| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google lenkt abWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.08.2007, 12:24
| #1 |
 |  Google lenkt ab Hallo ich habe folgendes Poblem ich habe vergangenen Tages ein Mediaplayer Plugin downgeloaded und das war wohl mit einem Trojaner infiziert das Plugin habe ich sofort gelöscht 1. der Taskmanager war gesperrt vom Administator das habe ich manuell in den dateien behoben der wert war auf 1 statt 0 gesetzt 2. Jetzt geht Google nicht mehr es lenkt mich immer auf falsche Seiten es geht nur noch über direktlinks. Ich habe schon Antivir7 Anti Trojan 5.5 Zonealarm 2.8 Norton 2007 Super AntiSpyware, Protect SChutz von meinem 7170 Fritzbox und HijackThis durchlaufen lassen habe auch was gefunden aber nichts was das behebt. Sende über WLAN in WPA Brauche dringend Hilfe |
|
30.08.2007, 17:37
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Google lenkt ab Hallo.
__________________Poste bitte das Hijackthis-Logfile. Ich vermute eine Zlob/smitfraud-Infektion, der ist überlicherweise in dubiosen Codecs, folge daher auch bitte dieser Anleitung.
__________________ |
|
31.08.2007, 09:22
| #3 |
| |  Google lenkt ab Erst das HijackThis Log
__________________Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 10:13:16, on 31.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\notepad.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\****************\****************.exe C:\Programme\Belkin\PCI F5D700F\Wireless Utility\Belkinwcui.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Munanori Yagyu\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Live Search R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Picasa Media Detector] E:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] E:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\lclock.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Belkin Wireless G Desktop Card Client Utility.lnk = C:\Programme\Belkin\PCI F5D700F\Wireless Utility\Belkinwcui.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?ab6bee1a79c64160afd483d9287fd0e3 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?ab6bee1a79c64160afd483d9287fd0e3 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing) -- End of file - 8905 bytes Hier Das Smitrem SmitFraudFix v2.218 Scan done at 9:59:45,96, 31.08.2007 Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{1B17A701-9FB1-4427-B97B-EF0EFB61E6BF}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CCS\Services\Tcpip\..\{465652A4-08F2-44D3-A388-39CDF5F809CA}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CCS\Services\Tcpip\..\{6AC77DF4-00D8-4D6B-9889-D064AB6CFBB7}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CCS\Services\Tcpip\..\{98B44E45-F4BE-4392-B2F7-8EF4862DE3CB}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8D6B1EA-06CA-4219-BAFE-06BBBF4EDF08}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{D767F4B3-DE42-4DEB-BE88-336AF8E5B070}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS1\Services\Tcpip\..\{1B17A701-9FB1-4427-B97B-EF0EFB61E6BF}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS1\Services\Tcpip\..\{465652A4-08F2-44D3-A388-39CDF5F809CA}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS1\Services\Tcpip\..\{6AC77DF4-00D8-4D6B-9889-D064AB6CFBB7}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS1\Services\Tcpip\..\{98B44E45-F4BE-4392-B2F7-8EF4862DE3CB}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8D6B1EA-06CA-4219-BAFE-06BBBF4EDF08}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D767F4B3-DE42-4DEB-BE88-336AF8E5B070}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS3\Services\Tcpip\..\{1B17A701-9FB1-4427-B97B-EF0EFB61E6BF}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS3\Services\Tcpip\..\{465652A4-08F2-44D3-A388-39CDF5F809CA}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS3\Services\Tcpip\..\{6AC77DF4-00D8-4D6B-9889-D064AB6CFBB7}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS3\Services\Tcpip\..\{98B44E45-F4BE-4392-B2F7-8EF4862DE3CB}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CS3\Services\Tcpip\..\{D767F4B3-DE42-4DEB-BE88-336AF8E5B070}: DhcpNameServer=85.255.115.237,85.255.112.78 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="kduxq.exe" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Reboot C:\WINDOWS\system32\kduxq.exe Deleted [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» End Habe zudem noch Clean Up Durchgeführt 17926 Dateien Gelöscht(3.1GB) Der Link mit Kaspersky Online überprüfung funktioniert nicht THX an alle dieses Teams jetzt gehts bis jetzt wieder  PS: Das Plugin habe ich davor gescannt habe aber nichts gefunden. Es war ein neues Plugin von 2007 getarnt als WMP AVI Datei von Microsoft Könnt ihr mir ein gutes Programm entfehlen das so etwas blockt Preis egal? Geändert von Slice Van Venter (31.08.2007 um 09:23 Uhr) Grund: habe etwas vergessen |
|
31.08.2007, 14:56
| #4 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google lenkt ab Hallo. Da waren ein paar eklige Dinge drin in deinem System, ob die vollständig weg sind, kann man nicht 100%ig sicher nachprüfen. Da wären aus dem smitrem-Log: Zitat:
Zitat:
Dein HJT-Logfile sieht ebenfalls okay aus aber welches Programm war das denn gleich nochmal? Zitat:
1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
31.08.2007, 15:00
| #5 |
| | Google lenkt ab ich habe formatiert ging schneller...
__________________ Belharaz DBH FUIMUS TROES EX LIBRIS INDEX LIBRORUM PROHIBITORUM CONSUMMATUM EST EX CATHEDRA TROES EST MODUS IN REBUS, SUNT CERTI DENIQUE FINES INTER ARMA SILENT LEGES MUNDUS VULT DECIPI ERGO DECIPATUR |
|
31.08.2007, 15:07
| #6 |
| | Google lenkt ab C:\Programme\****************\****************.exe hieß so ich habe das nicht zensiert!!??! Gibts Irgendein Programm mit dem ich mein Port gut gegen so etwas schützen kann?
__________________ --> Google lenkt ab |
|
31.08.2007, 15:19
| #7 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google lenkt abZitat:
Hut ab vor deiner schnellen Entscheidung zu formatieren, sowas kann ich nur begrüßen, denn diese Methde ist annerkannt sicher! Zu dem Programm mit den Sternchen...ich weiß nicht mehr wie es genau heißt, aber es muss hier im Wortfilter vom Board sein, sodass dann nur noch Sternchen erscheinen, wenn der Name des Programms gepostet wird. Zitat:
 Mach die Windows-Firewall an (standardmäßig aktiv) oder nimm gleich einen Router und gut is..
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.08.2007, 15:23
| #8 | |
| > MalwareDB | Google lenkt abZitat:
 Bata |
|
31.08.2007, 15:53
| #9 |
| | Google lenkt ab THX für eure hilfe lebe echt sicherer aber was ist der virus 000003F9 es enthält den Code HEUR/Crypted
__________________ Belharaz DBH FUIMUS TROES EX LIBRIS INDEX LIBRORUM PROHIBITORUM CONSUMMATUM EST EX CATHEDRA TROES EST MODUS IN REBUS, SUNT CERTI DENIQUE FINES INTER ARMA SILENT LEGES MUNDUS VULT DECIPI ERGO DECIPATUR Geändert von Slice Van Venter (31.08.2007 um 15:59 Uhr) Grund: schlechte formulierung |
|
| Themen zu Google lenkt ab |
| antispyware, antivir, dateien, dringend, falsche, falsche seite, falsche seiten, folge, fritzbox, gelöscht, gesperrt, google, hijack, hijackthis, infiziert, nicht mehr, nichts, norton, schutz, seite, seiten, super, taskmanager, trojaner, wlan, zonealarm |
Linear-Darstellung
