|
Log-Analyse und Auswertung: Falsche Links bei googleWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
31.08.2008, 00:01 | #1 |
| Falsche Links bei google Hallo zusammen, ich werde bei suchanfragen bei google immer auf ebay seiten oder ähnliches umgeleitet und nicht das wonach ich eigentlich gesucht habe. Ausserdem bekomme ich zweifelhafte antivirus programme angeboten die ich unbedingt installieren muss damit mein windows xp sicher bleibt^^. Ich habe Antivir laufen lassen, hat auch relativ viele Viren gefunden. Trojaner, dropper und ähnliches. Hat bis jetzt aber nix geholfen, vielleicht könnt ihr mir helfen? Hier mein HJT Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:27:43, on 31.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PhnxCDSvr.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Virtual CD v8\System\VC8SecS.exe C:\WINDOWS\system32\DRIVERS\WtSrv.exe C:\WINDOWS\system32\VTTimer.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\WService.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WService] WService.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" acrdb7_0_9 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe (User 'SYSTEM') O4 - .DEFAULT Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~2\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~2\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.yakumo.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106423904781 O20 - AppInit_DLLs: O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\system32\PhnxCDSvr.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing) O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe -- End of file - 7928 bytes |
31.08.2008, 00:14 | #2 | |
/// TB-Ausbilder | Falsche Links bei google Hi,
__________________poste bitte das Log von Antivir, indem die gefundenen und bereinigten Viren gelistet sind. Lasse bitte außerdem folgende Datei bei virustotal auswerten: Zitat:
Erstelle anschließend einen Scan mit Malwarebytes und poste das Log dann hier. lg myrtille
__________________ |
31.08.2008, 01:52 | #3 |
| Falsche Links bei google So,erstmal danke für die schnelle antwort! Also, diese svchost.exe auswerten zu lassen ist daran gescheitert dass mein rechner bzw. mein firefox keine internetverbindung zulässt.D.h. ich kann die virustotal seite nicht aufrufen, genausowenig wie ich auf das trojaner-board zugreifen kann. Scheint so als würde der virus (?) das irgendwie zu blockieren oder so. Ich bin zwar im Internet, kann auch auf google zugreifen aber wenn ich suchbegriffe mit "virus" oder ähnlichem eingebe schickt mich google auf irgendwelche andren seiten.
__________________Achso ausserdem habe ich seit neuestem statt einem Bildschirmschoner einen blauen Bildschirm mit der Fehlermeldung "Unexpected_Kernel_Mode_Trap". Vielleicht kann ja jmd. etwas damit anfangen... Ok hier jetzt, die AntiVir Logs: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 30. August 2008 11:59 Es wird nach 1579990 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: *** Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 22:16:33 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 22:16:33 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 22:16:33 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 22:16:33 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:40:59 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 11:32:09 ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 18:28:55 ANTIVIR3.VDF : 7.0.6.84 156672 Bytes 28.08.2008 10:40:35 Engineversion : 8.1.1.23 AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 09:00:51 AESCRIPT.DLL : 8.1.0.68 315770 Bytes 24.08.2008 18:29:06 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 13:06:45 AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 11:09:32 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 13:06:45 AEOFFICE.DLL : 8.1.0.22 192890 Bytes 24.08.2008 18:29:05 AEHEUR.DLL : 8.1.0.50 1388918 Bytes 24.08.2008 18:29:03 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 13:48:57 AEGEN.DLL : 8.1.0.36 315764 Bytes 24.08.2008 18:28:59 AEEMU.DLL : 8.1.0.7 430452 Bytes 03.08.2008 10:36:03 AECORE.DLL : 8.1.1.8 172406 Bytes 03.08.2008 10:36:02 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 13:05:01 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 22:16:33 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 22:16:33 AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 10:36:01 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 22:16:33 AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 09:00:50 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 22:16:33 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 09:00:51 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 22:16:34 NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 09:00:51 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 22:16:30 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 22:16:30 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 30. August 2008 11:59 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegistryCleaner.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WtSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OneClick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VC8SecS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PhnxCDSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '61' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <C> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\lphc3vaj0erfv.