Browserumleitung go.google.com, unerreichbare Websites&nicht ausführbare Progs

#1 Hallo und guten Tag,


Die Komplikationen die z.Z. meinen Rechner in der Gewalt haben scheinen ja relativ verbreitet zu sein, zumindest habe ich bisher in einigen Foren ähnliches gelesen ....

Ich versuche erst mal alle Ungereimtheiten zu beschreiben, die seit dem aufdrehen des Rechners am 18.12 aufgetreten sind und auch die, welche in weiterer Folge dadurch verursacht werden:

Die erste Erinnerung ist ein graues Popup Fenster, in dem man den AGBs eines ominösen Virenprogramms (vmtl. eines das Viren schreibt :-) zustimmen soll ... das tat ich nicht. Habe daraufhin rumgesucht und u.a. die Datei "winloggn.exe" im Taskmanager als Prozess, im Ordner "Dokumente & Einstellungen\%Username%\Lokale Einstellungen\Temp" und in der Registry im Pfad "HKCU\Software\Microsoft\Current Version\Run" gefunden und alle gelöscht - außerdem eine exe Datei mit Namen "wininstall.exe" ebenfalls im Ordner "Dokumente & Einstellungen\%Username%\Lokale Einstellungen\Temp"entdeckt, die am 18 erstellt wurde (an dem Tag als die Probleme anfingen) aber nie von mir runtergeladen oder gar ausgeführt wurde .... habe ich auch gelöscht. Außerdem noch den winloggn Eintrag in den Autoruns (Sysinternals) gelöscht. Der winloggn Prozess taucht seit dem auch nicht mehr auf jedoch ....

gleichzeitig mit dem auftreten der genannten Probleme traten auch Ungereimtheiten im Webbrowser (Firefox) zutage: Die Suchergebnisse bei Google sehen zwar aus wie immer, aber einige der Links (meistens die an erster Stelle!) zeigen beim Mausover in der Statusleiste nicht die echte URL sondern eine Adresse die immer so anfängt: http://go.google.com/ .... beim klick auf den Link wird man mittels redirect auf irgendeine unnötige umgeleitet.
Habe auch schon Yahoo Search auf Firefox probiert: dasselbe Ergebniss, nur das die Umleitungsadresse jetzt http:\\at.wrs.yahoo.com\ ..... lautete. Auch mit Opera passierte dasselbe!

Habe bereits im abgesicherten Modus mit AVG, HiJackthis, AdAware gesannt und alles gelöscht.
Jetzt kommts aber besonders dick: Beim Versuch das Programm Malwarebytes' Anti- Malware zu installieren (die exe Datei) passiert nix - egal ob abgesichert oder nicht - einmal gab es eine Fehlermeldung das irgendein Device nicht bereit wäre ... und die Interseite des Programms und vieler anderer (AVG, ...) ist nicht erreichbar!!! Aber in der HOSTS Datei gibt es keinerlei Einträge. Sprich all die Ratschläge die ich probieren wollte scheitern daran entweder die Datei garnicht runterladen zu können oder sie, wenn doch, nicht ausführen zu können ....


Die Krönung des h´ganzen ist, das ich auch die Systemwiederherstellung nicht ausführen kann - zwar kann der Wiederherstellungspunkt gewählt werden aber mehr auch nicht ....

Ach noch was: AVG kann seit auftreten der "Müllware" keine Verbindung zum Update Server herstellen ....


Ich habe absolut keinen Plan mehr wie ich weiter vorgehen sollte - das einzige was mir Hoffnung gibt ist das Neu Aufsetzen. Aber bevor ich das mache möchte ich noch alle event. möglichen Lösungen testen um es vlt. doch noch in den Griff zu kriegen - und sollte das nicht klappen habe ich zum Aufsetzen auch noch einige kurze Fragen: In meinem System sind 2 interne Festplatten (die zweite als Sicherungsplatte und auf der ersten das System und mehrere Partitionen wie Musik, Filme, ...) - ist es möglich das "ganze" Dateien (mp3, jpg, avi, exe, zip, ...) in irgendeiner Form betroffen sind bzw.: kann der Schädling nur in einer Betriebssystem Umgebung existieren oder kopiert sich Schadcode auch auf nicht Systempartitionen??
Und ist es gefährlich die Dateien zum neuaufsetzen (Treiber, SP3, Programme, ...) auf den verseuchten Rechner runterzuladen? Und was ist mit den externen Platten - besteht ein Risiko wenn ich diese nur im Explorer betrachte?


