Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google Virus (https://www.trojaner-board.de/96876-google-virus.html)

evapro 26.03.2011 17:46

Google Virus
 
Hallo,
ganz offensichtlich habe ich einen Google Virus, zumindest fällt er mir nur beim Google Keyword Tool auf, das mir nach einer gewissen Zeit eine Fehlermeldung gibt, oder, sehr bald, auf eine Google Adwords Seite weiterleitet.
Die threads, die ich dazu fand, boten mir keine Lösung.
Beim Versuch das Tool LOAD zu starten, bekam ich zwar die Anleitung auf den Desktop, nicht aber TFC.exe: "kann nicht geöffnet werden".
Anbei als zip-Datei die logfiles von Malewarebytes und OTL.
Vielen Dank schon jetzt für Eure Hilfe!
Mit freundlichen Grüßen
evapro

cosinus 26.03.2011 21:47

Zitat:

d:\dokumente\Job\IM\1FUFFZIG\YouTube\youtube video sites\nvdo_reseller_site_generator.exe (Trojan.Plapon) -> No action taken.
Wasndas? Was hat eine ausführbare Datei in Dokumenten zu suchen?

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

evapro 27.03.2011 19:09

Hallo,
vielen Dank für die unglaublich schnelle Antwort. Ich habe sonst keine files gefunden, heute nochmals einen Durchlauf gemacht. Hier ist das Ergebnis. Ich habe das infizierte Programm noch gestern sofort nach dem Durchlauf gelöscht - hoffentlich habe ich keinen Fehler gemacht.
Liebe Grüße
evapro

cosinus 27.03.2011 21:16

Was ist denn das jetzt für ne Datei, dieser site-generator? Oder kennst du die nicht? :dummguck:

evapro 28.03.2011 08:13

Hallo, ich hatte das Programm vor längerer Zeit mal sehr billig gekauft, entpackt und nie verwendet. Es erstellt automatisch Youtube Videos zu keywords. Ich habe es nochmals als zip.file gedownloadet und lege diese bei - ups, geht nicht, Datei zu groß..... Mehr Infos zum Programm hier: hxxp://www.1fuffzig.de/details.php?session=3696b9b4e6585239066217dd84919ddb&art=51&kat=2&next=10&page=3&back=content
Liebe Grüße
evapro

cosinus 28.03.2011 10:26

Zitat:

PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files\PC Tools Security\pctsGui.exe (PC Tools)
PRC - C:\Program Files\PC Tools Security\pctsSvc.exe (PC Tools)
hast du da parallel zu AntiVir noch einen anderen Virenscanner installiert?! Macht man nicht! Bitte einen deinstallieren!

evapro 28.03.2011 11:29

Lieber Arne,
habe PC Tools deinstalliert - habe das Programm aber erst installiert, nachdem ich die ersten Fehler beim Google keyword-Tool entdeckt habe, weil es bei Google gelistet war, um den Störenfried los zu werden.
Habe jetzt ein bisschen mit dem keyword tool rumgetan und wurde zumindest nicht gleich auf die Adwords Seite umgeleitet. Meinst Du, dass das site-generator Programm die Ursache gewesen sein könnte?
Liebe Grüße
evapro

cosinus 28.03.2011 13:00

Zitat:

C:\Users\Eva\Desktop\Cofi.exe
Hast du das schon ausgeführt?? :eek:

evapro 28.03.2011 13:24

Nein, noch nicht.

cosinus 28.03.2011 13:29

Schwein gehabt ;)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{1c976eaf-db6e-11df-9c23-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{1c976eaf-db6e-11df-9c23-806e6f6e6963}\Shell\AutoRun\command - "" = E:\setup.EXE /AUTORUN
O33 - MountPoints2\{1c976eaf-db6e-11df-9c23-806e6f6e6963}\Shell\configure\command - "" = E:\setup.EXE
O33 - MountPoints2\{1c976eaf-db6e-11df-9c23-806e6f6e6963}\Shell\install\command - "" = E:\setup.EXE
[2010.10.19 12:22:33 | 000,000,000 | ---D | C] -- C:\Windows\System32\wocaffe
[2010.10.19 17:32:39 | 000,383,592 | RHS- | M] () -- C:\gdrop
[2010.10.19 17:32:39 | 000,171,136 | RHS- | M] () -- C:\xeldr
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

evapro 28.03.2011 14:45

Lieber Arne,
nicht Schwein gehabt, sondern autoritätshörig Eure Anweisungen bzgl cofi.exe nur unter Anleitung auszuführen befolgt...
Hier das Ergebnis von OTL
Liebe Grüße
evapro

cosinus 28.03.2011 18:46

Zitat:

sondern autoritätshörig Eure Anweisungen bzgl cofi.exe nur unter Anleitung auszuführen befolgt...
Sehr brav von dir http://cheesebuerger.de/images/smilie/liebe/g018.gif :D

