Google leitert auf falsche Seite
 

Ich weiß, dieses Thema ist schon oft dagewesen. Aber alle Lösungsvorschläge haben bei mir nicht zum gewünschten Erfolg geführt.

Die Logdateien von hijackthis, Malwarebytes' Anti-Malware 1.50.1.1100 (drei Stück) und OTL habe ich angefügt. Malwarebytes hat bereits drei DNS Changer und einen FakeAlert entfernt und trotzdem werde ich in Google auf falsche Seiten geleitet.

Ein Beispiel dazu:
In Google suche ich nach "yacht-versicherung" und wähle den Link "hxxp://www.google.de/url?sa=t&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pantaenius.de%2F&ei=N7dBTdXwNMXflgfYnagB&usg=AFQjCNELw-DYjxJYXzB5EVGB-XzPX18uGQ" aus. Landen tue ich bei ersten Versuch tatsächlich auf "hxxp://www.vk-gallion.de/html/bootsversicherung.html". Beim zweiten Versuch lande ich dann auf "hxxp://de.gomeo.de/index.php?keyword=yachtversicherung" und erst beim dritten Versuch kommt dann die Seite (es gibt sie also tatsächlich) "hxxp://www.pantaenius.de/de/home.html".

In der Regel bringt der zweite Versuch schon die tatsächliche Seite!

Für einen guten Tip, wie ich diesen Plagegeist (oder hat Google seine Logik geändert, um noch mehr Geld zu verdienen?) wieder los werde, wäre ich sehr dankbar.

Viele Grüße
SnS

WinXP (SP3); Firefox 3.6.13
Compaq mit Intel Pentium 3 (1GHz)

in den textdateien:
rechtsklick markieren, rechtsklick kopieren.
und im antwort feld, rechtsklick einfügen.
evtl text dateien aufteilen

Ich wollte alles etwas übersichtlicher halten und habe gem. OTL-Empfehlung die Logdateien als ZIP angehängt. Ich hoffe, das geht auch!

sicher :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Vielen Dank für die schnelle Antwort. Ich bin mir aber gar nicht sicher, ob ich mir damit nicht noch mehr Probleme einfange, da ich ja falsch weitergeleitet werde, In der Combofix-Anleitung geht ein Download-Link auf die Seite "hxxp://www.forospyware.com/sUBs/ComboFix.exe" und ich lande tatsächlich auf "hxxp://www.infospyware.net/antimalware/combofix/". Da wird das Programm dann auch zum Download angeboten; ist es aber wirklich eine saubere Version?

Sind denn die bereits veröffentlichten Logs so wenig aussagekräftig, dass ich wirklich noch ein viertes Programm dafür bemühen muss?

das ist der richtige, oder auch der hier:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ob wir die logs brauchen, natürlich nicht, ich hab heut nur so viel zeit das ich mir möglichst viele logs ansehen möchte *ironie*

Firewall ist deaktiviert und der Avira Guard ist deaktiviert (Schirm in der Taskleiste geschlossen!). Trotzdem kommt von Combofix die Meldung (dreimal die gleiche Zeile untereinander!):

ComboFix hat restgestellt das rolgende Real-Time-Scanner aktiv sind:

antivirus: AntiVir PersonalEdition Ciassic Virenschutz
antivirus: AntiVir PersonalEdition Ciassic Virenschutz
antivirus: AntiVir PersonalEdition Ciassic Virenschutz

Den Avira Guard kann ich ja deaktivieren. Wie ich Avira insgesamt zum Ende bringe ist mir aber nicht bekannt.

Darf ich Combofix auch so weiterlaufen lassen?

Das vollständige Antivir zu deaktivieren (Prozessschutz in Antivir aufheben und Dienst stoppen) ist mir inzwischen gelungen. Es ist kein av-Prozess mehr im Tasmanager zu sehen. Trotzdem kommt die o. g. Meldung von Combofix. Ich habe Combofix jetzt weiterlaufen lassen.

ja kannst du, und schalte den prozess schutz nachher wieder ein.

...und hier nun die log-Datei vom ComboFix.

Während des Laufes kam eine Meldung "Rootkit TDL13" entdeckt und dann wurde der Rechner neu gestartet.

neustart bitte und nun sollte malwarebytes laufen

Das log des neuen Malwarebytes-Laufes habe ich angefügt.

Anscheinend ist das Weiterleitungsproblem jetzt behoben. Vielen Dank für die Unterstützung.

Ist in diesem Zusammenhang jetzt noch irgendwas zu beachten?

Ich hatte wohl etwas verfrüht gehofft, dass der Spuk vorbei ist. Jetzt bringt Avira wieder eine Rootkit-Meldung (siehe Anlage), nachdem ich etwa 2 Stunden nicht am Rechner war. Mit 'Entfernen' sollte das doch hoffentlich ein Ende haben!?

Hallo markusg,
neben der Rootkit-Meldung von Avira ist mir noch aufgefallen, dass mit den ganzen Aktionen jetzt auf der Rootebene neue Verzeichnisse Qoobox und cmdcons entstanden sind; können die wieder gelöscht werden?
Gruß
SnS

hallo, ich war krank, sorry!
kannst du die avira meldung mal als text posten, zu finden unter ereignisse?
die ordner löschen wir später.

