Virus(?) verlinkt auf falsche Seiten.

murmeldonner · 23.09.2006, 12:33

Guten Tag,

ich hoffe ich vergesse keine Informationen. Es gab zum Thema „Google verlinkt auf falsche Seiten“ schon eine Diskussion. der Nutzer dieses Forums, Grumbelfine, beschrieb ausführlich das Problem.

Mein Problem:

- Egal welchen Link ich anklicke und egal auf welcher Seite (Also nicht nur bei Google), wird durch irgendein Programm eine Umleitung auf dubiose Seiten aufgebaut.

- Das Programm nutzt die Umleitungsadresse, sie wird automatisch nach Drücken der Enter-Taste über die in der Adresszeile stehende Adresse geschrieben, die Umleitungsadresse lautet:

h**p://urlseek.vmn.net/search.php?lg=en&type=dns&tbtype=ultra&tbo=download__2eultraedit__2ecom__2ftoolbar__2foptions__2ehtml&q=urlseek%2Evmn%2Enet

- Außerdem gibt es ab und an Schwierigkeiten Ordner zu öffnen oder Programme stürzen ab, aber so, dass alles "einfriert" -nichts geht mehr.

- Ich habe diverse Programme ausprobiert, wie zum Beispiel: Silent Runners und AntiVir. Letzteres Programm fand 4 Viren, von denen alle gelöscht werden konnten. Silent Runners konnte auf WIN XP SP2 nicht gestartet werden.
Falls jemand wissen muss wie diese Viren heißen, gebe ich gerne eine Rückantwort, meine Laufwerke werden gerade noch einmal überprüft, das dauert 'ne Weile.

Zur Vollständigkeit gebe ich die Logfiles an, die ich mithilfe des Programmes "datFind.bat" habe erstellen lassen.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC6D-B4D6

Verzeichnis von C:\

23.09.2006 13:02 0 sys.txt
23.09.2006 13:02 3.920 system.txt
23.09.2006 13:02 636 systemtemp.txt
23.09.2006 13:02 3.163 system32.txt
23.09.2006 12:55 2.147.012.608 hiberfil.sys
23.09.2006 12:55 2.146.942.976 pagefile.sys
23.09.2006 11:37 788 c.txt
01.09.2006 23:00 40.448 mein Name.doc
01.09.2006 19:07 143.496 Lebenslauf.pdf
01.09.2006 19:01 38.400 Lebenslauf-prof
01.09.2006 18:43 177 Lebenslauf-prof.LOG
19.02.2006 15:09 11.264 Neu Microsoft PowerPoint-Pr„sentation.ppt
23.01.2006 15:36 429 datFind.bat
08.01.2006 21:52 1.120 INSTALL.LOG
10.07.2005 17:51 9.091.142 standard.zip
10.07.2005 17:49 3.634.793 Setup.zip
01.07.2005 16:10 6.811.904 psa2011se_us.exe
01.07.2005 16:09 494.704 ytb01_efgsip.exe
25.06.2005 18:56 211 boot.ini
25.06.2005 18:53 47.564 NTDETECT.COM
25.06.2005 18:53 251.184 ntldr
25.06.2005 16:53 0 MSDOS.SYS
25.06.2005 16:53 0 IO.SYS
25.06.2005 16:53 0 CONFIG.SYS
25.06.2005 16:53 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
24.05.2001 13:59 162.304 UNWISE.EXE
27 Datei(en) 4.314.698.183 Bytes
0 Verzeichnis(se), 68.065.570.816 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC6D-B4D6

