Danke Arne, der Tipp hat malwarebytes zum Laufen gebracht.
Ich hoffe as Programm findet jetzt auch was.....wo sich der "Schädling" schon die Mühe macht, seinen Start zu verhindern!
Neben bemerkt würde mich mal interessieren, worin der Sinn einer Falschweiterleitung sein soll? Ist diese Falschweiterleitung Teil des wirklichen Schadprogrammes oder vollkommen unabhängig von weiteren Schadprogrammen zu sehen? Wäre ja irgendwie nicht sehr clever, wenn man durch diese Falschweiterleitung auf den wirklichen Schaden (Weiterleitung der persönlichen Daten über die Ukraine) aufmerksam machen würde oder?

Das Umbiegen der DNS-Einstellungen hat den Sinn, dass dir der böse DNS-Server nicht die echte dazugehörige IP-Adresse liefert. Du kannst dann zB sparkasse.de richtig eintippen (URL ist korrekt) aber durch den bösen DNS landest du trotzdem auf eine Seite, die dir Sparkasse vorgaukelt und wo du PINs und TANs eintippen sollst

Hast du an das Update von malwarebytes gedacht?

Hallo Arne,
denn Sinn der Umleitung durch verbiegen der DNS-Einstellungen habe ich verstanden und auch was man damit machen kann. Die fehlerhafte Weiterleitung bei google-Ergebnissen macht einen aber ja darauf aufmerksam, dass etwas mit dem System nicht stimmt. Das will der Angreifer ja eigentlich nicht, sondern er möchte gerne im Verborgenen bleiben. Darauf bezog sich meine Frage. So weit ich dass dann verstanden habe, läßt sich die google Falschweiterleitung nicht vermeiden, wenn man auch andere IP-Adressen umleiten will. Richtig?
Hab natürlich das Update vergessen.  

 

Das will der Angreifer ja eigentlich nicht, sondern er möchte gerne im Verborgenen bleiben.

Vllt möchte er das, vllt aber nicht auch nicht. Viele User machen sich wohl nicht wirkich Gedanken darum, ahnen evtl garnicht, dass ein Umleiten unnormal sein könnte. Vllt ist dieses Verhalten aber auch ein völlig unerwünschter Nebeneffekt, auch den Schädlingsprogrammieren unterlaufen Programmierfehler.

 

So weit ich dass dann verstanden habe, läßt sich die google Falschweiterleitung nicht vermeiden, wenn man auch andere IP-Adressen umleiten will. Richtig?

Das ist abhängig davon, wie der böse DNS-Server mit Einträgen gespickt ist. Und ob noch andere Malware aktiv auf dem System ist, die trotz eines richtig eingetragenen DNS-Servers evtl. DNS-Queries "filtert" bzw. manipuliert.

Können Experten denn an Hand der Log-Files von OTL und Malwarebytes tatsächlich immer die schädlichen Einträge entziffern oder gibt es auch Fälle bei denen alle Programme versagen und auch die Dateien keine Auskunft über die vermutlich schädlichen Einträge abliefern?

Mit Fsecure blacklight und Sophos Anti Root Kit habe ich ja nichts gefunden und malwarebytes Anti Malware ist bisher auch negativ... ???
Sind die Programme noch nicht ausgereift oder sind die Rootkits einfach zu schlau?
Ich hoffe nur, dass ich um eine Neuinstallation rumkomme....
P.S.: Korrigiere: MalwareBytes hat die ersten 2 infizierten Dateien gefunden 

Info zum Thema rootkits:

http://www.gdata.de/virenforschung/info/hintergrundinfos/rootkits.html

http://www.windows-secrets.de/sicherheit/artikel/d/rootkits-vom-rechner-entfernen.html

 

Hallo,
insgesamt hat MalwareBytes Anti Malware 3 infizierte Dateien gefunden. Hier das Log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5544

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.01.2011 16:31:44
mbam-log-2011-01-18 (16-31-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|H:\|)
Durchsuchte Objekte: 281916
Laufzeit: 1 Stunde(n), 48 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19D8F5E7-7806-465F-A4F3-15ADC8F77225}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.164.72,93.188.166.222) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\ALZALZ.BIN (Spyware.Passwords) -> No action taken.
c:\WINDOWS\system32\ALZZip.BIN (Spyware.Passwords) -> No action taken.

