Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Google Suche und Windows Auto-update defekt, popups, trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.09.2008, 20:19   #16
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



hier zunächst das Log von Malwarebytes

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1203
Windows 5.1.2600 Service Pack 2

25.09.2008 21:17:54
mbam-log-2008-09-25 (21-17-54).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 86948
Laufzeit: 41 minute(s), 32 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 36
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 9
Infizierte Dateien: 51

Infizierte Speicherprozesse:
C:\Programme\Foxie Suite\Firewall.exe (Rogue.Foxie) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\firewall (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\firewall (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\firewall (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{53b8b576-27ef-4cf5-ad81-0487f96bf21f} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6db1d8a4-3493-4414-9fd2-3924617491b5} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72fc8424-86d6-4100-8846-ff211f275897} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{96eb9c1c-140f-44d8-8674-840b318b7e0b} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{09c02180-3b46-4cd8-83ff-34daf442bdef} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5b18fd94-2904-4aa0-ad63-7231d59e63a2} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c65185b1-d52b-44a9-861f-8201b50d1f37} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c65185b1-d52b-44a9-861f-8201b50d1f37} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{618d0948-6cd1-4129-9fdb-221a7f973f37} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4879d63c-c3cc-42cc-9d1c-e861b42d0a5c} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5fba0f92-abe8-421c-992e-2a85db9910c1} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{432cae3b-690f-4c3b-bd97-070ebda210d5} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{432cae3b-690f-4c3b-bd97-070ebda210d5} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\foxie privacy, security & productivity suite (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.foxiecore (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.foxiecore.1 (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.foxiesecuritymodule (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.foxiesecuritymodule.1 (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.foxietoolbar (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.foxietoolbar.1 (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.httpfilter (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\foxie.httpfilter.1 (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FoxIE (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FoxIE (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\foxie firewall (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{09c02180-3b46-4cd8-83ff-34daf442bdef} (Rogue.Foxie) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Foxie Suite (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\AdBlock (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Firewall (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\HTML (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Icons (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Sweeper (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Updates (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\N***s\Startmenü\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\injlhcuo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ouchljni.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Firewall.exe (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Cleaner.exe (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\firewall.sys (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Sweeper.exe (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\update.exe (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP3\A0000121.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP4\A0001112.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005198.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005203.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005204.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005205.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005206.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005208.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005209.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005210.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005212.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005213.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005215.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005218.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005219.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005220.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005221.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005223.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005224.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP6\A0005225.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\foxiecore.dll (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\foxiecoreu.dll (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\foxietoolbaru.dll (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\uninst.exe (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Uninstaller.exe (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\AdBlock\adblock.dat (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Firewall\spamservers.dat (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Firewall\spyservers.dat (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Firewall\wormservers.dat (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\HTML\Desktop.htm (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\HTML\index.gif (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\HTML\Infinity.htm (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\HTML\Query.htm (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Icons\Cleaner.ico (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Icons\Desktop.ico (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Icons\Infinity.ico (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Icons\Sweeper.ico (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Sweeper\pests.dtx (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Programme\Foxie Suite\Resources\Updates\index.dat (Rogue.Foxie) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\N***s\Startmenü\Antivirus 2009\Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\N***s\Startmenü\Antivirus 2009\Uninstall Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMbbe8bc11.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMbbe8bc11.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
         

Alt 25.09.2008, 20:34   #17
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



Hier das logfile vom Avenger:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\ouchljni.ini" not found!
Deletion of file "C:\WINDOWS\system32\ouchljni.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\injlhcuo.dll" not found!
Deletion of file "C:\WINDOWS\system32\injlhcuo.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\ecarerid.dll" deleted successfully.
File "C:\WINDOWS\system32\b3f84bf3-.txt" deleted successfully.

Error:  file "C:\WINDOWS\BMbbe8bc11.txt" not found!
Deletion of file "C:\WINDOWS\BMbbe8bc11.txt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\BMbbe8bc11.xml" not found!
Deletion of file "C:\WINDOWS\BMbbe8bc11.xml" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\MEMORY.DMP" deleted successfully.
File "C:\WINDOWS\SET12B.tmp" deleted successfully.
File "C:\WINDOWS\SETE9.tmp" deleted successfully.
File "C:\WINDOWS\SETEC.tmp" deleted successfully.
File "C:\WINDOWS\SETF8.tmp" deleted successfully.
Folder "C:\DOKUME~1\N***s\LOKALE~1\temp\Adobe" deleted successfully.
Folder "C:\DOKUME~1\N***s\LOKALE~1\temp\is-DGDAM.tmp" deleted successfully.
Folder "C:\DOKUME~1\N***s\LOKALE~1\temp\is-CCDIA.tmp" deleted successfully.

Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{453fddb0-412c-489f-b3b4-81b40fdfcb40}" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{453fddb0-412c-489f-b3b4-81b40fdfcb40}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBA4CC8C-A389-4DCE-8C5D-F18C7FCC4D07}" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBA4CC8C-A389-4DCE-8C5D-F18C7FCC4D07}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvTmmk" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvTmmk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
und das anschließende HiJackLogfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:16, on 25.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\zip.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\ObjectDock\ObjectDock.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\N***s\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Desktop Search - {306BBB66-D9E4-4481-833E-C1D5FCA06774} - C:\Programme\Foxie Suite\Resources\HTML\Desktop.htm (file missing)
O9 - Extra 'Tools' menuitem: Desktop Search - {306BBB66-D9E4-4481-833E-C1D5FCA06774} - C:\Programme\Foxie Suite\Resources\HTML\Desktop.htm (file missing)
O9 - Extra button: Privacy Cleaner - {546E08AA-809F-4F1A-BE1A-6B122EBFCD5A} - C:\Programme\Foxie Suite\Cleaner.exe (file missing)
O9 - Extra 'Tools' menuitem: Privacy Cleaner - {546E08AA-809F-4F1A-BE1A-6B122EBFCD5A} - C:\Programme\Foxie Suite\Cleaner.exe (file missing)
O9 - Extra button: Swift Sweeper - {61039B22-563D-4922-B844-B076C318A66A} - C:\Programme\Foxie Suite\Sweeper.exe (file missing)
O9 - Extra 'Tools' menuitem: Swift Sweeper - {61039B22-563D-4922-B844-B076C318A66A} - C:\Programme\Foxie Suite\Sweeper.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: The Infinity Button - {E4143585-2688-4EBC-B264-27C774F600D5} - C:\Programme\Foxie Suite\Resources\HTML\Infinity.htm (file missing)
O9 - Extra 'Tools' menuitem: The Infinity Button - {E4143585-2688-4EBC-B264-27C774F600D5} - C:\Programme\Foxie Suite\Resources\HTML\Infinity.htm (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222185975655
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C38147-D8F4-492B-B488-6557BA790FFC}: NameServer = 89.246.64.8 62.220.18.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7778 bytes
         
__________________


Alt 25.09.2008, 21:46   #18
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



Das Auto-Update funktioniert wieder, die GoogleSuche auch, vielen Dank dafür! Tolle Hilfe,wirklich! aber der Rechner schmiert mir immer noch ab, auch nach den letzten Tipps. Ich habe erst einmal Malwarebytes durchlaufenlassen können (warum auch immer es da ging), sonst immer komplette Hänger mit bluescreen. Irgendwas ist da bestimmt noch nicht in Ordnung. Hast du noch weitere Ideen?
Soll ich die aktuellen Windows-Updates installieren (inkl. XP ServicePack3) ?
Herzlichen Dank!
__________________

Alt 26.09.2008, 12:03   #19
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



habe mal einen Durchlauf von Spybot S&D gemacht:
Code:
ATTFilter
--- Report generated: 2008-09-26 12:57 ---

Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()
  

Smitfraud-C.: [SBI $1BA3DF13] Programm-Verzeichnis (Verzeichnis, fixed)
  C:\Programme\VirusBurster\


--- Spybot - Search & Destroy version: 1.6.0  (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-08-18 TeaTimer.exe (1.6.2.23)
2008-09-26 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-07-07 advcheck.dll (1.6.1.12)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-07-07 SDHelper.dll (1.6.0.12)
2008-06-19 sqlite3.dll
2008-07-07 Tools.dll (2.1.5.7)
2008-09-02 Includes\Adware.sbi (*)
2008-09-09 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-09-02 Includes\Hijackers.sbi (*)
2008-09-02 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-09-23 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-09-09 Includes\Malware.sbi (*)
2008-09-23 Includes\MalwareC.sbi (*)
2008-09-02 Includes\PUPS.sbi (*)
2008-09-11 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-09-02 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-09-09 Includes\Spyware.sbi (*)
2008-09-23 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-09-16 Includes\Trojans.sbi (*)
2008-09-23 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
         
danach habe ich einen quickscan mit Malwarebytes geschafft...
logfile dazu:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1205
Windows 5.1.2600 Service Pack 2

