Virus/Hack ????

Hallo

sobald ich die normale Tera Online Europe Seite aufrufen will ich automatisch auf diese russische weitergeleitet werde (mit jedem Browser darunter Chrome,Firefox,Opera und IE)

Ist klar, weil der Proxy dafür in der Registry eingetragen ist

meine Registry + Temporäre Dateien habe ich ebenfalls bereinigt

WIE? Mit Oma`s Schmierseife oder eher mit so phantastischen Tools wie "TuneUp & Co." ??
Vermutlich Letzteres, die Wirkung bleibt aber vergleichbar: nämlich Null, Nada, Zero. 

Abhilfe:

1.
 
ALLE Toolbars deinstallieren / entfernen über Systemsteuerung-> Programme und Funktionen bzw. Systemsteuerung-> Software. Ebenso im jeweiligen Browser über "Extras-> Addons", Hilfe dazu:
 
http://www.wintotal.de/tipparchiv/?id=1649

2.

Reguläre LAN-Einstellungen kontrollieren und entsprechend ändern:

Systemsteuerung-> Netzwerkverbindungen öffnen, Rechtsklick auf die LAN-Verbindung: "Eigenschaften"

 

Weiter, siehe Text im Bild rechts oder über Systemsteuerung-> Internetoptionen:

 

3.

Geh in die Registry -> dazu Windowstaste + R zugleich drücken.

Gib >   regedit  < ein, ok.

Geh zu diesem Pfad->

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings, suche  rechts den Eintrag -> ProxyServer = XX.XXX.XXX.XX

Sollte dort an dieser Stelle kein Proxyserver eingetragen sein: gut.
Falls aber doch: diesen Eintrag rechts (und nur diesen!!) löschen!

Editor schließen, Neustart.

4.

Die Startseiten im Browser wieder neu festlegen:
Im Internet-Explorer über Extras-> Internetoptionen, im FF über Extras-> Einstellungen.
Ich persönlich wähle stets >   about:blank  <, was eine leere Startseite bedeutet.

Den Internet-Explorer 8 kann man auch automatisch zurücksetzen hiermit:

http://go.microsoft.com/?linkid=9646978

5.

Avira deinstallieren und ein vernünftiges Programm erwerben, kein Placebo wie Avira. Für Geizhälse eignet sich Avast oder Panda-Cloud bestens, für Fortgeschrittene und Betuchte ist Kaspersky gedacht.

Viel Erfolg.

Danke für die Antwort

Ich habe zwar alle Schritte befolgt aber leider hat es nichts gebracht. Ich habe gar keine Toolbars erst gehabt, die LAN-Einstellungen war bereits wie beschrieben und in der Registry war kein Proxserver Eintrag. Was ich noch festgestellt habe, wenn mein PC ein wenig ausgelastet ist sieht man beim laden der Seite bzw. des Launchers kurz die Original seite und dann greift der russische Müll ein.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
  
• Setze oben mittig den Haken bei Scanne alle Benutzer
  
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


• Schliesse bitte nun alle Programme. (Wichtig)
  
• Klicke nun bitte auf den Quick Scan Button.
  
• Klick auf .
  
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Da der Text ziemlich lang war habe ich das mal hochgeladen

http://www.file-upload.net/download-4227692/OTL.Txt.html

 

Ich habe gar keine Toolbars erst gehabt,...

Soso.... Und was ist das??

-Pando Networks Media Booster

-search.babylon.com

-Mein Gutscheincode Finder -> LESEN:
 https://addons.mozilla.org/de/firefox/addon/preisspion/reviews/

Außerdem hast du Einträge in den Hosts, im Klartext: Hijacking

- C:\Windows\SysNative\drivers\etc\hosts
Hosts: 213.239.204.183   tera-europe.com
Hosts: 213.239.204.183   www.tera-europe.com
Hosts: 213.239.204.183   account.tera-europe.com
Hosts: 213.239.204.183   www.account.tera-europe.com

Deine Hosts wieder auf Standard setzen:

 http://support.microsoft.com/kb/972034

Falls die Fehlermeldung kommt:
"Zugriff auf C:\Windows\System32\drivers\etc\hosts wurde verweigert." ->

Start-> Alle Programme -> Zubehör, mit der rechten Maustaste auf "Editor" und anschließend auf "Als Administrator ausführen".
Jetzt erst die Hosts-Datei öffnen (mit dem Editor) und die Änderungen vornehmen, anschließend im Menü "Bearbeiten" auf "Speichern". 

So, noch was "schönes" gefunden:

MsConfig:64bit - StartUpReg: ukgo.exe - hkey= - key= - C:\Users\Methedrin\AppData\Roaming\Huiv\ukgo.exe

Grundsätzlich:
ALLES, was unter-> AppData \ Roaming liegt UND einen Starteintrag hat oder eine .exe ist, ist IMMER hoch suspekt!

Danke erstmal für die Antwort

Ich werde mich jetzt mal daran machen dann werde ich Rückmeldung geben ob es geklappt hat.
Diese ukgo.exe hat mich auch schon gewundert hab die mehrmals versucht zu löschen aber bei jedem Windowsstart war die wieder da, hätte ich mal erwähnen sollen aber hab ehrlich gesagt nicht daran gedacht das die in Verbindung damit steht sorry...

Der Gema-Trojaner (oder so ähnlich) war auch schon drauf, gelle?

dwlGina3.dll->

(Kassl GmbH) -- C:\Users\Methedrin\AppData\Roaming\dwlGina3.dll

Ich würde sagen: NEUINSTALLATION, auch wenn ich damit sonst eigentlich nicht so schnell bin.

Aber hier kommt doch einiges zusammen.
 

Diese ukgo.exe hat mich auch schon gewundert hab die mehrmals versucht zu löschen aber bei jedem Windowsstart war die wieder da

->
Windowstaste + R zugleich drücken, jetzt
> regedit < eingeben und ok.
Hier zu HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.

Danach zu HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schließen.

Nochmals Start->Ausführen-> msconfig < eingeben und ok. Im Reiter "Systemstart" nach unbekannten Einträgen suchen, entsprechende Haken rausmachen.

Neustarten.


Leider bleibt es dabei nicht:

DhcpNameServer = 7.254.254.254 -> in USA, warum ???

http://www.ip-adress.com/ip_lokalisieren/7.254.254.254

====> NEUINSTALLATION!
 

Alles klar hat geklappt

Dann bedanke ich mich nochmal für die Hilfe ist heutzutage ja auch nicht selbstverständlich

Sry für Doppelpost.

Ja bei mir wars so ein Polizei-Trojaner aber der ist ja eigentliche leicht zu handlen

Wollte meinen PC schon ne Weile formatieren nur habe ich zurzeit kein funktionierendes Laufwerk, sobald ich wieder eine habe (denke mal spätestens Mitte des Monats) wird das gemacht

 

sobald ich wieder eine habe (denke mal spätestens Mitte des Monats) wird das gemacht

Sehr vernünftig

Und danach-> mitdenken, Filesharing komplett unterlassen, Programme immer "Benutzerdefiniert" installieren.