| |
| |||||||
Log-Analyse und Auswertung: Falsche Internetseiten werden geöffnetWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.09.2008, 17:21
| #1 |
 |  Falsche Internetseiten werden geöffnet Hallo, meine Freundin hat mir gestern gesagt, dass ihr Virenprogramm einen Fund gemeldet hat. Ich habe dann heute im Bericht von Antivir folgendes gelesen: In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nljefbfg.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Frauder.dk' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Nun ist es so, dass sie jetzt nicht mehr auf ihr email Postfach zugreifen kann. Auch wenn man über google suchbegriffe eingibt und dann einen entsprechenden link anklickt, gelangt man nicht auf die gewünschte Seite, sondern z.b. auf: h**p://germany.funmobile.com/landing_e.jsp?a=412 (bei suche nach "hijack this") darum hier jetzt mal ein hijckthis log. Wäre nett, wenn es sich jemand ansehen würde. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:07:23, on 08.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Dokumente und Einstellungen\Administrator\Desktop\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209547541433 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Dokumente und Einstellungen\Administrator\Desktop\iPod\bin\iPodService.exe -- End of file - 7519 bytes Vielen Dank im Voraus!:aplaus: |
|
08.09.2008, 18:31
| #2 |
| | Falsche Internetseiten werden geöffnet Mir ist gerade noch aufgefallen, dass nach jedem Neustart die Windows Firewall deaktiviert ist, auch wenn sie vorher aktiviert wurde.
__________________Handelt es sich denn wirklich um einen trojaner, wie es antivir angezeigt hat? Habe gerade noch mal antivir gestartet. es kam sofort die meldung, dass "svchost.exe" ein virus ist. Wie soll ich jetzt vorgehen? Geändert von dr.beir (08.09.2008 um 19:03 Uhr) |
|
08.09.2008, 19:11
| #3 |
  | Falsche Internetseiten werden geöffnet Hi,
__________________arbeite bitte die folgenden Schritte genau nach der Reihenfolge ab: 1.) Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix Starte das Programm im abgesicherten Modus dann und lass das System dort reinigen. (Option 2) Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans 2.) MalwareBytes Anti-Malware : Lade dir Malwarebytes Anti-Malware Folge den Anweisungen der Anleitung und poste das Logfile Edit: Wenn du dann alle Punkte abgearbeitet hast, erstelle ein frisches HijackThis Log. |
|
08.09.2008, 19:13
| #4 |
 | Falsche Internetseiten werden geöffnet HAllo führe smitfraudfix aus! Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix Starte das Programm im abgesicherten Modus dann und lass das System dort reinigen. (Option 2) Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans Danach lasse Malwarebytes scannen! Und dann postest du noch ein HijackThis log! Edit: Inter du warst wohl etwas schneller  |
|
08.09.2008, 21:09
| #5 |
| | Falsche Internetseiten werden geöffnet So, hab alles gemacht. Die links zu den downloads funktionierten überigens nicht, liegt das an den links oder an diesem pc? tippe auf zweiteres. hier das log von smitfraudfix: SmitFraudFix v2.346 Scan done at 20:45:17,32, 08.09.2008 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{61A7F1C3-46FC-4BCC-AB48-18328650DBBC}: DhcpNameServer=195.71.86.133 193.189.244.205 HKLM\SYSTEM\CS1\Services\Tcpip\..\{61A7F1C3-46FC-4BCC-AB48-18328650DBBC}: DhcpNameServer=195.71.86.133 193.189.244.205 HKLM\SYSTEM\CS2\Services\Tcpip\..\{61A7F1C3-46FC-4BCC-AB48-18328650DBBC}: DhcpNameServer=195.71.86.133 193.189.244.205 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.71.86.133 193.189.244.205 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.71.86.133 193.189.244.205 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.71.86.133 193.189.244.205 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End hier das log von malwarebytes: Malwarebytes' Anti-Malware 1.27 Datenbank Version: 1130 Windows 5.1.2600 Service Pack 2 08.09.2008 22:00:04 mbam-log-2008-09-08 (22-00-04).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 135046 Laufzeit: 44 minute(s), 36 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\RECYCLER\S-1-5-21-515967899-706699826-839522115-500\De1\DATA\tools\50614-MSKey4in1.exe (Malware.Tool) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. nach dem löschen bei Malwarebytes kam noch ne meldung. hab nen screenshot gemacht und das bild angehängt. |
|
08.09.2008, 21:11
| #6 |
| | Falsche Internetseiten werden geöffnet ... und ein neues hijack this log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:12:28, on 08.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Dokumente und Einstellungen\Administrator\Desktop\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209547541433 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Dokumente und Einstellungen\Administrator\Desktop\iPod\bin\iPodService.exe -- End of file - 7438 bytes wie siehts jetzt aus? okay, die links von oben funktionieren jetzt wieder. also lag es wohl am virus. so, gehe jetzt gleich ins bett. bin dann morgen wieder da. Schon mal vielen dank an euch, Interspieder und Tayk! Geändert von dr.beir (08.09.2008 um 21:18 Uhr) |
|
09.09.2008, 12:50
| #7 |
| | Falsche Internetseiten werden geöffnet Also das Log sieht sauber aus. Hast du noch irgentwelche Probleme mit dem PC? Ich hätte da noch so ein paar fragen: Welches Betriebssystem nutzt du? Nutzt du eine Festplatte E:\ ? |
|
09.09.2008, 16:02
| #8 |
| | Falsche Internetseiten werden geöffnet Bin gerade nicht am pc meiner freundin. meine freundin, weiß aus dem kopf auch nicht, ob sie eine festplatte E:\ hat. kann das erst heute abend überprüfen. betriebssystem ist windows xp. genauere infos kann ich auch dazu erst heute abend geben. |