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

evapro 28.03.2011 19:21

Hallo Arne, habs geschickt!
Gruß
evapro

cosinus 28.03.2011 19:52

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

evapro 28.03.2011 20:57

Hallo Arne,
ComboFix meldet, dass es mit Windows 7 nicht kompatibel ist. Was soll ich machen - erneut mit den empfohlenen Einstellungen installieren?
Gruß
evapro

cosinus 29.03.2011 08:55

Wäre mir neu :confused:
CF lief schon oft auf Win7 Rechnern. Starte Windows bitte mal neu und probier es nochmal.

evapro 29.03.2011 17:00

Liste der Anhänge anzeigen (Anzahl: 1)
Lieber Arne,
tut mir leid, dass die Antwort so lange gedauert hat. Bei mir geht cofix wirklich nicht - habs noch mehrfach probiert. Im Anhang ein screenshot.
Liebe Grüße
evapro

cosinus 29.03.2011 17:09

Lad die cofi.exe bitte nochmal herunter. Die alte cofi bitte löschen!

evapro 29.03.2011 19:40

Lieber Arne,
wieder das Gleiche, habe auch gestern schon einmal neu runtergeladen...
Grüße
evapro

cosinus 29.03.2011 19:45

Dann erstmal dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

evapro 29.03.2011 20:45

Hallo Arne,
hier die Datei von Kaspersky
Gruß
evapro

cosinus 30.03.2011 09:18

Sieht ok aus aber:

Zitat:

2011/03/29 21:43:04.0621 1696 OS Version: 6.1.7600 ServicePack: 0.0
2011/03/29 21:43:04.0621 1696 Product type: Server
Warum wird dein Betriebssystem als Windows-SERVER betrachtet?! Hast du Windows7 oder oder Windows 2008 R2 drauf? :wtf:

evapro 30.03.2011 09:46

Habe ein original spanisches Windows 7 mit deutschem language pack
Gruß
evapro

evapro 30.03.2011 09:47

ups...wobei sich original auf spanisch bezieht, nicht auf das Programm...

cosinus 30.03.2011 13:55

Ich kann noch nicht nachvollziehen, warum der dein WIn7 als Server erkennt bzw. ob das damit zusammenhängt, dass CF nicht will. Müssen wir erstmal ohne CF auskommen.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

evapro 30.03.2011 15:06

Lieber Arne,
würde gerne Festplatte formatieren und win 7 neu aufsetzen, habe alles gesichert und wäre dazu bereit. Vielleicht löst sich dann auch das servermeldung Problem, was meinst Du? Und wir machen dann nochmals einen Check?
Liebe Grüße
evapro

cosinus 30.03.2011 15:47

Ok mach es so :D
Folge dem Artikel Neuinstallation von Windows wenn du wirklich alle wichtigen extern gesichert hast.

evapro 31.03.2011 16:26

Lieber Arne,
hab Windows 7 jetzt ganz neu aufgesetzt und die wichtigsten Programme installiert. Sollten wir jetzt trotzdem noch einen check machen? Du weißt schon, wegen Windows 7 als Server???
Liebe Grüße
evapro:daumenhoc:daumenhoc

cosinus 31.03.2011 17:41

Ja, mach nochmal den TDSS-Killer von Kaspersky.

evapro 31.03.2011 19:53

Hallo Arne,
Hier das logfile
Gruß
evapro:dankeschoen:

cosinus 01.04.2011 10:20

Zitat:

2011/03/31 20:30:17.0231 3980 OS Version: 6.1.7600 ServicePack: 0.0
2011/03/31 20:30:17.0231 3980 Product type: Workstation
Nun ist es richtig! ;)

evapro 01.04.2011 11:57

Lieber Arne,
vielen Dank für Deine Hilfe und Deine Mühe, hoffentlich muss ich Dich nicht mehr belästigen...
Alles Gute
evapro
:dankeschoen:

evapro 10.04.2011 17:43

Lieber Arne,
tut mir leid, dass ich schon wieder da bin. Es ist einfach nicht zu fassen. Nachdem ich alles formatiert und neu aufgesetzt habe, bekam ich heute bei Verwendung des Google keyword-Tools wieder folgende Message, wie einst...:

"We're sorry...

