Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Suchweiterleitung zu Gomeo und ask.com, sporadische Pop-Ups (https://www.trojaner-board.de/96133-suchweiterleitung-gomeo-ask-com-sporadische-pop-ups.html)

CMM 28.02.2011 01:25
Suchweiterleitung zu Gomeo und ask.com, sporadische Pop-Ups
 
Moin,
ich hab seit Mitte der Woche Probleme mit meinem PC. Anfangs zeigte Avira AntiVir noch Virenmeldungen auf zum Trojaner Dropper.gen und noch einen anderen, dessen Name ich jetzt nicht mehr weiß. Obwohl ich dem Programm dann sagte, er solle die entfernen, tauchten die Meldungen einige Zeit später wieder auf. Beide Trojaner zur selben Zeit. Als ich dann später einen kompletten Suchlauf gemacht hatte, hat AntiVir aber nichts mehr gefunden. Auch Malwarebytes AntiMalware hat nichts gefunden. Auf Empfehlung eines Freunde hatte ich AntiVir durch AVG Anti-Virus ausgetauscht. Das Programm hatte etwas gefunden. Ich bin mir aber nicht sicher, ob das das richtige war, denn das mit den Weiterleitungen haben ich immer noch. Wenn ich bei Google etwas gesucht habe und auf die Suchergebnisse klicke werde ich sehr häufig entweder auf Gomeo oder ask.com weitergeleitet. Bei ask.com steht dann "trends antivirus" in der Suchleiste. Auch öffnen sich beim Surfen ab und einfach mal neue Tabs mit irgendwelchen Seiten.
Ein weiteres Problem habe ich mit einer svchost.exe. Ob das mit dem anderen zusammenhängt, weiß ich nicht, aber es ist wahrscheinlich. Mir ist letztens aufgefallen, dass eine svchost.exe eine Speicherauslastung von über 200MB verursacht, was ich vorher noch nicht gesehen habe. Besonders auffällig ist, dass immer wenn diese Auslastung größer wird, mein Router anzeigt, dass Traffic im Internet besteht. Wenn ich diesen Prozess über dem Taskmanager beende, dann stürzt das Themendesign-Zeug ab und wechselt mein Thema kurz in das Win2000-Thema, dazu friert die DFü-Verbindung ins Internet ein, so dass ich sie neuverbinden muss.
Neben den regulären Log-Dateien ist noch die Logdatei von AVG.

Ich hoffe irgendjemand kann mir helfen,
CMM

/edit: Die Funde vom Avira AntiVir waren immer "C:\WINDOWS\TEMP\****\setup.exe" Der Ordnername bei **** änderte sich immer.

markusg 28.02.2011 11:09
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
warscheinlich musst du dazu avg deinstalieren. noch das avg removal tool falls nötig:
AVG - Download tools

CMM 01.03.2011 17:02
Gibt es da auch noch eine andere Möglichkeit? Ich möchte nicht schon wieder ein Programm deinstallier, um ein neues zu installieren.

markusg 01.03.2011 17:03
combofix und avg können probleme verursachen du sollst nur avg so lange runter schmeißen wie wir combofix benutzen

CMM 01.03.2011 17:21
Das die beide Probleme verursachen können, ist mir schon bewusst. Nur möchte ich AVG auch nicht nur zeitwillig deinstalllieren.
In der Meldung von ComboFix steht, man soll es deinstallieren oder ein andere Programm benutzen, deswegen meine Frage, gibt es auch noch andere Möglichkeiten.

markusg 01.03.2011 17:23
nein, wo liegt jetzt das problem. du deinstaliert avg dann nutzt du combofix und dann wartest du bis ich mir das log angesehen hab, falls wir mich combofix nichts mehr löschen müssen kannst du avg wieder drauf machen.

CMM 01.03.2011 18:51
Das "Problem" war eben, dass der Download für AVG nicht wirklich ins laufen kommen wollte.
Aber jetzt ging es.
Hier ist der Log.
Das Programm sagte, es hat ein Rootkit gefunden.

markusg 01.03.2011 18:54
machst du onlinebanking /einkäufe oder sonst was wichtiges mit dem pc?

CMM 01.03.2011 18:56
Onlinebanking nicht, allerdings kaufe ich öfters mal bei einem gewissen Online-Auktionshaus ein.
Warum?

/edit: Ich glaube, dass das jetzt alles heil ist. Die svchost.exe produziert keine riesige Speicher-Auslastung mehr, ich werde bei Google nicht mehr zu irgendwelchen Seiten weitergeleitet und neue Tabs machen sich auch nicht mehr aus.

markusg 01.03.2011 19:29
du hattest ein rootkit auf dem system, dieses kann jede enderung am system vorgenommen haben, die wir nicht mehr rückgängig machen können, da wir nicht wissen was geendert wurde, auch wenn augenscheinlich alles io ist, heißt das nicht das das system sauber ist.
da du online einkaufst musst du deine daten sichern und das system neu aufsetzen, da wir nicht garantieren können das das system sauber ist.
da ich nicht annehme das du erleben willst das eines tages jemand in deinem namen einkauft oder schlimmeres ist das die einzig sichere möglichkeit.
also, daten sichern und dann erkläre ich dir wie du das system aufsetzt undabsicherst.

CMM 01.03.2011 19:40
Ja, das da ein Rootkit hinter sitzt dachte ich mir schon. Allerdings hatte ich mit der G-Data Bootcd nichts gefunden.
Wie ich meinen PC neu aufsetze, weiß ich selbst ;)
Aber danke für die Hilfe.

markusg 01.03.2011 19:42
es ging mir mehr ums absichern, nicht nur ums aufsetzen.
in sachen sicherheit kann man schon noch was tun.

CMM 01.03.2011 19:48
Was genau denn?

markusg 01.03.2011 19:51
http://www.trojaner-board.de/96344-a...-rechners.html

CMM 01.03.2011 20:04
Also bis auf ein zwei kleine Sachen, hätte ich das genauso gemacht.
Aber trotzdem danke, ist 'ne nette Liste damit man nichts vergisst^^.

P.S.: Ich bevorzuge Firefox, mit Opera habe ich zu viele Probleme mit Log Ins. Für Firefox benutze ich momentan aber das WoT Addon und AdBlock Plus.

markusg 01.03.2011 20:07
ich passe die anleitung an:
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
6.

adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.


sandboxie: genauso wie für den opera außer folgender abschnitt:
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131