| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google verlinkt auch bei mir falschWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.07.2007, 11:12
| #1 |
| |  Google verlinkt auch bei mir falsch Hallo, Ich habe schon seit Längerem das selbe Problem wie einige andere hier. Google verlinkt, sobald ich auf einen Eintrag klicke, auf kommerzielle Seiten wie Ebay oder w*w.genealogie.de. Anbei mein HijackThis Log File und das F-Secure Blacklight Log File. Es wäre nett, wenn mir jemand weiterhelfen könnte. Vielen Dank vorab! HiJackThis: Logfile of HijackThis v1.99.1 Scan saved at 11:57:47, on 22.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmclient\avmbtservice.exe C:\Programme\avmclient\panapp.exe C:\Programme\avmclient\AvmObexService.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\avmclient\bluefritz.exe C:\Programme\avmclient\AvmObex.exe C:\Programme\avmclient\AvmObex.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NoPopUp 2003\nopopup.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Common\Bin\WinCinemaMgr.exe C:\Programme\AVM\Fritz\IWatch.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\UltraEdit\UEDIT32.EXE C:\Dokumente und Einstellungen\***\Eigene Dateien\fsbl.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {37DE2E15-7307-47A5-8EFF-68511021823F} - C:\WINDOWS\system32\ccfgnt32.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Buyertools - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [IMONTRAY] C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero 6\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Virenprüfung.doc O4 - Startup: ~$renprüfung.doc O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\AVM\Fritz\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - h**p://www.mypixmania.com/de/de/tools/activex/fpu.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - h**p://www.installengine.com/engine/isetup.cab O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - h**p://www.pixdiscount.de/clients/ImageUploader3.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {FA81E151-CFE7-4B18-8B9E-8B96E62BAC11} (DownloadManager) - h**ps://de.web.sonynetservices.com/portal/applets/DownloadManager.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED54C2F-5839-47AC-956F-D686266EF568}: NameServer = 192.168.2.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) F-Secure Blacklight: 07/22/07 11:56:56 [Info]: BlackLight Engine 1.0.64 initialized 07/22/07 11:56:56 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/22/07 11:56:56 [Note]: 7019 4 07/22/07 11:56:56 [Note]: 7005 0 07/22/07 11:56:59 [Note]: 7006 0 07/22/07 11:56:59 [Note]: 7011 3340 07/22/07 11:56:59 [Note]: 7026 0 07/22/07 11:56:59 [Note]: 7026 0 07/22/07 11:56:59 [Note]: 7024 3 07/22/07 11:56:59 [Info]: Hidden process: C:\WINDOWS\system32\winsta32.exe 07/22/07 11:57:03 [Note]: FSRAW library version 1.7.1022 07/22/07 12:05:05 [Note]: 2000 1012 07/22/07 12:12:22 [Note]: 7007 0 |
|
22.07.2007, 12:22
| #2 |
  |  Google verlinkt auch bei mir falsch Ich habe da eine Befürchtung. Lass diese Dateien bei Virustotal überprüfen:
__________________C:\WINDOWS\system32\userinit.exe C:\WINDOWS\system32\ntos.exe Ich vermute einen Backdoor. Datei ins Fensterchen kopieren, auf "send" bzw. "submit" klicken, gesamte Ergebnis posten: VirusTotal - Free Online Virus and Malware Scan Online malware scan Dieser ist im übrigen ein Rootkit: C:\WINDOWS\system32\winsta32.exe und gehört zu Alpha-DVD (Kopierschutz) Unter System 32 winsta32.exe,hadl.dll,cmtl.dat löschen. Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\policies\Explorer\Run "SystemManager" entfernen. Aber wenn Du einen Backdoor drauf hast, kannst Du Dir diese Arbeit sparen und solltest dich schon einmal mit dem Gedanken vertraut machen, neu aufzusetzen. |
|
22.07.2007, 15:44
| #3 |
| | Google verlinkt auch bei mir falsch Hier die Ergebnisse von VirusTotal für die userinit.exe:
