[Windows XP-32 bit] Google warnt vor Malware

[kleene50]

ein freundliches Hallo allen, ich möchte das Thema nochmal aufgreifen hier, weil mich genau dieses betrifft seit ca. 2 wochen und ich nicht mal mehr Google anklicken kann seit wenigen tagen (weder im IE noch im FF). Immer kommt eine weiße seite drauf steht 404 NOT FOUND ..
ich bin echt schon am verzweifeln kremple seit tagen das ganze www um, aber eine Lösung ist nicht zu finden. Vielleicht kann mir von euch jemand helfen.
Ich lasse regelmäßig Spybot, Malwarebytes und CC-Cleander durchlaufen und doch bekomme ich das riesen Problem nicht in den griff .

genau dieses problem ist das meine Google warnt vor Malware | heise Security

liebe grüße kleene50

[Der Leo]

Hallo,

Schritt 1

Deinstalliere Spybot Search & Destroy da es die weitere Bereinung stört.
Nach der Bereinigung ist es dir überlassen ob du es wieder Installierst.

Schritt 2

Zitat:

Ich lasse regelmäßig Spybot, Malwarebytes und CC-Cleander durchlaufen und doch bekomme ich das riesen Problem nicht in den griff .

Poste bitte alle Logs von Malwarebytes!

Schritt 3

Stelle vorerst alle Online aktivitäten wie Online Banking, Amazone ect. ein.

[kleene50]

hallo Leo, danke für deine schnelle Antwort ... spybot hab ich nun deinstalliert und werd ihn nicht wieder installieren, denn er hat mir immer 118 Malware-funde festgehalten, die er nie behoben hat, mit der begründung das sie zum system 32 gehören und nicht gelöscht werden können.
Malwarebytes kam immer das Ergebnis - 0 Funde, ich lasse es grad eben nochmal durchlaufen allerdings mit Quick-Scan
hier das Ergebnis
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4052
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08.08.2011 12:18:45
mbam-log-2011-08-08 (12-18-45).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125301
Laufzeit: 7 Minute(n), 54 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und die Google-seite bleibt immernoch weiß... soll ich den CC-Cleaner nochmal ausführen? oder was hilft mir nun, den Rest Malware zu löschen, was Spybot festhielt??
lg kleene50

[Der Leo]

Nein Ccleaner brauchst nicht drüber laufen lassen.

Gehe bitte wie folgt vor.

Malwarebytes Anti-Malware
Download (Free Version): Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

• Installiere das Programm in den vorgegebenen Pfad.
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
• Es wird ein Logfile erstellt.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Lade bitte beide Logfiles bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

[kleene50]

halloLeo, hier ist nun der erste Logfile.. von Malwarebytes.. hab es so gemacht, wie du beschrieben hast.

File-Upload.net - mbam-log-2011-08-08--16-00-21-.txt

das mit dem OTL muss ich noch machen.
danke für die Hilfe.
lg kleene50

[kleene50]

hallo hier sind beide txt des OTL und Extras

File-Upload.net - Extras.Txt

File-Upload.net - OTL.Txt

nun bin ich noch nicht schlauer *lach*

lg kleene50

[Der Leo]

Hm aus welcher Quelle stammt diese Datei?
c:\dokumente und einstellungen\Besitzer\eigene dateien\proggis m.medizin\_fasecwkeygds\cr-ywy01\CORE10k.EXE

[kleene50]

diesen Ordner kann ich ohne weiteres löschen, das ist ein Programm aus einem tauschforum in dem ich Mitglied bin. da habe ich noch nichts installiert, nur entpackt, aber der Ordner ist schon seit 10.dez.2009 auf dem PC
soll ich ihn löschen?

[kleene50]

hab PC neu gestartet und mit google ist immernoch das gleiche
404 NOT FOUND

[Der Leo]

Auch immer was das für ein Tausch Forum ist. Davon würde ich die Finger lassen. Den die Datei scheint mir Illegalen Ursprungs und auserdem beinhaltet sie Schadsoftware.

Außerdem hast du 2 AntiViren Programme am laufen.
Entscheide dich bitte zwischen Avira oder AVG.

