Seit einigen Tagen leitet irgendein Virus meine Google-Klicks über "ck.maxifiles.com" auf falsche Seiten um, verhindert, dass ich auf bestimmte Seiten weitergeleitet werde und lässt den PC plötzlich erlahmen und einfrieren. Ich habe schon im Netz recherchiert, die Google-Hilfen ausprobiert (hijackthis und spybot), der Virus scheint aber nicht erkannt zu werden sodass ich ihn auch nicht entfernen kann. Ich poste jetzt hier mein hijack logfile, vielleicht kann jemand Schlaueres als ich darin irgendetwas erkennen, was ich entfernen sollte. Ich wäre ungemein dankbar für Unterstützung.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo

dein Internetverkehr wird über einen Server in der Ukraine geleitet

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229

diese Adresse gehört zu

Zitat:

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

betrachte daher deine Pass- und Kennwörter als bekannt.

Sagt dir dies etwas --> Freedom Networks LLC ?
oder dies --> OPENDNS-NET-1

Lade dir Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das etwa so aussehen --> fsbl-xxxzahlenxxx.log, mach bitte auch einen eScan nach dieser Anleitung eScananleitung,
poste das Ergebnis mithilfe der Find.bat


MFG

Hallo nochdigger,
danke für die schnelle Antwort. Wede Freedom Networks LLC noch Open-DNS-Net1 sagen mir etwas. Auf der Seite von Blacklight werden zwei Downloads angeboten: "Beta graphical user interface version" und "Beta command line version", welche soll ich downloaden, zu welchem Zweck und wo genau finde ich dann das Log? Ich bin eigentlich absoluter Neuling in solchen Sachen, aber dieser Virus regt mich richtig auf, deshalb recherchiere ich momentan so viel. Diese Umleitung über die Ukraine, was macht das mit meinem PC? (Hoffentlich nicht zu viele Fragen)

Nabend Ullrich,

Zitat:

Wede Freedom Networks LLC noch Open-DNS-Net1 sagen mir etwas.

Das scheinen zusätzliche Umleitungen Richtung USA zu sein!?
Ich kann mit den beiden nichts anfangen...
Wer ist dein Internetanbieter?

Zitat:

Auf der Seite von Blacklight werden zwei Downloads angeboten:

Downloade dir die Blacklight Beta graphical user interface version

Zitat:

zu welchem Zweck und wo genau finde ich dann das Log?

Es handelt sich hier um ein Tool welches Rootkits bzw. versteckt laufende Prozesse aufspüren kann und das Log wird im selben Ordner abgelegt von wo aus du Blacklight laufen lässt.

Zitat:

Diese Umleitung über die Ukraine, was macht das mit meinem PC?

Sie leitet den gesamten Internetverkehr deines Rechners über deren Server und es kann so im harmlosesten Fall sein möglich sein dein Surfverhalten herauszufinden, im schlimmsten Fall werden deine Pass/Kennwörter mitgelesen ebenso wie evtl. Pins/Tans bei Onlinebanking.

Diese Umleitungen gehen sehr oft mit Rootkits oder Backdoortrojanern einher darum wird bei derart Befall sehr oft eine Neuinstallation angeraten,
aber soweit sind wir noch nicht.

MFG

Hallo nochdigger,

eine Frage, woher hast du meinen Vornamen?

Und dann ein dickes dankeschön, dass du dich so kümmerst. Mein Internetanbieter ist yahoo. Das Blacklight-Tool lade ich herunter, sobald ich Zeit finde, dann sehen wir weiter. Soweit nochmal herzlichen Dank!

Ulrich

Moin

Zitat:

eine Frage, woher hast du meinen Vornamen?

isch abe eine schene Glaskugel und wer lesen kann ist klar im Vorteil ich konnte im Log sogar deinen Nachnamen lesen
Du hattest deinen Realnamen und aktiven Links nicht aus dem Log heraus editiert, das hätte etwa so ausehen sollen
http -> hxxp für die Links
Realname -> ***
oder ähnlich.

Führe mal Blacklight durch und poste dann das Log.

MFG

Hallo nochdigger,

ich habe Blacklight heruntergeladen und durchgeführt. Beim Scan wurde nur ein Item gefunden: kddhw.exe, unter "Action" steht "None". Sollte ich irgendwo noch ein Log finden oder ist es das gewesen?

Hallo

Zitat:

Beim Scan wurde nur ein Item gefunden: kddhw.exe

ich hatte gehofft nichts zu finden

Zitat:

Sollte ich irgendwo noch ein Log finden

schon gelesen?