__________________Antivirus Version Last Update Result AhnLab-V3 2007.7.21.0 2007.07.20 no virus found AntiVir 7.4.0.44 2007.07.21 no virus found Authentium 4.93.8 2007.07.20 no virus found Avast 4.7.997.0 2007.07.22 no virus found AVG 7.5.0.476 2007.07.21 no virus found BitDefender 7.2 2007.07.22 no virus found CAT-QuickHeal 9.00 2007.07.20 no virus found ClamAV devel-20070416 2007.07.22 no virus found DrWeb 4.33 2007.07.22 no virus found eSafe 7.0.15.0 2007.07.19 no virus found eTrust-Vet 30.8.3797 2007.07.20 no virus found Ewido 4.0 2007.07.22 no virus found FileAdvisor 1 2007.07.22 no virus found Fortinet 2.91.0.0 2007.07.22 no virus found F-Prot 4.3.2.48 2007.07.20 no virus found F-Secure 6.70.13030.0 2007.07.22 no virus found Ikarus T3.1.1.8 2007.07.22 no virus found Kaspersky 4.0.2.24 2007.07.22 no virus found McAfee 5079 2007.07.20 no virus found Microsoft 1.2704 2007.07.22 no virus found NOD32v2 2411 2007.07.21 no virus found Norman 5.80.02 2007.07.20 no virus found Panda 9.0.0.4 2007.07.22 no virus found Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.21 no virus found Symantec 10 2007.07.22 no virus found TheHacker 6.1.7.151 2007.07.22 no virus found VBA32 3.12.2.1 2007.07.21 no virus found VirusBuster 4.3.26:9 2007.07.21 no virus found Webwasher-Gateway 6.0.1 2007.07.22 no virus found Additional information File size: 25088 bytes MD5: d1e53dc57143f2584b1dd53b036c0633 SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa Sieht also sauber aus!? Und bei der ntos nehme ich an, dass Du die ntoskernel.exe meintest!? Auch die ist sauber: Antivirus Version Last Update Result AhnLab-V3 2007.7.21.0 2007.07.20 no virus found AntiVir 7.4.0.44 2007.07.21 no virus found Authentium 4.93.8 2007.07.20 no virus found Avast 4.7.997.0 2007.07.22 no virus found AVG 7.5.0.476 2007.07.21 no virus found BitDefender 7.2 2007.07.22 no virus found CAT-QuickHeal 9.00 2007.07.20 no virus found ClamAV devel-20070416 2007.07.22 no virus found DrWeb 4.33 2007.07.22 no virus found eSafe 7.0.15.0 2007.07.19 no virus found eTrust-Vet 30.8.3797 2007.07.20 no virus found Ewido 4.0 2007.07.22 no virus found FileAdvisor 1 2007.07.22 No threat detected, but known vulnerabilities exist Fortinet 2.91.0.0 2007.07.22 no virus found F-Prot 4.3.2.48 2007.07.20 no virus found F-Secure 6.70.13030.0 2007.07.22 no virus found Ikarus T3.1.1.8 2007.07.22 no virus found Kaspersky 4.0.2.24 2007.07.22 no virus found McAfee 5079 2007.07.20 no virus found Microsoft 1.2704 2007.07.22 no virus found NOD32v2 2411 2007.07.21 no virus found Norman 5.80.02 2007.07.20 no virus found Panda 9.0.0.4 2007.07.22 no virus found Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.21 no virus found Symantec 10 2007.07.22 no virus found TheHacker 6.1.7.151 2007.07.22 no virus found VBA32 3.12.2.1 2007.07.21 no virus found VirusBuster 4.3.26:9 2007.07.21 no virus found Webwasher-Gateway 6.0.1 2007.07.22 no virus found Additional information File size: 2150912 bytes MD5: c3ec5dd56e3eb15d80af9fcee030cabd SHA1: 0bd947dd2bbfa7ccbf9be2766ceeef37c51b1136 Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=c3ec5dd56e3eb15d80af9fcee030cabd |
|
22.07.2007, 16:04
| #4 |
| | Google verlinkt auch bei mir falsch Hab die winsta32.exe und alles was dazugehört (hadl.dll,cmtl.dat, Systemmanager) übrigens entfernt. Das Problem mit Google besteht weiterhin... |
|
22.07.2007, 16:19
| #5 |
| | Google verlinkt auch bei mir falsch Nein, ich dachte eigentlich auch an die ntos.exe. Wieso, hast Du die nicht finden können? Versteckte Dateien sichtbar machen: Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Schau ob Du diese unter jetzt unter System 32 findest und versuch diese nochmal zu scannen. Es gibt dazu die Möglichkeit Dein System komplett zu scannen. Kostet zwar ein wenig Zeit, aber sollten Du machen: http://www.trojaner-board.de/38066-e...ightymarc.html Das Ergebnis postest Du mit der "find-bat". Wie das geht steht in der Verlinkung beschreiben. |
|
22.07.2007, 18:12
| #6 |
| | Google verlinkt auch bei mir falsch Ähm, sorry, aber ich befürchte, da ist keine NTOS.exe... Natürlich habe ich versteckte und System-Dateien angezeigt. Hab sogar die Suche komplett über C: laufen lassen. Zig mal die NTOSKernel.exe aber keine NTOS... Mache morgen mal einen kompletten Scan, wie von Dir beschrieben. Vielen Dank erstmal! |
|
23.07.2007, 17:33
| #7 |