Hier die Avira-Meldung:
Die Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\kbdclass.sys.vir'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fe205ce.qua' verschoben!

ja das ist ok, dass hatte combofix gelöscht.
weitere probleme?

Vielen Dank; sonst ist wieder alles in Ordnung!

Ich wollte aber noch aufräumen. Kann ich die Software wieder deinstallieren und dann die Ordner (c:\cmdcons und c:\Qoobox) löschen?

immer mit der ruhe
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Ich habe der Einfachheit halber vor den jeweiligen Eintrag geschrieben:

+ Programm wird benötigt
- überflüssig
? unbekannt

deinstaliere
1und1 Internet Explorer Add-On
ABBYY FineReader
Adobe Acrobat 5.0
Adobe Reader 8.1.3
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
Adobe Download Manager
? Application Suite beide
BearPaw 4800TA Pro v1.0
? Börsenmodul
? Crush'Em 2.0

ElsterFormular alle mit - gekennzeichneten.
Eraser
HP Customer Participation Program
J2SE Runtime Environment und alle andern java versionen runter.
Download der kostenlosen Java-Software
und hier java jre runterladen.
deinstaliere:
Microsoft Silverlight
Mobile Golf Scorer
Mozilla Firefox (nutzt du wohl nicht?)
Music Manager
PDF2HTML
Port Splitter
Puzzl'Em
QuickTime
SAMSUNG Mobile Composite Device Software und weitere samsun software

Shop for HP Supplies
Skat 6
öffne skype, und update es.
Sprite Backup
U.S. Robotics ControlCenter
VOX 3D Planer
Windows Live ID
Windows-Desktopsuche
xp-AntiSpy
bereinige mit dem ccleaner dateien und die registry.

Da hab ich ja zu tun;

Der Adobe Reader läßt sich aber nur runterladen, wenn ich vorher der Installation eines "Adobe DLM" - AddOn im Internetexplorer zustimme.

Ist da 'ok'?

Das mit dem Acrobatreader -einschließlich einiger automatischer Updates-habe ich inzwischen geschafft.

Beim Deinstallieren von BearPaw 4800TA Pro v1.0 und von Crush'Em 2.0 kommt die Meldung

"Could not open INSTALL.LOG file"

Wie kann ich trotzdem deinstallieren?

1. adobe:
das ist ok, also zulassen.
2. programme die sich nicht deinstalieren lassen.
nutze revo:
http://www.hijackthis-forum.de/tipps...installer.html

Revo hat BearPaw 4800TA Pro v1.0 und von Crush'Em 2.0 jetzt aus der Systemsteuerung-->Software entfernt. Im Startmenue-->Programme sind beide Programm trotzdem noch vorhanden und auch die Ordner der Software sind unter C:\Programme noch da, obwohl mir Revo einen ganzen Sack voller Dateien angezeigt hat, die es löschen wollte.

Ein weiteres Programm, das sich bei der Deinstallation identisch verhält, ist Puzzle'EM 1.0 Beta2.

Alle drei genannten Programm lassen sich jetzt auch noch aufrufen. Eine Deinstallation ist aber nicht mehr möglich, da sie aus der Softwareauflistung verschwunden sind.

versuchs noch mal mit revo. du musst wenn revo einträge anzeigt auf alles markieren klicken, dann entfernen und danach erst auf weiter.

Das 'Alles markieren' habe ich nicht gemacht und jetzt erscheint die Software weder in Revo noch in der Systemsteuerung-->Software. Nur im Startmenue ist sie vorhanden und die Dateien existieren noch auf C:\Programme!

dann lösche den eintrag aus dem startmenü und lösche den ordner.

ok, habe ich gemacht, die Programme sind weg.

Wie geht es jetzt weiter? Was ist mit den neuen Verzeichnissen Qoobox und cmdcons auf der Rootebene und der ganzen Software, die ich im Zusammenhang mit dieser Aktion installiert habe?

Der Rechner läuft -soweit ich das erkennen kann- jetzt problemlos!

start ausführen msconfig systemstart.
überall haken weg, außer bei avira, und evtl. BluetoothAuthenticationAgent
klicke ok.
http://www.trojaner-board.de/96344-a...-rechners.html

Vielen Dank für die weiteren Tipps; werde sie abarbeiten wenn ich wieder im Lande bin.

Einsatz von Opera oder ff kommt definitiv nicht in Frage; ich will nicht das Versuchlabor von weiteren 'schrottware'-Herstellern sein; 'winzigweich' reicht schon völlig!

Am liebsten würde ich auch den Adobereader wieder rausschmeissen (gibt es da eine Alternative?); der Start dauert katastrophal lange, fast täglich kommt da ein update und von einer pdf-Dateien, die die 8er-Version sauber dargestellt hat, sehe ich jetzt nur noch leere Seiten!

naja opera ist eig kein schrott, schon mal ausprobiert?
adobe bringt doch nur alle 3 monate updates.
foxid reader wäre ne alternative.