Aktuell: Z.z. tauchen die Weiterleitungsklinks nicht mehr auf, jedoch kann ich Malwarebytes', AVG usw. noch immer n icht ausführen - auch die Malwarebytes' Version die in einem anderen Thread gepostet wurde (1234 ...) funktioniert nicht: zwar kann ich sie installieren aber leider nicht starten - beim klicken passiert genau nix! ... oder geht das NUR im abgesicherten Modus?

UND!!!: Beim Versuch gmx!! zu öffnen stürzt Firefox ab und der Desktop ist solange blau und ohne Hintergrundbild und Symbole bis der Prozess beendet wird .... hatte mich gerade bei euch registriert und den Aktivierungslink dorthin geschickt .... hab dann abgesichert mit Netzwerktreibern gestartet und konnte mich so dann doch einloggen ... jedoch funktioniert Malwarebytes' Anti-Malware noch immer nicht (auch nicht über Commandozeile, Ausführen als, ...) :-(



Soweit meine hoffentlich verdaubaren Schilderungen - Ich bin bereit euren Ratschlägen blind zu folgen ;-), und sei es auch um nur zu erfahren was für ein Schädling das ist und wie er aufs System gelangen konnte .... meine Vermutung ist das ich nicht gleich das aktuellste Firefox Update installiert habe (erst ca. 2-3 Tage nach erscheinen) ... möglich?

Danke fürs Lesen und hoffentlich bis bald :-)



P.S.
Was für Programme sollten man auf jeden Fall installieren um sich bestmöglich zu schützen? (Kaspersky, Malwarebytes', Spybot, Adaware usw. ; nur Windowfirewall oder mehr .......) z.Z. hab ich AVG, PeerGuardian2, Windows Firewall, Adaware, CCleaner.



<-- Logfiles wurden von mir nachträglich entfernt -->

#2 deinstaliere malwarebytes.
versuche combofix:
http://board.protecus.de/t23188.htm

#3

Zitat

virenfinder postete
deinstaliere malwarebytes.
versuche combofix:
http://board.protecus.de/t23188.htm

Hi

Ok, soll ich zum deinstallieren abgesichert starten und das Netzwerk abdrehen oder is das egal?

Der Link zu combofix geht nicht: http://download.bleepingcomputer.com/sUBs/ComboFix.exe (diese Seite kann nicht angezeigt werden blabla)

#4 >>
Lade Dir Combofix aus dem Anhang hier zuunterst im Beitrag und gehe nach Anleitung vor:
http://www.virus-protect.org/artikel/tools/combofix.html

Poste das Log.

Gruss Swiss

#5

Zitat

Tonstudio postete
>>
Lade Dir Combofix aus dem Anhang hier zuunterst im Beitrag und gehe nach Anleitung vor:
http://www.virus-protect.org/artikel/tools/combofix.html

Poste das Log.

Gruss Swiss

Hi Swiss
danke für Deine Hilfe

Leider krieg ich diese Meldung (egal ob mit/ohne speichern unter): "Von der Quelldatei kann nicht gelesen werden. Versuchen sie es später nochmal oder kontaktieren sie den Serveradministrator" ....

der Downloadlink ist leider derselbe (bleepingcomputer.com/sUBs/ComboFix ) den ich zuerst probiert habe.

Zweite Fehlermeldung: "Der Download kann nicht gespeichert werden weil ein unbekannter Fehler aufgetreten ist. Bitte versuchen sie es später nochmal."

#6 verwende mal bitte die von mir hochgeladene datei

#7

Zitat

virenfinder postete
verwende mal bitte die von mir hochgeladene datei

Den blep-Link zu Combofix in diesem Post habe ich schon probiert

Habe in einem anderen Thread diesen Link gefunden und bei dem hats geklappt!
(http://board.protecus.de/t35678.htm Post #4)

Konnte Combofix installieren und auch starten - zu Beginn kam diese Meldung: "Combofix hat festgestellt das dein Windows über keine Wiederherstellungskonsole verfügt. Soll diese installiert werden? --Achtung, aktive Internetverbindung notwendig!--
Da ich zu disem Zeitpunkt die LAN-Verbindung deaktiviert hatte, habe ich nein gewählt ... nona ;-)

Nach der Meldung das Rootkit-Aktivitäten gefunden und einem Neustart erhielt ich das ersehnte Log File:


<-- Logfiles wurden von mir nachträglich entfernt -->



Ok also dann, besteht Hoffnung auf Rootkiteliminierung :-D?

#8 hallo bitte gehe auf start ausführen kopiere:
combofix /u versuche noch mal die neueste version zu laden, erstell ein neues log poste dies.
weiter mit sdfix:
http://virus-protect.org/artikel/tools/sdfix.html
ausfüren log posten.
dann lad erneut malwarebytes updaten ausführen funde löschen und log posten.
dann neues hijackthis-log.
dein computer ist von einem rootkit befallen! bitte trenne ihn vom internet falls net benötigt (nur auf von uns genannten seiten surfen) falls du onlinebanking etc betreibst, informiere die bank darüber!
alle passwörter sind als unsicher zu betrachten, endere sie von einem sauberen rechner aus!