| | Google verlinkt auch bei mir falsch Hallo, Habe den Komplettscan durchgeführt und anscheinend ist mein System doch nicht so sauber wie ich dachte. Welche Maßnahmen schlagt ihr vor? Vielen herzlichen Dank vorab! Hier die Log: Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.5 Sprache: German C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27032-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27034-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702d-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702e-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27031-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27033-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27036-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\ccrpftv6.ocx)! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOKUME~1\***\LOKALE~1\Temp\temp.frB789 infiziert von "Trojan-Spy.Win32.Bancos.aam" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\temp.frB789 infiziert von "Trojan-Spy.Win32.Bancos.aam" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\system32\ccfgnt32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Programme\RealVNC\WinVNC\WinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen. Datei C:\Programme\RealVNC\WinVNC\WinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen. File C:\WINDOWS\system32\ccfgnt32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Programme\RealVNC\WinVNC\othread2.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen. Datei C:\Programme\RealVNC\WinVNC\vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen. Datei C:\Programme\RealVNC\WinVNC\winvnc.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen. File C:\WINDOWS\system32\ccfgnt32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\***\Recent\internet.lnk Offending file found: C:\WINDOWS\system32\ccrpftv6.ocx Offending file found: C:\WINDOWS\unvise32.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\\ssubtimer6.ctimer !!! Offending Key found: HKCU\\ssubtimer6.gsubclass !!! Offending Key found: HKCU\\ssubtimer6.isubclass !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c7ea052-0c64-11dc-8c13-00d05c228dfe} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c7ea053-0c64-11dc-8c13-00d05c228dfe} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ffb0a485-aac4-11d9-a2ef-0030f1a0193c} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\***\LOKALE~1\Temp\GLB14.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLB34.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLB3D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLB4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLB7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLBE.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB14.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB34.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB3D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLBE.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB19.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gtb3.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 210535 Gefundene Viren: 28 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 300 Dauer des Scans bisher: 01:11:55 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 18:27:38,73 Batchende: 18:28:09,71 |
|
23.07.2007, 17:59
| #8 |
| | Google verlinkt auch bei mir falsch Allein schon wegen diesem :Trojan-Spy.Win32.Bancos.aam solltest Du an ein Neuaufsetzen denken/Passwörter ändern! Die ntos.exe ist sehr wahrscheinlich ein backdoor. video activex access deutet zudem auf zlob hin, ich glaube in Deinem Fall hat das Bereinigen keinen Sinn. Ansonsten warte bitte auf feedback von anderen hier im Forum. http://www.trojaner-board.de/12154-a...sicherung.html |
|
| Themen zu Google verlinkt auch bei mir falsch |
| adobe, antivir, avira, bho, document, ebay, einstellungen, excel, explorer, f-secure, google, hijack, hijackthis, hijackthis log, internet, internet explorer, log file, monitor, pdf, problem, seiten, software, symantec, system, temp, urlsearchhook, userinit.exe, vielen dank, windows, windows xp |
Linear-Darstellung
