Stecker zum Router gezogen wird. Wird die Verbindung dann wieder aktiviert, so findet kein Datenaustausch mehr statt.

Malwarebytes konnte nicht gestartet werden, Meldung: "Keine Berechtigung". Nach einer Neuinstallation arbeitet dies Programm wieder, löscht aber nicht alles.

Auch der Internetesplorer wird manchmal (nicht immer) umgeleitet. wird "öffen in einem neuen Fenster" gewählt, so ist alles, ausser langsamen Bildaufbau, normal.

In Ordner Dokumente und Einstell....a/lokale Einstellungen / temp / ist eine datei oeq33.exe, die sich nicht löschen lässt, selbst nicht mit Hilfe von Unlocker. Nach der Meldung von Unlocker, "beim nächsten Start löschen ?" und Antwort "ja" ist sie dennoch wieder da. Auch wenn sie über ein anderes Betriebssystem gelöscht wird, ist sie beim Neustart wider da. Die Datei ***1.exe, die beim Start duch AVIRA gemeldet wird ist im gleichen Verzeichnis.

Im System Volume Information befanden sich zwei Dateien , 08180784504291116drgs.exe und 0614"und weitere Zahlen"koreas.exe, die von AVIRA gelöscht wurden.

Defrogger wurde ausgeführt.

Die beiden Dateien von OTL sind in der ZIP enthalten.

GMER arbeitet offenbar in einer Endlosschleife. Selbst nach 12 Stunden noch immer. Dabei verändert sich die LOG- Datei nicht. Sie bleibt immer so, wie in der ZIP -gmer1 gezeigt. Das Programm GMER durchsucht in der Schleife scheinbar immer wieder alle Dateien, wie Windows, Dokumente und Einstellungen, Programmdateien.
Gerade eben beim Übertragen der Dateien hat GMER nach über drei Stunden doch aufgehört zu arbeiten. Es kann sein, dass durch die Coppy auf den Stick das Programm beeinflusst wurde. Die danach gesicherte lig- Datei ist unter ZIP - gmer2 beigefügt.

Kann man das System noch retten? Vielen Dank

Herrzliche Grüsse
hopsten

hhi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo guten Abend,
Combofix wurde ausgeführt. Es war sehr wiederspenstig. Immer wieder hat sich, obwohl deaktiviert, AVIRA gemeldet. Die Fragen ob ein Programm ausgeführt werden darf wurden, wenn es den Anscjein hatte, dass Combofix sie auslöste, jeweils mit ja beantwortet. Bei einigen wurde nein gesagt, unter anderem bei "catchme.tmp als es versucht einen andren Prozess auszuführen.
Die Log- Datei erschien nur auf dem Bildschirm. In der Verzeichnis c:\Qoobox war sie nach Abschluss nicht enthalten. Sie wurde dorthin gesichert.
Windows konnte beendet und wieder gestartet werden.
Bitte sagen Sie was nun alles zu machen ist. Danke.
Herzliche Grüsse
hopstenl

öffne jetzt arbeitsplatz c: rechtsklick auf qoobox, mit winrar zip oder 7zip packen archiv hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
falls dir ein programm zum archivieren fehlt winrar instaliren:
http://www.chip.de/downloads/WinRAR-..._12994655.html

Hallo,

leider hat sich Qoobx nicht komplett zippen und übetrtragen lassen. Dei Datei war viel zu gross. Deshalb wurden jeweils Teile davon in einzelne Zips umgewandelt.

\Qoobox\Quarantine\C\Dokumente und Einstellungen\a\Lokale Einstellungen\Anwendungsdaten\setup.exe.vir ist 1.382 kb, dennoch zu gross zur Übertragung. Sie wurde in vier Teile gezipt. Da das Übertragungsprogramm mit den Endungen exe.zip.001 (bis004) habe ich jeweils in exe.zip.001 (bis004).zip hinzugefügt. Also vor dem Expandieren vorher die zugefügten .zip löschen.

Ich bitte um Ihre Hilfe

Herzliche Grüsse
hopsten

och mensch, du musst halt auch mal richtig lesen, hab ich gesagt hier im forum hochladen, nein, willst du dass sich jemand mit deiner malware infiziert, deswegen hab ich geschrieben im upload channel hochladen.
werd das löschen lassen.
@all, archiv nicht anklicken und entpacken.
bitte qoobox noch mal packen und im upload channel hochladen.

danke.
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder sonst was wichtiges

Hallo,
nein, kein Onlinbanking. Es ist aber mein Hauptrechner über dem alle Emails abwicklelt werden und auf dem vielle geschäftliche Vorgänge gespeichert sind. Ab und zu natürlich auch Flugtickets, Bahnfahrkarten usw bestellen. Dabei wird regelmässig Kreditkartennummer angegeben.
Grüsse
hopsten

hi,
du hast ein rootkit (max++ oder auch zero access)
und den trojan spyeye
dieses system ist nicht mehr vertrauenswürdig bis formatiert wurde.
deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
sichere jetzt, auf nen externen datenträger,
musik bilder dokumente filme, persönliches eben.
dann zeige ich dir, falls nötig, wie man formatiert.
dannn erkläre ich dir, wie du das system absicherst.
dann musst du alle passwörter endern.