rc23.overture.com

#16 Schritt 1

Hosts reparieren

Lade Dir bitte HostsXpert herunter.
Entpacke die Zipdatei und starte das Tool.
Klicke nun auf Restore MS Hosts File--> Ok--> Exit Programm.
Solltest Du kein Zip-Programm haben kannst Du Dir die Testversion von Winzip herunterladen.

Schritt 2

Combofix mit Skript laufen lassen

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

• Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schritt 3

Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.
• Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
• Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
• Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
• Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei
Drivers
• Stealth Code
• Files
• Code HooksEntferne alle anderen Hacken

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde File --> Save Report[/indent] klicken.
• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close
Hinweis: Solltest Du folgende Warnung bekommen

Zitat

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK

#17 Hallo Swiss !
ich weß gar nicht, wie ich Dir für so viel Unterstützung Danken kann..

Ich habe alle Schritte wie von Dir beschrieben ausgeführt.

Aber immer noch das gleiche Ergebnis. Logfiles anbei.

Gruß und gute Nacht !

Klaus65

#18 Ich nehme an das mit der Host hast Du gemacht?

Zur Umleitung:
1. Erfolgt diese systematisch und immer oder nur zufällig und ab und zu
2. Auf dem IE und FF
3. Immer auf die gleiche Seite?

TDSS Remover

• Dowloade Dir bitte TDSS Killer.zip und speichere es am Desktop.
• Extrahiere den Inhalt der Datei auf deinem Desktop.
Gehe sicher das die TDSSKiller.exe am Desktop ist. Nicht in einem Ordner.
• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
• Sollte die Meldung "Hidden service detected" schreiben keinesfalls irgendetwas hinein..Drücke nur ENTER !!!
• Wenn das Tool fertig ist, poppt ein Fenster mit den Funden auf.
Dieses bitte einfach schließen.
*] Nun auf Report klicken.
• Bitte poste mir den Inhalt hier in deinen Thread.
(auch zu finden unter C:\TDSSKiller<time_date>.txt)

#19 Hallo Swiss !
sorry für die späte Antwort. Ich war am WE unterwegs.

Die Weiterleitung erfolgt zufällig beim Anklicken eines Links bei google (oder yahoo..mehr habe ich nicht probiert). Vor unseren diversen Bereinigungen wurde ich fast immer auf rc23.overture bzw. dann auch auf zanox-affiliate.de weitergeleitet. Der Explorer öffnet die Seiten aber nicht.... Erst durch "Zurück" und erneutem anklicken des Links gelangt man auf die gewünschte Site. Ist nervig gewesen!

Nach unseren "Bereinigungen" tritt dies nur noch vereinzelt auf... man kann damit leben.

Die Weiterleitung betrifft IE und FF.

Nachfolgend nochmals die erfolglose Suche von TDDSkiller.

Auf der Site von Kaspersky wurde auch auf GMER verwiesen.. hat dies dem ursprünglichen Erfasser des Beitrages geholfen? Vielleicht sollte ich es nochmals versuchen?!

Gruß Klaus65

#20 Ja, Gmer hat ja bei Dir nicht geklappt. Versuche es nochmals. Gehst Du über einen Router ins Netz? Sind an diesem Router noch andere PCs?