... but your computer or network may be sending automated queries. To protect our users, we can't process your request right now.
See Google Help for more information." :aufsmaul:

Woran kann das bloss liegen???

Bin schon ziemlich verzweifelt.
Liebe Grüße
evapro

cosinus 10.04.2011 19:55

Wann genau nach der Formatierung hast du das?
Hast du zufällig einen Router? Wenn ja, wurde bei dem das Standard-Adminpasswort geändert?

evapro 11.04.2011 07:40

Hallo Arne,
bemerkt habe ich es gestern, also etwa vier Tage nach Formatierung. Ja, ich habe einen wireless router von der spanischen telefonica und noch einen zum Verstärken des Signals dazwischen. Passwörter wurden nicht geändert. Da ich mit dem Verstärker verbunden bin, brauch ich nicht einmal eines. Nur wenn ich mich direkt mit dem Router verbinde will er einen, der ist furchtbar lang. Ich hatte vor etwa einem Jahr einen Virus in meiner mail, der mir endlos (Zehntausende) spam mails geschickt hat. Damals habe ich mein mail-Konto Passwort geändert und natürlich auch formatiert......
Liebe Grüße
evapro

evapro 11.04.2011 11:14

Hallo Arne,
mittlerweile funktionieren die einfachsten Funktionen nicht mehr. strg-Befehle werden einfach nicht angenommen. Ich kann nicht kopieren, einfügen, markieren etc. Was soll ich nur machen?
evapro

evapro 11.04.2011 12:35

Das solltest Du unbedingt wissen: habe meinen alten Labtop ausgekramt und habe das selbe Problem mit Google - alles andere funktioniert noch...
Gruß
evapro

cosinus 11.04.2011 12:54

Zitat:

alten Labtop ausgekramt und habe das selbe Problem mit Google - alles andere funktioniert noch...
Liegt am Router. Du musst diesen in die Werkseinstellungen zurücksetzen und anschließend natürlich neu einstellen. Und als erstes nach dem Rücksetzen ein sichere Adminpasswort vergeben.

evapro 11.04.2011 13:09

Ich werde es versuchen.
Sag mir nur noch bitte: ist mein Computer infiziert?
Gruß
evapro

cosinus 11.04.2011 13:16

Setz erstmal den Router zurück und beobachte. Danach kann man noch bei Bedarf weitere Analysen starten.

Da hast den einen Recher aber doch formatiert und neu installiert oder nicht? Dann wäre er auf jeden Fall sauber, sofern nicht erneut Dreck ausgeführt wurde.

evapro 11.04.2011 18:44

Lieber Arne,
war sehr schwierig, aber ich habs geschafft. Reset und neues Passwort beim Modem. Aber die strg-Funktionen klappen noch immer nicht...
Liebe Grüße
evapro

cosinus 11.04.2011 19:00

Was ist mit Google?

Ist das ein Desktop-PC oder ein Notebook? Meinst du mit den "strg-Funktionen" Sonderfunktionen über die Tastatur wie bei Notebooks üblich? Bitte genauer erklären.

evapro 11.04.2011 19:16

Google sagt:
Sorry .....
das selbe wie vorher.
Ich habe einen lg labtop und mit strg-Funktionen meine ich strg+c = kopieren oder strg+a = alles markieren u.s.w.
Das geht nicht mehr. Während der Routerkonfiguration konnte ich längere Zeit nicht in die Adresszeile meines firefox Browsers schreiben, das klappt wieder.
evapro

cosinus 11.04.2011 19:18

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.
Lad dir mal sowas wie Knoppix oder Ubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig die Internetverbindung unter Linux und berichte ob die Verbindung und das System dort normal läuft, sprich Google normal läuft und STRG auch hinhaut.

evapro 12.04.2011 20:17

Hallo Arne,
ich habe zwar Ubuntu runtergeladen, aber nicht ausgeführt.
1. War heute alles okay, der Computer funktioniert ohne Makel...
2. Nach etwas längerem Googeln (während des Downloads) bin ich auf zwei mögliche Fehlerquellen gestossen: es kann am Firefox liegen, v.a. wenn das seo quake plugin installiert ist (habe ich zwar nicht) und es kann daran liegen, dass in zu schneller Folge keywords abgefragt werden.
Ich gebe auf und mache mal weiter.
Vielen Dank für Deine Mühe
Liebe Grüße
evapro:wtf:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131