|
10.09.2008, 21:06
| #9 |
| | Falsche Internetseiten werden geöffnet Nabend. Habs gestern nicht mehr geschafft. Festplatte E:/ ist vorhanden. Das Betriebssystem ist Windows XP Professional Version 2002 SP 2. Gestern lief noch mal Antivir. Da wurden noch 5 Funde gemeldet. Hier mal der Report Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 9. September 2008 20:58 Es wird nach 1606493 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: GIMMIX-3D77EEDD Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 22.07.2008 18:01:24 AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.07.2008 18:01:24 LUKE.DLL : 8.1.4.5 164097 Bytes 22.07.2008 18:01:24 LUKERES.DLL : 8.1.4.0 12545 Bytes 22.07.2008 18:01:24 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:44:17 ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 06:15:44 ANTIVIR3.VDF : 7.0.6.136 291840 Bytes 09.09.2008 16:13:24 Engineversion : 8.1.1.28 AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 17:08:47 AESCRIPT.DLL : 8.1.0.70 319866 Bytes 05.09.2008 06:17:51 AESCN.DLL : 8.1.0.23 119156 Bytes 22.07.2008 18:01:25 AERDL.DLL : 8.1.1.1 397683 Bytes 05.09.2008 06:17:49 AEPACK.DLL : 8.1.2.1 364917 Bytes 22.07.2008 18:01:25 AEOFFICE.DLL : 8.1.0.23 196987 Bytes 05.09.2008 06:17:48 AEHEUR.DLL : 8.1.0.51 1397111 Bytes 05.09.2008 06:17:47 AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 17:43:13 AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 07:42:18 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 15:50:26 AECORE.DLL : 8.1.1.11 172406 Bytes 05.09.2008 06:17:45 AEBB.DLL : 8.1.0.1 53617 Bytes 22.07.2008 18:01:25 AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.07.2008 18:01:24 AVPREF.DLL : 8.0.2.0 38657 Bytes 22.07.2008 18:01:24 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:50:25 AVREG.DLL : 8.0.0.1 33537 Bytes 22.07.2008 18:01:24 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 17:08:46 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.07.2008 18:01:24 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 17:08:47 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.07.2008 18:01:24 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 17:08:47 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 22.07.2008 18:01:21 RCTEXT.DLL : 8.0.52.0 86273 Bytes 22.07.2008 18:01:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 9. September 2008 20:58 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '29' Prozesse mit '29' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '50' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.144 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492fc7eb.qua' verschoben! C:\System Volume Information\_restore{8DA6F6AE-9C22-420F-8D10-A60F2D1C7758}\RP90\A0017217.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Small.acri [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f6e182.qua' verschoben! C:\System Volume Information\_restore{8DA6F6AE-9C22-420F-8D10-A60F2D1C7758}\RP90\A0017220.dll [FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f6e18a.qua' verschoben! C:\System Volume Information\_restore{8DA6F6AE-9C22-420F-8D10-A60F2D1C7758}\RP90\A0017221.sys [FUND] Ist das Trojanische Pferd TR/Peed.A.744 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f6e190.qua' verschoben! C:\System Volume Information\_restore{8DA6F6AE-9C22-420F-8D10-A60F2D1C7758}\RP91\A0017252.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.144 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f6e1a4.qua' verschoben! Beginne mit der Suche in 'E:\' <TikenJahFakoly> Ende des Suchlaufs: Dienstag, 9. September 2008 23:26 Benötigte Zeit: 2:28:37 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 6732 Verzeichnisse wurden überprüft 296194 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 296187 Dateien ohne Befall 2180 Archive wurden durchsucht 2 Warnungen 5 Hinweise Sonst macht der PC zumindest bis jetzt keine Probleme mehr. Muss ich mir wegen den 5 Funden bei Antivir noch Sorgen machen? |
|
10.09.2008, 21:16
| #10 |
| | Falsche Internetseiten werden geöffnet Das sind systemwiederherstellungspunkte die gemacht wurden als du noch infiziert warst! Deswegen sind diese punkte auch noch infiziert! Lösche alle deine Wiederherstellungspunkte und scanne erneut mit antivir! Sollte danach kein fund mehr sein dann erstelle noch einen Wiederherstellungspunkt und fertig!:aplaus: du gehst auf Start->Programme->Zubehör->Systemprogramme->Datenträgerbereinigung. Dann auf "weitere Optionen" und unten dann auf Systemwiederherstellung "Bereinigen" |
|
10.09.2008, 21:17
| #11 |
| | Falsche Internetseiten werden geöffnet Mist, diesmal war Tayk schneller!  |
|
10.09.2008, 21:38
| #12 |
| | Falsche Internetseiten werden geöffnet Ok, habe die systemwiederherstellungspunkte gelöscht. lasse morgen früh noch mal antivir laufen und hoffe, dass es keine Probleme gibt. Sonst meld ich mich noch mal. (was ich nicht hoffe  )Vielen Dank nochmals für die super Hilfe!  |
|
10.09.2008, 21:58
| #13 |
| | Falsche Internetseiten werden geöffnet Ich verrat dir mal ein Geheimnis: Du warst mein erster Support. Tayk hat mir geholfen, und mir zur Seite gestanden. Ich freu mich, dass alles bis jetzt geklappt hat.  für deine kompetenz und fürs Mitdenken! |
|
| Themen zu Falsche Internetseiten werden geöffnet |
| antivir, avira, bho, bonjour, browser, computer, desktop, drivers, email, excel, falsche internetseiten, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, mozilla, pdf-datei, plug-in, programm, rundll, software, system, trojan, virus, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