Verzeichnis von C:\WINDOWS\system32

23.09.2006 12:56 50.257 nvapps.xml
23.09.2006 12:56 13.070 wpa.dbl
23.09.2006 11:34 2.861 system32.txt
23.09.2006 11:00 30.168 BMXBkpCtrlState-{00000000-00000000-0000000F-00001102-00000004-10021102}.rfx
23.09.2006 11:00 30.132 BMXStateBkp-{00000000-00000000-0000000F-00001102-00000004-10021102}.rfx
23.09.2006 11:00 30.132 BMXState-{00000000-00000000-0000000F-00001102-00000004-10021102}.rfx
23.09.2006 11:00 30.168 BMXCtrlState-{00000000-00000000-0000000F-00001102-00000004-10021102}.rfx
23.09.2006 11:00 2.064 settingsbkup.sfm
23.09.2006 11:00 2.064 settings.sfm
23.09.2006 11:00 292 DVCStateBkp-{00000000-00000000-0000000F-00001102-00000004-10021102}.dat
23.09.2006 11:00 292 DVCState-{00000000-00000000-0000000F-00001102-00000004-10021102}.dat
23.09.2006 11:00 230 spupdsvc.inf
23.09.2006 01:23 43.592 vsconfig.xml
23.09.2006 01:19 4.212 zllictbl.dat
11.09.2006 19:37 8.960.936 MRT.exe
02.09.2006 11:28 253.472 FNTCACHE.DAT
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
27.07.2006 15:25 679.424 inetcomm.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
14.07.2006 08:47 48.144 perfc009.dat
14.07.2006 08:47 330.912 perfh009.dat
14.07.2006 08:47 341.072 perfh007.dat
14.07.2006 08:47 59.162 perfc007.dat
14.07.2006 08:47 787.300 PerfStringBackup.INI
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
22.06.2006 12:47 181.248 rasmans.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
20.06.2006 00:26 24 Kene32.uns
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
03.06.2006 00:13 333.647 ZBScreenSaver_1.scr
03.06.2006 00:11 329.003 ZBScreenSaver.scr
02.06.2006 11:04 57.384 avsda.dll
02.06.2006 01:04 6.903 jupdate-1.5.0_07-b03.log
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 176.128 pxmas.dll
03.05.2006 02:56 49.265 jpicpl32.cpl

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC6D-B4D6

Verzeichnis von C:\WINDOWS

23.09.2006 13:02 1.737.751 WindowsUpdate.log
23.09.2006 12:58 2.244.043 pfirewall.log
23.09.2006 12:56 4.990.228 {00000000-00000000-0000000F-00001102-00000004-10021102}.CDF
23.09.2006 12:56 0 0.log
23.09.2006 12:56 159 wiadebug.log
23.09.2006 12:56 50 wiaservc.log
23.09.2006 12:55 2.048 bootstat.dat
23.09.2006 11:36 3.805 c.txt
23.09.2006 11:09 561.569 setupapi.log
23.09.2006 11:00 32.636 SchedLgU.Txt
23.09.2006 11:00 106.333 iis6.log
23.09.2006 11:00 237.877 comsetup.log
23.09.2006 11:00 148.563 ntdtcsetup.log
23.09.2006 11:00 278.742 tsoc.log
23.09.2006 11:00 1.374 imsins.log
23.09.2006 11:00 37.596 ocmsn.log
23.09.2006 11:00 13.435 ie7beta2Uninst.log
23.09.2006 10:59 39.243 updspapi.log
23.09.2006 10:59 379.514 ocgen.log
23.09.2006 10:59 36.453 msgsocm.log
23.09.2006 10:59 706.934 FaxSetup.log
21.09.2006 03:33 3.866 mozver.dat
21.09.2006 02:13 54.156 QTFont.qfn
20.09.2006 13:20 4.990.228 {00000000-00000000-0000000F-00001102-00000004-10021102}.BAK
19.09.2006 20:59 6.703 FORGXP32.INI
14.09.2006 21:21 68.786 wmsetup.log
13.09.2006 12:25 1.374 imsins.BAK
13.09.2006 12:25 11.765 KB920685.log
13.09.2006 12:24 14.375 KB920872.log
13.09.2006 12:23 11.946 KB919007.log
13.09.2006 12:23 7.890 KB922582.log
13.09.2006 00:08 4.030.807 pfirewall.log.old
12.09.2006 22:31 1.613 AUSBA2.INI
12.09.2006 22:30 11.246 DUSB2AR.INI
10.09.2006 23:43 89 ULead32.ini
10.09.2006 23:30 1.600 win.ini
01.09.2006 19:12 12.862 EPISMG00.SWB
28.08.2006 15:07 469 nsw.log
25.08.2006 11:14 175.058 setupact.log
20.08.2006 01:38 12.733 KB920214.log
20.08.2006 01:38 12.729 KB922616.log
20.08.2006 01:37 13.131 KB921398.log
20.08.2006 01:37 12.206 KB920670.log
20.08.2006 01:37 12.360 KB917422.log
20.08.2006 01:36 12.616 KB920683.log
12.08.2006 22:50 11.492 KB921883.log
05.08.2006 09:09 14.336 Thumbs.db
01.08.2006 01:16 63 WINHELP.BMK
31.07.2006 21:20 139.325 EPSTPLOG.TXT
31.07.2006 21:19 31 EPSMTL32.TXT
31.07.2006 21:18 1.528 epsswt_log.txt
24.07.2006 22:40 136 SBWIN.INI
20.07.2006 19:17 36.692 spupdsvc.log
19.07.2006 22:33 22.381 WgaNotify.log
19.07.2006 22:31 1.025.129 setupapi.log.2.old
14.07.2006 00:51 12.222 KB917159.log
14.07.2006 00:50 12.734 KB914388.log
14.07.2006 00:50 10.844 KB916595.log
29.06.2006 15:04 11.468 KB911280.log
22.06.2006 23:30 231 SYSTEM.INI
17.06.2006 13:43 9.817 KB917734.log
17.06.2006 13:42 10.454 KB918439.log
17.06.2006 13:42 11.800 KB917953.log
17.06.2006 13:41 11.552 KB914389.log
15.06.2006 21:47 15.798 ie7beta2_main.log
15.06.2006 21:11 21.647 ie7beta2.log
15.06.2006 21:10 4.033 KB915865.log
15.06.2006 21:09 11.207 KB904942.log
15.06.2006 20:28 2.200 OEWABLog.txt
02.06.2006 01:18 1.409 QTFont.for
28.05.2006 03:01 147 fcp5.cfg
19.05.2006 13:23 231 SYSTEM.UNV
11.05.2006 00:20 11.878 KB913580.log
08.05.2006 13:47 3.141 tpl.cfg
08.05.2006 13:38 739 ISISAIM.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC6D-B4D6

