google suchergebnisse werden umgeleitet - malware? Log files anbei
 

Hallo,
habe seit einigen Wochen folgendes Problem:
beim Anklicken auf google Suchergebnisse werde ich zu diversen Seiten umgeleitet - jeweils mit Werbecharakter.
Dieses Fehlerbild ergibt sich sowohl beim nutzen der Browser Explorer als auch bei Firefox.
Kurze Systeminfo: Dell Optiplex 755 aus 2007 mit WinXP V5.1 2600 SP3
AntiVir als Schutzprogramm aktiviert.
Entsprechend Anleitung aus dem Trojaner Board habe ich MFTools installiert und sämtliche 6 Schritte abgearbeitet.
Anbei die entsprechenden Log-Files:
Log von MBAM

defogger_disable.log

Gmer.txt

OTL.txt

Extras.txt

Koennte sich bitte jemand diese files durchschauen und mir feed back geben.
Vielen Dank schon mal für die Hilfe
zman-oal

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,
danke für die schnelle Rückmeldung.
Anbei die 2 MWB log files, ein älteres und ein ganz aktuelles - jeweils von einem full scan.
MWB habe ich vor dem aktuellen scan von heute auch noch einmal aktualisiert.

Gruß
Heinrich

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,
anbei das log des Combofix scans.

Gruss
Heinrich

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,
anbei die beiden Log Files GMER und OSAM
sowie hier das MBER Ergebnis
Gruss
Heinrich

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000003dc

Kernel Drivers (total 144):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xB9E42000 iaStor.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9E22000 fltmgr.sys
0xB9E10000 sr.sys
0xB9DFA000 DRVMCDB.SYS
0xBA0F8000 PxHelp20.sys

Hallo Arne,
noch ein Nachtrag:
Antivir meldet mir gerade folegendes Ereignis:
Die Datei 'C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP40\A0003435.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan].

Soll ich diese Datei löschen?

Gruß
Heinrich
P.S.: und natürlich ein Gutes Neues Jahr:daumenhoc

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Das Log von mbrcheck musst du vollständig posten!!

Hallo Arne,
OK, habe die Systemwiederherstellung deaktiviert.
Anbei als Anlage die Datei von mbrcheck
Gruß
Heinrich

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,
danke für die zuversichtliche Zwischennachricht.
Habe die scans durchgeführt -in der Anlage die Logs von MWB und SAS.

Dann noch eine Frage zum defogger - hier habe ich in meiner ersten Runde mit den MFtools entsprechend Anleitung Punkt 4 disabled und re-anable noch nicht ausgeführt, da im Hinweis steht, dieses auf keinen Fall ohne Anweisung zu tun.
Soll jetzt wieder re-anabled werden?

Gruß
Heinrich

Nur Cookies und Überreste. Mitm defogger kannste alles wieder re-enablen.
Noch Probleme oder ist nun alles paletti?

Hallo Arne,
es sieht alles sehr sehr gut aus!!!:dankeschoen:
Es war wirklich eine sehr schnelle und professionelle Hilfe mit präziser Anleitung.

Soll ich nun bestimmte tools wieder deinstallieren?
z.B. SuperAntiSpyware oder Defogger etc.

Viele Grüße
Heinrich

P.S.: werde dann sicher auch an den donation link denken

Ja kannst du machen ;)

:dankeschoen:

Dann wären wir auch durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.