Zitat:

und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das etwa so aussehen --> fsbl-xxxzahlenxxx.log, mach bitte auch einen eScan nach dieser Anleitung eScananleitung,
poste das Ergebnis mithilfe der Find.bat

poste bitte das log und führe den eScan durch.

Zitat:

oder ist es das gewesen?

Nein das war es noch nicht der weitere Schritte nach dem eScan.

MFG

Hallo nochdigger,

ich habe alle deine Ratschläge gelesen, tut mir nur leid, dass ich dieses Fachchinesisch nicht immer verstehe, ich bemühe mich redlich. Nach dem Scan habe ich nach einem Log gesucht, aber keines gefunden. Wie genau muss ich bitte vorgehen, um es zu finden? Den escan kann ich dann - denke ich - mit deiner Anleitung durchführen, und dann soll ich es posten mit Hilfe dieser Findbat, was auch immer das ist. Ich werde mich anstrengen.

Hallo

Zitat:

ich habe alle deine Ratschläge gelesen, tut mir nur leid, dass ich dieses Fachchinesisch nicht immer verstehe

Kein Problem, wenn du etwas nicht verstehst frage nach, ich (und ich denke die anderen User hier am Board auch) werde(n) dir so gut es geht helfen.
Allerdings wird auch ein bisschen Mitarbeit gefordert, wenn du einen Ausdruck/Fachbegriff nicht verstehst gibt es da noch das Universaltool, welches man benutzen kann darf soll.

Zitat:

ich bemühe mich redlich.

Das wollen wir hoffen

Zitat:

Wie genau muss ich bitte vorgehen, um es zu finden?

Suche in den Ordner von wo du Blacklight hast laufen lassen, dort sollte es zu finden sein.

Zitat:

Den escan kann ich dann - denke ich - mit deiner Anleitung durchführen, und dann soll ich es posten mit Hilfe dieser Findbat, was auch immer das ist. Ich werde mich anstrengen.

Der eScan kann mehrere Stunden dauern (ca.3 je nach Festplattengröße) und die Find.bat ist ne kleine Batchdatei die die Punkte automatischraussucht die uns interessieren.

Ich wünsch gutes gelingen

MFG

Hallo nochdigger,

interessanter Mensch, der!

Also, ich habe wie beschrieben, den Scan mit BlackLight noch einmal durchgeführt und wieder dasselbe Ergebnis bekommen. Die beiden logfiles sehen wie folgt aus:

08/06/07 22:26:19 [Info]: BlackLight Engine 1.0.64 initialized
08/06/07 22:26:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/06/07 22:26:23 [Note]: 7019 4
08/06/07 22:26:23 [Note]: 7005 0
08/06/07 22:26:33 [Note]: 7006 0
08/06/07 22:26:33 [Note]: 7011 1664
08/06/07 22:26:34 [Note]: 7026 0
08/06/07 22:26:34 [Note]: 7026 0
08/06/07 22:27:22 [Note]: FSRAW library version 1.7.1022
08/06/07 22:55:24 [Info]: Hidden file: c:\WINDOWS\system32\kddhw.exe
08/06/07 22:55:24 [Note]: 7002 32
08/06/07 22:55:24 [Note]: 7003 1
08/06/07 22:55:24 [Note]: 10002 1
08/06/07 22:57:30 [Note]: 2000 1012
08/06/07 23:01:43 [Note]: 7007 0

08/07/07 15:46:04 [Info]: BlackLight Engine 1.0.64 initialized
08/07/07 15:46:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/07 15:46:10 [Note]: 7019 4
08/07/07 15:46:10 [Note]: 7005 0
08/07/07 15:46:20 [Note]: 7006 0
08/07/07 15:46:20 [Note]: 7011 1936
08/07/07 15:46:21 [Note]: 7026 0
08/07/07 15:46:21 [Note]: 7026 0
08/07/07 15:46:21 [Note]: 7015 2116
08/07/07 15:46:21 [Note]: 7015 87
08/07/07 15:47:19 [Note]: FSRAW library version 1.7.1022
08/07/07 15:50:31 [Note]: 4013 47947
08/07/07 15:50:31 [Note]: 4020 7431 196608
08/07/07 15:50:31 [Note]: 4018 7431 196608
08/07/07 15:50:31 [Note]: 4013 47947
08/07/07 15:50:31 [Note]: 4020 7431 196608
08/07/07 15:50:31 [Note]: 4018 7431 196608
08/07/07 16:21:08 [Info]: Hidden file: c:\WINDOWS\system32\kddhw.exe
08/07/07 16:21:08 [Note]: 7002 32
08/07/07 16:21:08 [Note]: 7003 1
08/07/07 16:21:08 [Note]: 10002 1
08/07/07 16:24:26 [Note]: 2000 1012
08/07/07 16:27:41 [Note]: 7007 0