Habe ich entfernt und neu gestartet. Kann ich jetzt davon ausgehen, dass der Computer sauber ist?
Was kann ich neben meinem Virenscanner (Avira Antivir) noch installieren, um so etwas zukünftig zu vermeiden?

DRINGEND DEN PC NEU AUFSETZEN............
Ist ja grauselig..........
Und gehe davon aus, dass die Schädlingsmacher mindestens so clevewr sind wie die Säuberer
gruß
L.

Das PC neu ausetzen die beste Lösung ist, habe ich durchaus begriffen, aber reicht das eliminieren der drei Einträge wirklich nicht aus, damit nur ein Restrisiko bleibt?

Malwarebytes ist bei einem erneuten Suchlauf negativ
Google-Weiterleitung klappt wieder (zumindest bei den 30 Adressen die ich getestet habe)
Alle Passwörter wurden von einem sauberen Compi aus geändert.

Bin ich jetzt nach wie vor stark gefährdet oder bleibt lediglich ein Restrisiko?
 

Einfach mal lesen.   

Burgeule

Klick mich

Das hier ist auch noch informativ.

Klick mich

Es leibt also ein Restrisiko, dessen Höhe man nicht abschätzen kann.
Ich habe zumindest die Umleitung in die Ukraine gekappt und drei infizierte Dateien gereinigt, von daher stehe ich besser als heute morgen da . Dafür erstmal Danke für alle die mir dabei geholfen haben, besonders Arne!

Nochmal meine Frage, nach weiteren Schutzprogrammen, die ich verwenden sollte?

Falls ich doch noch den PC neu aufsetzen muss/will. Gibt es dafür eine Anleitung wie man dabei am cleversten vorgeht (Partionsgröße und Verteilung von Betriebssystem, Programmen und anderen Daten)? Denn wenn ich das schon mal irgendwann mal machen muss, will ich das so machen, dass eine komplette Neuaufsetzung zukünftig möglichst einfach ist. 

Unabhängig vom System scannen :

Scannen mit LiveCD ..... ggf beim Nachbarn/Freund laden & als ISO brennen ..

http://www.avira.com/de/support-for-home-knowledgebase-detail?kbid=230

ist nur am Download-Tag aktuell!!

Beschreibung
http://www.pcwelt.de/start/sicherheit/antivirus/news/189739/neue_version_des_avira_antivir_rescue_system/

oder  : lt Nostradamus .....

http://scareware.de/2010/04/boot-cd-virenscanner-kaspersky-rescue-disk-10/

http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/
Direktadresse zum laden der ISO
 

 

-> No action taken.

Lt. Log wurden die Funde nicht entfernt. Unbedingt nachholen!
Gab es noch weitere Funde mit malwarebytes oder nur diese drei? Wenn mehr, dann bitte alle Logs posten!

Das mit der Live-CD lassen wir erstmal weg, das kann man immer noch machen wenn es nötig ist.

Und die Format-C-Freunde können sich hier jetzt auch raushalten, wir wissen, dass format-c das Allheilmittel in diesem Fall aber unerwünscht ist. Formatiert doch euren eigenen Rechner 

Formatiert doch euren eigenen Rechner 

Wozu? Mein Rechner funkt nicht in die Ukraine 

Lt. Log wurden die Funde nicht entfernt. Unbedingt nachholen!
Gab es noch weitere Funde mit malwarebytes oder nur diese drei? Wenn mehr, dann bitte alle Logs posten!

Das mit der Live-CD lassen wir erstmal weg, das kann man immer noch machen wenn es nötig ist.

Und die Format-C-Freunde können sich hier jetzt auch raushalten, wir wissen, dass format-c das Allheilmittel in diesem Fall aber unerwünscht ist. Formatiert doch euren eigenen Rechner 

Die Funde habe ich entfernt! Sonst wurde nichts gefunden, auch der erneute Scan blieb sauber!
Was mich nachdenklich macht ist, dass Malwarebytes auch jetzt noch nicht mit *exe Endung starten will.
Hatte jetzt eigentlich vor, dass morgen mit der LIVe-CD anzugehen. Zusätzliche Prüfung schadet doch nicht oder kann ich dabei was kaputt machen? ???

Hab zusätzlich noch ein Firefox Addon runtergeladen, was ein redirect verhindern soll. War das ok, oder demaskiere ich damit evtl. eine malware erzeugtes Redirection.