#9 Hi virenfinder
danke für die Erklärung, hier alle 4 logs (hatn bisl gedauert)

AVG geht jetzt übrigens wieder!


<-- Logfiles wurden von mir nachträglich entfernt -->




puuhh, viel Lesestoff ;-)

#10 lösche sdfix.
da du rootkit hattest, scannen wir mit der rescuecd von avira. nicht das sich da noch was versteckt:
www.avira.com/de/support/support_downloads.html - 34k -
nach anleitung durchfüren funde renamen oder löschen und hier posten.
wie läuft dein pc?

#11

Zitat

virenfinder postete
lösche sdfix.
da du rootkit hattest, scannen wir mit der rescuecd von avira. nicht das sich da noch was versteckt:
www.avira.com/de/support/support_downloads.html - 34k -

und falls sich was versteckt werden wir es ausräuchern ;-D

Zitat

nach anleitung durchfüren funde renamen oder löschen und hier posten.

fang gleich damit an ... !

Zitat

wie läuft dein pc?

danke der nachfrage, er läuft und läuft ... sozusagen :-) , bisher hab ich keine Umleitungen mehr gesehen und auch die Ladezeiten sind wieder so wie sonst.
Eines macht mir aber arge Sorgen: Hab grad nochmal mit AVG gesannt und in der Inbox von Thunderbird wurden wieder jede Menge Abschaum gefunden :-)



<-- Logfiles wurden von mir nachträglich entfernt -->



Als ich die infizierten löschen wollte sagte mir AVG das der Ordner!! Inbox zu groß für den Paierkorb ist ... na zum Glück ist er das sonst wär er jetzt vmtl. weg .... find ich arg das AVG nicht NUR die gefundenen Objekte löschen kann oder ises das nicht? ok, auf zu Avira

#12 avira würde das net vorschlagen... um die inbox kümmern wir uns, so lang du die anhänge net öffnest ist alles io

#13

Zitat

virenfinder postete
avira würde das net vorschlagen... um die inbox kümmern wir uns, so lang du die anhänge net öffnest ist alles io

hatte bis eben den Scann laufen aber vorher nicht konfiguriert - konnte die gefundenen Objekte (ca. 150) nicht löschen .... dang .... das Logfile, falls eines gespeichert wurde, kann ich nicht finden.

Werd den Scann nochmal laufen lassen nachdem ich soviel Musik gehört habe das ich entspannt bin :-) und poste das log (wo auch immer das dann liegt) entweder noch heute oder morgen.

Wünsche Dir inzwischen eine schöne Nacht, bis bald und Danke das Du Dir Zeit genommen zu helfen - falls Dir Elektronische Musik taugt oder Du auf Konsolen/PC Emulationen stehst, könnt ich mich und würde mich gerne revanchieren, gib bescheid falls interesse besteht ;-) (ruhig auch Namen von Spielen)!

LG

#14 hallo, ich glaub du kannst das logfile auf diskette speichern z.B.
bin mir jetzt net sicher (da net zur hand) obs auch wo anders geht.
Danke für das angebot ;-)

#15 Hi, also das mit dem Logfile wurde nix - hab kein Floppy, allerdings hat Avira einiges gefunden und umbenannt, lediglich bei den System Restore Points stand zwar das etwas entdeckt wurde aber nicht das es umbenannt bzw. gelöscht wurde, naja ..

Gibt es Programme die ich noch drüber laufen lassen sollte? (Blacklight oder sowas)


Eines würde mich interessieren: Wie kam das Rootkit auf den Rechner und wie hast Du erkannt das es eines ist? Sprich welcher Eintrag verrät das ...

Und bevor ichs vergeß :-) - welche Komplettlösung (Viren, Trojaner, Rootkits, ...) ist empfehlenswert, dachte an Kaspersky Internet Security, oder gibts bessere?

Ach, deine Empfehlung wegen der Bank (Anrufen) - kann zwar leider erst morgen anrufen (öffnungszeiten), aber da die wappler (anm.: die programmierer des rootkits) sowieso keine TANs haben nutzt ihnen das ja herzlich wenig - wichtige Passwörter speichere ich generell nicht also wird immer nur der Benutzername gespeichert - aber ist es möglich das mittels Keylogger z.B. Zugangsdaten zu PayPal u. dgl. "gehackt" wurden???


Ok, genug gefasselt .... ;-)
ah wegen wegen der Musik und Emulationen, meld Dich einfach per PN ;-D