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

23.09.2006 13:01 2.472 jusched.log
23.09.2006 12:58 667 TWAIN.LOG
23.09.2006 12:58 3 Twain001.Mtx
23.09.2006 12:58 156 Twunk001.MTX
23.09.2006 11:35 587 windows.txt
23.09.2006 01:39 4.732 MSI9875f.LOG
23.09.2006 00:52 72 PCD11.tmp
21.09.2006 10:21 0 Twunk002.MTX
8 Datei(en) 8.689 Bytes
0 Verzeichnis(se), 68.065.505.280 Bytes frei

**Sunny** · 23.09.2006, 12:39

Hallo,

poste zusätzlich noch eine Hijacklog, Anleitung dazu in meiner Signatur!

Gruß
Sunny

MightyMarc · 23.09.2006, 12:48

Zitat:

Zitat von murmeldonner

Letzteres Programm fand 4 Viren, von denen alle gelöscht werden konnten.
Falls jemand wissen muss wie diese Viren heißen, gebe ich gerne eine Rückantwort, ...

Verkehrt wäre die Info nicht.

murmeldonner · 23.09.2006, 12:54

Also hier, die benötigte Log-Datei.

Logfile of HijackThis v1.99.1
Scan saved at 13:45:03, on 23.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RFA\rfagent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ARTEC ScanEZ\SCANEZ.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\Programme\ue_toolbar\ue_toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\Programme\ue_toolbar\ue_toolbar.dll
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [rfagent] "C:\Programme\RFA\rfagent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O5 "USB_1" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ZDF.nachrichtenkurier] C:\Programme\ZDFnachrichtenkurier\messenger.exe
O4 - HKCU\..\Run: [PnPUI Registrator] C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe -s
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ARTEC ScanEZ.lnk = C:\Programme\ARTEC ScanEZ\SCANEZ.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Programme\ScanPanel\ScnPanel.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119714449300
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129620374770
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://w*w3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - h**p://w*w.o2c.de/download/o2cplayer.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.w*w3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{1181DDD9-9901-466A-979C-16B627061A1C}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C052432-3F65-4C6A-8606-AD48FDB4A9D6}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{659A6C00-43A0-4074-9CEC-0FDDCFEA4356}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C385170-1F5B-44A0-A626-0082E8188E12}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{C93F92B6-5ECB-4F8E-89B1-798EE239521F}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

murmeldonner · 23.09.2006, 13:03

Ok, die vier Viren hießen:

2x Trojanische Pferd TR/Drop.Zlob.acn
2x TR/Delphi.Downloader.Gen

Keine Ahnung, vielleicht hat der Rechner zwei Viren als vier Viren registriert...

Hier die Log:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 23. September 2006 02:16

Es wird nach 508146 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 23.09.2006 00:15:12
AVSCAN.DLL : 7.0.0.45 41000 23.09.2006 00:15:12
LUKE.DLL : 7.0.0.47 118824 23.09.2006 00:15:13
LUKERES.DLL : 7.0.0.47 9256 23.09.2006 00:15:13
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:21:48
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 00:15:13
ANTIVIR2.VDF : 6.36.0.55 202240 21.09.2006 00:15:13
ANTIVIR3.VDF : 6.36.0.64 15360 22.09.2006 00:15:13
AVEWIN32.DLL : 7.2.0.18 1839616 23.09.2006 00:15:14
AVPREF.DLL : 7.0.0.2 23080 23.09.2006 00:15:12
AVREP.DLL : 6.36.0.5 806952 23.09.2006 00:15:13
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.0 368680 23.09.2006 00:15:14
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 23.09.2006 00:15:13
RCIMAGE.DLL : 7.0.0.74 1642536 23.09.2006 00:15:05
RCTEXT.DLL : 7.0.0.107 77864 23.09.2006 00:15:05