Ich hab das was gefunden wobei ich mir nicht sicher bin wie diese Datei einzuschätzen ist. Aber du kommst ja leider auf keine Website.

Deshalb mach mal folgendes.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox (ohne das Wort Code: ).

Code:

:OTL
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[RESETHOSTS]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

[AHT]

Zitat:

Zitat von kleene50

hab PC neu gestartet und mit google ist immernoch das gleiche
404 NOT FOUND

Das war auch noch nicht Sinn des Scans. Google wird bei dir auf einen anderen Server umgeleitet:

Code:

O1 HOSTS File: ([2009.07.27 13:27:43 | 000,007,686 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 74.125.45.100 test1111.com
O1 - Hosts: 74.125.45.100 test1112.com
O1 - Hosts: 74.125.45.100 4-open-davinci.com
O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 - Hosts: 74.125.45.100 privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getavplusnow.com
O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 - Hosts: 89.248.168.188 google.ae
O1 - Hosts: 89.248.168.188 google.as
O1 - Hosts: 89.248.168.188 google.at
O1 - Hosts: 89.248.168.188 google.az
O1 - Hosts: 89.248.168.188 google.ba
O1 - Hosts: 89.248.168.188 google.be
O1 - Hosts: 89.248.168.188 google.bg
O1 - Hosts: 89.248.168.188 google.bs
O1 - Hosts: 89.248.168.188 google.ca
O1 - Hosts: 89.248.168.188 google.cd
O1 - Hosts: 89.248.168.188 google.com.gh
O1 - Hosts: 89.248.168.188 google.com.hk
O1 - Hosts: 201 more lines...

[Der Leo]

@ AHT

Dafür ist der eintrag RESETHOST im OTL Script. Aber ob das damit schon behoben ist?


Außerdem gefällt mir die ClocX.exe nicht.

[AHT]

Dürfte eine Analoge Uhr sein. ClocX - ClocX.exe - Program Information

Da ist auf jeden Fall nicht alles in Ordnung - Antivir Funktioniert unter anderem nicht korrekt.

[kleene50]

soooo, nun habe ich den AVG deinstalliert und das mit der OTL gemacht und hier das Ergebnis

All processes killed
========== OTL ==========
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Besitzer
->Flash cache emptied: 456 bytes

User: Default User

User: kleene.WALLI

User: LocalService
->Flash cache emptied: 0 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 133034 bytes
->Temporary Internet Files folder emptied: 6058423 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: kleene.WALLI

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 6,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08082011_185503
Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF7B91.tmp moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFBF96.tmp moved successfully.
File\Folder C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFE228.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFE271.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFE3E0.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFE447.tmp not found!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PFE33O5E\blank[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PFE33O5E\view[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PFE33O5E\xframe-proxy_20110602[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PFE33O5E\xframe-proxy_20110602[2].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NIGF6QO4\12741-88028-2214-27[1].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NIGF6QO4\141081-google-warnt-vor-malware[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NIGF6QO4\controller[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NIGF6QO4\iframe3[1].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NIGF6QO4\iframe3[2].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\12741-88028-2214-27[1].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\14462-94206-34922-2[1].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\ads[1].txt moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\app[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\iframe3[1].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\iframe3[2].htm moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\quickreply[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\84VTXNMU\yimapp[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\20110405_de_foodvariety_bc89_15sec_180x150[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\ext-render-secure[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\ext-render[1].html moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\launch[1].txt moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\st[1] moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\st[2] moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\st[3] moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IGA52F7\st[4] moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
Registry entries deleted on Reboot...


die ClocX ist eine Uhr für den Desktop, die ich schon seit 2001 besitze und im Mai 2009 auch auf diesem PC hier installiert habe.

den Antivir habe ich mir am Samstag neu installiert (von der computerbildseite) weil er nach einer Systemwiderherstellung nicht mehr funktionierte.

[Der Leo]

Ach alles klar. Ja aber du kannst nicht AVG und Avira zusammen betreiben. Die beiden Programme beißen sich. Deinstallier eins von beiden

Magst du einmal versuchen ob Google dich noch umleitet? Durch sind wir dann aber noch nicht. Dein PC ist ganz schön vollgemüllt.