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Frauder.AT [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\phc3vaj0erfv.bmp [FUND] Ist das Trojanische Pferd TR/Fakealert.AAF [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Samstag, 30. August 2008 13:47 Benötigte Zeit: 1:48:03 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 13349 Verzeichnisse wurden überprüft 542383 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 542378 Dateien ohne Befall 10051 Archive wurden durchsucht 4 Warnungen 2 Hinweise Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 28. August 2008 13:24 Es wird nach 1579990 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: *** Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 22:16:33 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 22:16:33 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 22:16:33 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 22:16:33 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:40:59 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 11:32:09 ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 18:28:55 ANTIVIR3.VDF : 7.0.6.84 156672 Bytes 28.08.2008 10:40:35 Engineversion : 8.1.1.23 AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 09:00:51 AESCRIPT.DLL : 8.1.0.68 315770 Bytes 24.08.2008 18:29:06 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 13:06:45 AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 11:09:32 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 13:06:45 AEOFFICE.DLL : 8.1.0.22 192890 Bytes 24.08.2008 18:29:05 AEHEUR.DLL : 8.1.0.50 1388918 Bytes 24.08.2008 18:29:03 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 13:48:57 AEGEN.DLL : 8.1.0.36 315764 Bytes 24.08.2008 18:28:59 AEEMU.DLL : 8.1.0.7 430452 Bytes 03.08.2008 10:36:03 AECORE.DLL : 8.1.1.8 172406 Bytes 03.08.2008 10:36:02 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 13:05:01 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 22:16:33 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 22:16:33 AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 10:36:01 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 22:16:33 AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 09:00:50 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 22:16:33 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 09:00:51 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 22:16:34 NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 09:00:51 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 22:16:30 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 22:16:30 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 28. August 2008 13:24 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'wuauclt.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WtSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VC8SecS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PhnxCDSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '61' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <C> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.ttA9.tmp [FUND] Enthält Erkennungsmuster des Droppers DR/Fraud.Anti2008.C [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.ttA9.tmp.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Fraud.Anti2008.C [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Acr647A.tmp [0] Archivtyp: PDF Stream --> Object [FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.AF [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8CRZNBXQ\._file[1].exe [FUND] Ist das Trojanische Pferd TR/Agent.26624.37 [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Donnerstag, 28. August 2008 14:28 Benötigte Zeit: 1:04:34 Stunde(n) Der Suchlauf wurde abgebrochen! 4352 Verzeichnisse wurden überprüft 149426 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 4 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 149420 Dateien ohne Befall 2806 Archive wurden durchsucht 3 Warnungen 4 Hinweise Und der Malwarebytes Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1099 Windows 5.1.2600 Service Pack 2 02:35:19 31.08.2008 mbam-log-08-31-2008 (02-35-19).txt Scan-Methode: Vollständiger Scan (C:\|F:\|) Durchsuchte Objekte: 236325 Laufzeit: 56 minute(s), 36 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 4 Infizierte Dateien: 45 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc7vaj0erfv (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhc7vaj0erfv (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\AdvancedCleaner Free (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\AppDB (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\rhc7vaj0erfv (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphc3vaj0erfv.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\acu.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\antiVlog.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\appAct.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\appv.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\err.log (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\lapv.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\license.rtf (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\manual.url (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\naglinks.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\readme.rtf (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\report.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\req.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\request.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\support.url (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\tasks.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\transformer.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\UADC.url (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\UADC.xml (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\unins000.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\upser.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\AppDB\AppBase.xml (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\AppDB\profiles.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\AdvancedCleaner Free\AppDB\prowords.dat (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully. C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\save.db (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. |
31.08.2008, 01:59 | #4 |
