Trojaner-Board - Unerwünschte Weiterleitung bei Google-Suche Firefox

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Unerwünschte Weiterleitung bei Google-Suche Firefox (https://www.trojaner-board.de/71698-unerwuenschte-weiterleitung-google-suche-firefox.html)

Unerwünschte Weiterleitung bei Google-Suche Firefox

Hallo bitte um Hilfe –
Problem: Unerwünschte Weiterleitung bei Google-Suche.
Bei Klick auf Suchergebnis öffnet sich neues Tab mit Spam.

Win XP
Firefox
Avira-Antivir

Bisherige Aktionen:
- CCleaner
- A-squared Free
- AVG Rootkit Free
ergebnis:
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

- GMER
ergebnis:
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

- Hijack This
Logfile:

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Da ich keine Ahnung habe was das bedeutet, bitte ich um Rat, wie weiter zu verfahren ist.

Vielen Dank!

Hallo Marta und :hallo:

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

TDSSserv.sys
 

Registry keys to delete:

HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
 

Files to delete:

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSSd02c.tmp

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS206f.tmp

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS4fe0.tmp

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS57f0.tmp

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS61f1.tmp

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSSbe2a.tmp

C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSScf51.tmp

C:\WINDOWS\Temp\TDSS5bf6.tmp

C:\WINDOWS\system32\drivers\TDSSmhxt.sys                                   

C:\WINDOWS\system32\TDSScfum.dll

C:\WINDOWS\system32\TDSSfxmp.dll

C:\WINDOWS\system32\TDSSnrsr.dll

C:\WINDOWS\system32\TDSSofxh.dll

C:\WINDOWS\system32\TDSSosvd.dat

C:\WINDOWS\system32\TDSSriqp.dll

C:\WINDOWS\system32\TDSStkdv.log

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log. Poste es direkt in den Antwortkasten.

ciao, andreas

Hallo John Doe -

Auftrag ausgeführt!

Avenger Report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath: \systemroot\system32\drivers\TDSSmhxt.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "TDSSserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSSd02c.tmp" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS206f.tmp" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS4fe0.tmp" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS57f0.tmp" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSS61f1.tmp" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSSbe2a.tmp" deleted successfully.
File "C:\Dokumente und Einstellungen\Agi\Lokale Einstellungen\Temp\TDSScf51.tmp" deleted successfully.
File "C:\WINDOWS\Temp\TDSS5bf6.tmp" deleted successfully.
File "C:\WINDOWS\system32\drivers\TDSSmhxt.sys" deleted successfully.
File "C:\WINDOWS\system32\TDSScfum.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSfxmp.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSnrsr.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSofxh.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSosvd.dat" deleted successfully.
File "C:\WINDOWS\system32\TDSSriqp.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSStkdv.log" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Gmer - Log:

Leer

***

JUHU!
Keine Spamseiten mehr die sich öffnen bei Google!

DANKE!"!!!!!

Den schlimmsten Bösewicht haben wir gekillt, da wird aber noch mehr sein. Lasse MalwareBytes laufen (den Link und die Anleitung findest du, wenn du auf "Für alle Neuen" in meiner Signatur klickst) und poste das Log.

Anschliessed die Punkte 1-3 dieser Anleitung abarbeiten: http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Hallo
Ich habe seit geraumer Zeit dasselbe Problem mit Firefox. Bei Google-Suche wird auf falsche Seiten weitergeleitet. Oft kommt auch die Seite mit der attackierenden Website-Warnung und mein Eset Nod32 findet einen Virus. Anfangs wurde ich auch immer zu einer Seite Namens gostats.com weitergeleitet. Dann wird das Laden der Seite aber unterbrochen und es läuft nichts mehr. Ich habe versucht die Cookkies zu blocken ohne Erfolg, Dann habe ich Add-ons plus aktiviert und versucht die Seiten zu blockieren. Das ging eine Zeit lang gut, aber ich glaube es ist noch was im Argen.
Habe auch schon viel darüber gelesen komme aber nicht weiter. Eure Tools habe ich bereits runtergeladen.
Für Hilfe wäre ich dankbar.
Löwe

eröffne nen neuen thread bitte.