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Samstag, 23. September 2006 02:16

Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 48 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
C:\WINDOWS\system32\dmnpt.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( 49 Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\4d2bead892e42ad1c5ef9b8300bd0b0d_f3120725-fa73-4d9b-8406-65e2129e8fe1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7971e2f986b1eb7cc2580851c2e0e564_f3120725-fa73-4d9b-8406-65e2129e8fe1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Desktop\playercodec1112(2).exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.acn
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\Dokumente und Einstellungen\***\Desktop\playercodec1112.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.acn
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45758220.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\+++\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Icon Craft\loader.exe
[FUND] Ist das Trojanische Pferd TR/Delphi.Downloader.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45758ccb.qua' verschoben!
C:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{31C8D672-A4E7-447E-8F41-552D6BFD8683}\RP483\A0163731.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.acn
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454596de.qua' verschoben!
C:\System Volume Information\_restore{31C8D672-A4E7-447E-8F41-552D6BFD8683}\RP483\A0163732.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.acn
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{31C8D672-A4E7-447E-8F41-552D6BFD8683}\RP483\A0163733.exe
[FUND] Ist das Trojanische Pferd TR/Delphi.Downloader.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454596e9.qua' verschoben!
C:\WINDOWS\SoftwareDistribution\EventCache\{4C8663C6-DDAC-4E08-9221-DD374194898A}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\cslxt.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\dmnpt.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\Perflib_Perfdata_220.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Samstag, 23. September 2006 04:23
Benötigte Zeit: 2:06:48 min

Der Suchlauf wurde vollständig durchgeführt.

11273 Verzeichnisse wurden überprüft
503763 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3751 Archive wurden durchsucht
35 Warnungen
1 Hinweise

murmeldonner · 23.09.2006, 13:42

Das Wichtigste hätte ich fast vergessen! Ins Internet komme ich auch nicht mehr. Gestern hatte ich noch ein relativ großes "Zeitfenster" um wenigstens AntiVir aktualisieren zu können, doch heute klappt gar nichts mehr. Wahrscheinlich wegen der Umleitungsadresse.
Kurios ist allerdings, dass ich meinen Router noch anpingen kann, d.h. die Verbindung zum Router und zu einem Zweitrechner sind vollfunktionsfähig, ohne Einschränkung. Nur das Internet funktioniert nicht mehr, es erscheint dann das Fenster "Konnte Seite nicht öffnen...".

murmeldonner · 23.09.2006, 13:43

Ja, ich bin mit meinem Latein am Ende.

Mellosun · 23.09.2006, 13:45

Mahlzeit,

Zitat:

Zitat von murmeldonner

O17 - HKLM\System\CCS\Services\Tcpip\..\{1181DDD9-9901-466A-979C-16B627061A1C}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C052432-3F65-4C6A-8606-AD48FDB4A9D6}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{659A6C00-43A0-4074-9CEC-0FDDCFEA4356}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C385170-1F5B-44A0-A626-0082E8188E12}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{C93F92B6-5ECB-4F8E-89B1-798EE239521F}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5

Ist eine Umleitung über die Ukraine.
Sehr schwer, wenn nicht sogar unmöglich, durch eine Bereinigung zu entfernen.
Gebe bei sowas immer den Rat der Neuaufsetzung des systems.
Befolge dazu den link in meiner SIG!

Gruß Mellosun

ollik · 19.10.2006, 11:03

Google liefert Ergebnisse , aber bei Anwahl dieser geht es auf
eine falsche Seite.Bei erneuter Anwahl wieser falsch,evtl. andere
falsche Seite.Bei 3 - 4 Anwahl des Ergebnisses passt es!!!

Schuld ist diese Datei:

13.560 KGyGaAvL.sys

In Verzeichnis \windows\system32

Sehen:

dir /a:-d /o:-d KGyGaAvL.sys

Entfernen:

del /a:-d KGyGaAvL.sys

behoben ???

23.09.2006, 12:39	#2
Sunny Administrator > Competence Manager	Virus(?) verlinkt auf falsche Seiten. Hallo, poste zusätzlich noch eine Hijacklog, Anleitung dazu in meiner Signatur! Gruß Sunny __________________ __________________

Virus(?) verlinkt auf falsche Seiten.

Plagegeister aller Art und deren Bekämpfung: Virus(?) verlinkt auf falsche Seiten.