/// TB-Ausbilder | Falsche Links bei google Heya, Es ist schon spät. Hätte bei dem Titel und deiner Beschreibung auch selbst bemerken können, dass du wohl nicht auf die gewollte Seite kommen wirst. Hast du den Rechner neugestartet? Wenn nicht tue das bitte jetzt. Wie geht es den Umleitungen? Was sagt der Rechner? Poste bitte ein neues Hijackthislog. Für den Bluescreen bräuchte ich noch die Zahlenfolgen, die unter dem UNEXPECTED_.... stehen, sowie, wenn vorhanden, die Datei, durch die der BSOD verursacht wurde. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
31.08.2008, 02:29 | #5 |
| Falsche Links bei google Unglaublich, nach dem Neustart findet er virustotal wieder. Die svchost.exe kann ich nur unter dem Verzeichnis C:\WINDOWS\system32\svchost.exe finden, nicht unter "drivers". Besteht da ein unterschied? Oder soll ich eben diese auf virustotal überprüfen lassen? Hier noch der HJT Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:19:21, on 31.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PhnxCDSvr.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Virtual CD v8\System\VC8SecS.exe C:\WINDOWS\system32\DRIVERS\WtSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\WService.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WService] WService.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" acrdb7_0_9 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe (User 'SYSTEM') O4 - .DEFAULT Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~2\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~2\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.yakumo.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106423904781 O20 - AppInit_DLLs: O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\system32\PhnxCDSvr.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing) O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe -- End of file - 7930 bytes |
31.08.2008, 02:38 | #6 | ||
/// TB-Ausbilder | Falsche Links bei google Hi, Gar nicht so unglaublich, wenn man weiß, dass die Umleitungen durch Malwarekomponenten provoziert werden, die Malwarebytes nur mithilfe eines Neustarts löschen kann. Nicht der Neustart hat das Problem gelöst, sondern das Programm Malwarebytes Anti-Malware. Zitat:
Die Datei unter C:\windows\system32 ist eine wichtige Datei von Windows. Die Datei unter C:\windows\system32\drivers ist ein Virus, der so tut als wäre er die zuerst genannte Datei. Damit der Mensch vor dem befallenen Rechner die Datei nicht so schnell löscht. Die Datei unter C:\windows\system32 brauchst du nicht hochzuladen. Zitat:
Erstell bitte noch ein ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. lg myrtille
__________________ --> Falsche Links bei google |
31.08.2008, 10:49 | #7 |
/// TB-Ausbilder | Falsche Links bei google Auch das Log sieht gut aus. Hast du noch Probleme mit dem Rechner? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
31.08.2008, 12:26 | #8 |
| Falsche Links bei google Nein bis jetzt hab ich keine Probleme mehr gehabt. Wenn der Bluescreen noch mal auftaucht poste ich nochmal. Vielen Dank myrtille, für deine Hilfe mitten in der Nacht Ich hatte schon angst dass ich mein system neu aufsetzten muss, aber dank deiner Hilfe siehts jetzt viel besser aus! Ps: kannst du den file-upload link unbrauchbar machen? ich hab den lösch link natürlich net gespeichert. Muss ja net jeder meine daten sehen können.. |
31.08.2008, 12:40 | #9 |
/// TB-Ausbilder | Falsche Links bei google Hi, das mit dem Link ist in Arbeit. Bei dir läuft noch das LiveUpdate von Symantec. Wenn du dieses deinstallieren willst, benutzt bitte das Removalprogramm von Norton: Link Außerdem würde ich dir empfehlen bei Gelegenheit auch mal das SP3 zu installieren. Ich würde dir auch empfehlen Malwarebytes zu behalten und gelegentlich deinen Rechner mit dem Tool zu scannen. Wenn du das nicht willst, kannst du die genutzten Tools über Start->Systemsteuerung->Software deinstallieren. Die Filelisting.cmd kannst du einfach so löschen. Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst. Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
31.08.2008, 12:48 | #10 |
| Falsche Links bei google Malwarebytes behalte ich auf jeden Fall. Nochmal herzlichen Dank für die Tips und für deine Hilfe! |
31.08.2008, 12:50 | #11 |
/// TB-Ausbilder | Falsche Links bei google Gern Geschehen!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
08.09.2008, 17:56 | #12 |
| Falsche Links bei google, Episode 2 Hallo leute ich hab hier schonmal gepostet weil mein firefox immer falsche links bei google öffnet. Nachdem mir hier geholfen wurde hat auch alles wieder funktioniert, aber jetzt fängt der spaß von vorne an. Warum? Kann man noch was retten, oder soll ich gleich mein system neu aufsetzten? Geändert von 2xSchmux (08.09.2008 um 18:21 Uhr) |
08.09.2008, 18:01 | #13 |
/// TB-Ausbilder | Falsche Links bei google Hi, aktualisiere bitte Malwarebytes und lasse es nochmal deinen Rechner scannen. Poste die Antwort hier. Erstell außerdem ein Hijackthislog und poste es ebenfalls hier. Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
08.09.2008, 18:03 | #14 |
| Falsche Links bei google Ah myrtille, vielen Dank schonmal im vorraus! Ich weis nicht ob ich das alles heute noch machen kann aber ich fang mal damit an! Danke nochmal |
08.09.2008, 19:12 | #15 |
Administrator > Competence Manager | Falsche Links bei google Hab eure Beiträge mal der Übersicht wegen zusammengelegt.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu Falsche Links bei google |
adobe, antivirus, avira, bho, down, drivers, ebay, explorer, frage, google, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, nvidia, rundll, seiten, software, symantec, system, tablet, trojaner, tuneup.defrag, urlsearchhook, viele viren, viren, windows, windows xp, windows\system32\drivers |