Dann habe ich den eScan nach Anleitung durchgeführt. War echt spannend, hab sowas noch nie gemacht. Er hat 22 Viren und 385 Fehler festgestellt. Aber dann habe ich die "find.zip"-datei nicht gefunden. Wo/wie bitteschön finde ich die denn wohl? dachte nie, dass ich jemals in diese Tiefe meines PC's hinabsteigen würde. Der Scan hat 55 Minuten gedauert.

Ach, und ich schütze mich mit AVG Anti Virus Free Edition, nur zur Information (hat mir unser IT-Mensch in der Firma empfohlen).

Herzliche Grüße
juukay

Moin

die Find.bat findest du in der EScananleitung, einfach rechts draufklicken und "Ziel speichern unter" und speichere dir die Datei wohin du willst.
Die Datei laufen (das mit der Find.zip vergiss mal) lassen und dann schauen wir uns mal die escan_neu.txt an.

MFG

Hallo nochdigger,

hier ist der Text vom logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.6
Sprache: German
C:\DOKUME~1\***~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-137366af-337ab7f8.class infiziert von "Trojan.Java.ClassLoader.Dummy.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP346\A0379966.exe//PE_Patch.Poly infiziert von "Packed.Win32.PolyCrypt.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-137366af-337ab7f8.class infiziert von "Trojan.Java.ClassLoader.Dummy.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP346\A0379966.exe//PE_Patch.Poly infiziert von "Packed.Win32.PolyCrypt.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Ulrich Kusenberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-137366af-337ab7f8.class infiziert von "Trojan.Java.ClassLoader.Dummy.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP346\A0379966.exe//PE_Patch.Poly infiziert von "Packed.Win32.PolyCrypt.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\F05A02E3-A97F-46E5-8118-BC3366\00692A40-8106-4CB2-97E8-E9EE5A markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP348\A0380281.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.g". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\F05A02E3-A97F-46E5-8118-BC3366\00692A40-8106-4CB2-97E8-E9EE5A markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP348\A0380281.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.g". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\F05A02E3-A97F-46E5-8118-BC3366\00692A40-8106-4CB2-97E8-E9EE5A markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP348\A0380281.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.g". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\reboot.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\instantcd+dvd\links\support.url
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\reboot.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\instantcd+dvd\links\support.url
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\reboot.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\instantcd+dvd\links\support.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\aim\bartcache\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\aim\bartcache\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\aim\bartcache\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\mbs6.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\mbs6.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***~1\LOKALE~1\TEMPOR~1\Content.IE5\0TYJG5QV\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***~1\LOKALE~1\TEMPOR~1\Content.IE5\GHQ3KLQN\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\mbs6.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TYJG5QV\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHQ3KLQN\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 120240
Gescannte Dateien: 120240
Gescannte Dateien: 120428
Gefundene Viren: 22
Gefundene Viren: 22
Gefundene Viren: 22
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 385
Anzahl Fehler: 385
Anzahl Fehler: 388
Dauer des Scans bisher: 00:54:17
Dauer des Scans bisher: 00:54:17
Dauer des Scans bisher: 00:53:44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:12:59,98
Batchende: 23:13:52,62



Außerdem gehen seltsame Dinge vor: der PC meldet sich nicht mehr automatisch mit Klick auf das Internet-E im Netz an, und es gibt plötzlich ganz viele Uninstall-Dateien (über 200), die vorher nicht da waren.

Gruß
juukay

Hallo

deaktiviere bitte zuerst deine Systemwiederherstellung --> Systemwiederherstellung deaktivieren

JAVA Müll loswerden
Unter Start -> Einstellungen -> Systemsteuerung -> Java -> Reiter "General" wählen -> bei "Temporary Internet Files" klicke auf "Settings" -> wähle dann "Delete Files" und beende Java.


Erstelle bitte ein neues HijackThis Log wie hier beschrieben --> HijackThis, benenne aber die Hijackthis.exe um in z.B. ABC.exe und bitte
editiere alle Links (z.B. http -> hxxp) sowie persönlichen Einträge wie realname usw.

MFG

Moin

hab gestern vergessen zu fragen wie du ins Internet gehst per ISDN, DSL oder Analoges Modem?

MFG