hallo...
Mein Google leitet mich immer auf andere Seiten um, was kann ich tuen ?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:03, on 11.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS.0\system32\oodag.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\TUProgSt.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS.0\RTHDCPL.EXE
C:\WINDOWS.0\vsnp2std.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\uTorrent\uTorrent.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS.0\vsnp2std.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Ashampoo Core Tuner] "C:\Programme\Ashampoo\Ashampoo Core Tuner\ct.exe" -TRAY
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
O4 - Global Startup: Wireless Configuration Utility .lnk = C:\Programme\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: prxernsp.dll
O10 - Unknown file in Winsock LSP: prxerdrv.dll
O10 - Unknown file in Winsock LSP: prxerdrv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B986B95D-7666-42F0-A008-2B986E8ABE15}: NameServer = 192.168.1.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: wbsys.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\Server\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS.0\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS.0\System32\TUProgSt.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Server\xampp\service.exe

--
End of file - 8586 bytes
         

Hallo und

Zitat:

C:\Programme\uTorrent\uTorrent.exe

Was laden wir denn da gerade runter?

Das hier habe ich auf einem anderen Board (HJT-Forum) gefunden:

Zitat:

Die hier vorgestellten Programme benötigt Windows nicht unbedingt.
Bitte unter Start => Systemsteuerung => Software => Ändern/Entfernen... deinstallieren.

• BearShare
• Kazaa
• Azureus
• LimeWire
• Morpheus
• eMule
• Shareaza
• FrostWire
• BitTorrent
• uTorrent

Selbst wenn du ein sicheres P2P Programm verwendest, ist es nur das Programm, das sicher ist. Du wirst Daten von unsicheren Quellen teilen und diese sind häufig infiziert.

Also uTorrent bitte sofort deinstallieren, ansonsten sind alle weiteren Schritte eher sinnlos.

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS.0\Installer\TSClientMsiTrans\tscuinst.vbs
C:\WINDOWS.0\System32\prxernsp.dll
C:\WINDOWS.0\System32\prxerdrv.dll
         

Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

2.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

hallo.
Danke für die rasche Antwort.
VirusTotal hat nichts gefunden aber GMER sagte das da etwas währe .
Hier mein GMER log .
MfG Frahmi12

Du bist schon der zweite mit diesem fiesem Teil. Weißt du zufällig, wie du den bekommen hast? Falls es ein Download war, dann schicke mir den Link bitte als PN (Private Nachricht).

Vorab: Die Bereinigung dauert wesentlich länger als ein Neuaufsetzen. Falls es keine wichtigen Gründe gibt, die gegen ein Neuaufsetzen sprechen, dann würde ich dir das empfehlen.

Ansonsten:
Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Das hier ist mein neuer Log.
ich hoffe ihr könnt damit etwas anfangen....
MfG Frahmi12

Edit:.............

Code: Alles auswählenAufklappen

ATTFilter

 c:\programme\DAEMON Tools Toolbar
         

Die Toolbar würde ich wegmachen.

Über den Rest der Combofix logs kenne ich zu wenig. Deswegen warte lieber auf noch weitere Antworten.
DAEMON Toolbar würde ich trotzdem entfernen.

@DJ-D

Hallo, wir hatten nicht früher zufällig den Nick clipperd?

Halte dich raus, sonst und zwar solange, bis du lachst und dann , weil du lachst.

ciao, andreas

Nein, ich kenne den net. Ich bin Daniel Koch, kein was weiß ich... Und ja, ich halt mich ja schon raus. -.-'

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
ovfsthxejyilmxsappvgpptweyfdnddxjlktba
GPU-Z

Registry::
[-HKLM\SYSTEM\ControlSet001\Services\ovfsthxejyilmxsappvgpptweyfdnddxjlktba]
[-HKLM\SYSTEM\ControlSet003\Services\ovfsthxejyilmxsappvgpptweyfdnddxjlktba]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"=-
"nltide_3"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8865e274-00c8-11de-9ec2-0019663d6f84}]

RegLockDel::
[HKEY_USERS\S-1-5-21-682003330-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]

File::
c:\windows.0\system32\drivers\ovfsthycfihtunlyohibreatqmvpmvmhfaxrsv.sys
c:\windows.0\system32\ovfsthqjuowoepfyjkrxtfoayxyscyugwmcbda.dll
c:\windows.0\system32\ovfsthiatvxeevrqkwjismqlrpmtmgnrumjbse.dat
c:\windows.0\system32\ovfsthwfoguwgwobgwsdkcjvqiegdysyyqiion.dat
c:\windows.0\system32\ovfsthrjnhviajnvstsqhykyjjhturrvjiqeph.dll
c:\windows.0\system32\ovfsthgpjmyfnkrrpxqvseltuyvjkwaebmodqx.dll
c:\windows.0\system32\ovfsthwfoguwgwobgwsdkcjvqiegdysyyqiion.dat
c:\windows.0\system32\ovfsthiatvxeevrqkwjismqlrpmtmgnrumjbse.dat

Folder::
C:\Programme\Mozilla Firefox\extensions\{38B32EFC-6FE7-44E0-9A27-D4B9B02739C9}

DirLook::
c:\windows.0\Root
c:\programme\WirelessBooster
c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Hagel Technologies
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Das ist der neue Log .
MfG Frahmi12

Jetzt sollte es deinem Rechner wieder so gut gehen, dass du mit ihm arbeiten kannst.

1.) Deinstalliere vorab:

• Spybot
• TuneUp Utilities

2.) Poste ein neues Gmer-Log (Trallala).

3.) Klick auf "Für alle Neuen" in meiner Signatur und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Nabend .
Besten dank, es funktioniert wieder alles.
GMER hat diesmal auch nichts gefunden, und jetzt kann man auch wieder vernünftig Googeln .
MfG Frahmi12

Trotzdem brauche ich erstmal das Log von Malwarebytes und die Uninstallliste. Selbst danach bist du noch nicht entlassen. Ich sagte doch, Bereinigungen dauern immer länger als Neuinstallationen.

ZHPDiag von Nicolas Coolman

1. Klicke auf Téléchargement de ZHPDiag
2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
4. Klicke auf All
5. Klicke auf General Analysis
6. Klicke auf Paste Clipboard
7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
8. Drücke [Strg]v, [Strg]a
9. Klicke auf #

ciao, andreas

Hier der GMER Log und Hier der Malwarebytes Log .