Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Nach suchen und anklicken wird Firefoxauf eine fremde Seiten umgeleitet.


  • This topic is locked This topic is locked
5 replies to this topic

#1 hopsten

hopsten

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:04:22 AM

Posted 05 December 2011 - 02:19 PM

Mod Edit: Sent PM asking for repost in English ~ Hamluis.

Jetzt bitte ich um Hilfe:

Wird in einem neuen Fenster im Firefox eine Adresse eingegeben, so ist, abgesehen von einem langsameren Bildaufbau alles normal. Wenn ein Google- Suchergebnis gewählt wird, so wird auf eine ganz fremde Seite umgeleitet. Wenn das Suchergabnis kopiert und in einem neuen Fenster des Firefox eigefügt wird, dann wird auf die richtige Seite geleitet.

AVIRA hat gefunden:

C:\Dokumente und Einstellungen\a\Lokale Einstellungen\temp\luzTrefi.exe.part
[FUND] Ist das Trojanische Pferd TR/Offend.6940696
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP59\A0028534.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030545.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP64\A0030619.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP64\A0030620.ini
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0029534.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030534.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030552.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{48068B52-0717-49FA-9F28-CFC7AD320323}\RP61\A0030553.ini
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beim Neustart kommt die Avira- Meldung:
systray.exe stub
usg1.exe (scheint eine Umleitung durch eine andere Datei zu sein)
Internetverbindung zulassen ? ja / nein
Die Antwort "nein" scheint das Virus nicht zu beeinflussen.

Denn wenn eine Verbindung von Firefox fehlgeleitet wird und von Hand abgebrochen wird, bleibt die Internetverbindung aktiv, ein ungewolter datenaustausch findet statt, der nur durch Unterbrechung der Verbindung aufhört. Wird die Verbindung nach einer Minute wieder aktiviert, so findet kein Datenaustausch mehr statt.


Malwarebytes konnte nicht gestartet werden, Meldung: Keine Berechtigung. Nach einer Neuinstallation arbeitet dies Programm wieder, ist aber nicht fähig alles zu löschen.

Auch der Internetesplorer wird manchmal (nicht immer) umgeleitet. wird "öffen in einem neuen Fenster" gewählt, so ist alles, ausser langsamen Bildaufbau, normal.

In a/lokale einstellungen / temp / ist eine datay oeq33.exe, die sich nicht löschen lässt, auch nicht mit Hilfe von Unlocker. Nach der Meldung von Unlocker, "beim nächsten Start löschen ?" und Antwort "ja" ist sie dennoch wieder da.

Dort erscheinen auch Dateien wie smg1.exe bzw, offenbar identisch, beim nächsten Start unter 9mg1.exe.


Im System Volume Information befanden sich zwei Dateien , 08180784504291116drgs.exe und 0614"und weitere Zahlen"koreas.exe

Ist da noch Hilfe möglich? Vielen Dank,

Edit: Moved topic from XP to the more appropriate forum. We are primarily an English language forum. I will see if I can find you a person to help that speaks German. Please be patient as our resources are limited for other languages. ~ Animal

Attached Files


Edited by hamluis, 05 December 2011 - 04:55 PM.


BC AdBot (Login to Remove)

 


#2 myrti

myrti

    Sillyberry


  • Malware Study Hall Admin
  • 33,768 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:At home
  • Local time:05:22 AM

Posted 05 December 2011 - 02:59 PM

Hi,

um herauszufinden ob noch was zu retten ist, lass bitte mal folgende Programme laufen:
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in hier in den Thread.

Ausserdem bitte einmal gmer ausfuehren:

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:

    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?

    Unbedingt auf "No" klicken.
  • Entferne rechts den Hacken bei:

    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)

  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

MfG myrti

is that a bird?  a plane? nooo it's the flying blueberry!

If I have been helping you and haven't replied in 2 days, feel free to shoot me a PM! Please don't send help request via PM, unless I am already helping you. Use the forums!

 

Follow BleepingComputer on: Facebook | Twitter | Google+


#3 hopsten

hopsten
  • Topic Starter

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:04:22 AM

Posted 06 December 2011 - 09:58 AM

Hello friend,

thank you for promp replay. Defregger has startet and is ok. OTL has startet, also ok, two reports ara saved. Gmer has startet and worked twelfe hours withoput end. I saw it has found two thinks, red marked: 1) module (noname)(***hidden***) F7607000-F76E5000(5734bytes) 2) same as before but F64C8000-F640DF000(94208bytes). Gmer was working on, which was shown at the lower edge with some like c:\windows\etc or somethink SystemVolumeInformation. On the great display nothing heppend more. I stopped gmer and lost the report by mistake. Than was started again. After thirty minutes on the great display was the same. Now the machine is running once more with same result (report) on the big display.
I write this from an other pc because will not stop the process. May I stop Gmer and make a report- file to send you with the reports of OLT?

Thank you for the answer amd excuse me for bad english writing.

Greatings Hopsten

#4 hopsten

hopsten
  • Topic Starter

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:04:22 AM

Posted 06 December 2011 - 10:18 AM

Daer friend.

here are the reports of OLT, and GMER as winzip- file.

Greatings Hopsten

Attached Files



#5 myrti

myrti

    Sillyberry


  • Malware Study Hall Admin
  • 33,768 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:At home
  • Local time:05:22 AM

Posted 03 January 2012 - 07:14 PM

Hi hopsten,

es tut mir wahnsinning Leid, aber ich habe leider deine letzten Antworten übersehen. Bist du noch da und brauchst du noch hilfe?

MfG myrti

is that a bird?  a plane? nooo it's the flying blueberry!

If I have been helping you and haven't replied in 2 days, feel free to shoot me a PM! Please don't send help request via PM, unless I am already helping you. Use the forums!

 

Follow BleepingComputer on: Facebook | Twitter | Google+


#6 myrti

myrti

    Sillyberry


  • Malware Study Hall Admin
  • 33,768 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:At home
  • Local time:05:22 AM

Posted 12 January 2012 - 08:59 AM

Due to the lack of feedback, this topic is now closed.In the event you still have problems, please send me or any Moderator a Private Message and ask them to reopen this topic within the next 5 days. Please include a link to your topic in the Private Message. Thank you.

is that a bird?  a plane? nooo it's the flying blueberry!

If I have been helping you and haven't replied in 2 days, feel free to shoot me a PM! Please don't send help request via PM, unless I am already helping you. Use the forums!

 

Follow BleepingComputer on: Facebook | Twitter | Google+





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users