26.09.2008 13:02:10
mbam-log-2008-09-26 (13-02-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 12285
Laufzeit: 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{306bbb66-d9e4-4481-833e-c1d5fca06774} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{546e08aa-809f-4f1a-be1a-6b122ebfcd5a} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{61039b22-563d-4922-b844-b076c318a66a} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e4143585-2688-4ebc-b264-27c774f600d5} (Rogue.Foxie) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
und anschließendes HJT-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:20, on 26.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\ObjectDock\ObjectDock.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\N***s\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222185975655
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6645 bytes
         
beim anschließenden Versuch einen kompletten Scan mit Malwarebytes zu machen, aber wieder der Systemabsturz...

Geändert von Nik1385 (26.09.2008 um 12:21 Uhr)

Alt 28.09.2008, 18:08   #20
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



Hallo!
Es wäre supernett, wenn sich jemand die logfiles oben angucken könnte, und mir sagen kann, ob da noch schädliche Dateien bei sind und was ich dagegen tun kann. malwarebytes stürzt nach ein paar Sekunden ab, das letzte was ich sehen kann sind 5 infizierte Objekte nach 15 sekunden...
Vielen Dank im Voraus für Eure Hilfe!


Alt 30.09.2008, 08:30   #21
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



hier nochmal das aktuelle HJT logfile.
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:27:13, on 30.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Dokumente und Einstellungen\N***s\Desktop\HiJackThis.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222185975655
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6976 bytes
         
neben den Abstürzen bei Malwarebytes kann ich das XP SP3 nicht installieren, da er beim Installationsorgang abbricht. ("Zugriff verweigert") Vielleicht gibts da ja noch Lösungsvorschläge.
Vielen Dank für die Hilfe!

Geändert von Nik1385 (30.09.2008 um 08:53 Uhr)

Alt 30.09.2008, 18:30   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



Hallo,

hier bin ich wieder. Hatte die letzten Tage extrem wenig Zeit....
Also die Hijackthis-Logs sind sauber...beim aktuellen sind auch keine verwaisten Einträge mehr drin.

Aus den Abstürzen kann ich mir noch keinen Reim machen...schau mal bitte in die Ereignisanzeige (eventvwr.msc) und such mal nach relevanten Einträgen, die von der Zeit her auch zu den Abstürzen passen. Klick die an und poste das mal was da steht, vllt wird man daraus schlauer.

Wegen SP3: Installierst Du es übers Windowsupdate oder ziehst Du das Komplettpaket?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.09.2008, 19:25   #23
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



eintrag von gestern:
Code:
ATTFilter
Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "MBAMSwissArmy" gesendet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
         
6 minuten später:
Code:
ATTFilter
Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
         
dann exakt gleiche Zeit:
Code:
ATTFilter
Der Ereignisprotokolldienst wurde gestartet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
         
sechs sekunden später:
Code:
ATTFilter
Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x000000d1 (0x00000010, 0x00000002, 0x00000000, 0xf743b0e4). Ein volles Abbild wurde gespeichert in: C:\WINDOWS\MEMORY.DMP.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
         
ansonsten fällt mir an Fehlern auf, die häufig auftreten:
Code:
ATTFilter
Der Dienst "TuneUp Designerweiterung" wurde aufgrund folgenden Fehlers nicht gestartet: 
In dem ausführbaren Programm, in dem der Dienst ausgeführt wird, ist der Dienst nicht implementiert. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

sowie:

Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: 
Das für diesen Dienst angegebene Konto unterscheidet sich von dem für andere Dienste angegebenen Konto, die in diesem Prozess ausgeführt werden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

sowie:

Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: 
Das angegebene Modul wurde nicht gefunden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

sowie:
Die Beschreibung der Ereigniskennung ( 4096 ) in ( Avira AntiVir ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: ; ; ; .

sowie:
Die Registrierung des Benutzers "FSC-AMILO-M7440\N***s" wurde gespeichert, obwohl  eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. 

 Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

sowie:
WMI-ADAP konnte das Objekt "Win32_PerfRawData_ASPNET_ASPNETApplications" für Leistungsbibliothek "ASP.NET" nicht erstellen, weil Fehler "0x80041001" zurückgegeben wurde.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

sowie:
WMI-ADAP konnte die Leistungsbibliothek ASP.NET_2.0.50727 aufgrund von ungültigen zurückgegebenen Daten nicht laden: 0x0

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
sowie:
Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
         
Malwarebytes findet ja noch etwas, auch wenn das HJT logfile frei ist. Das letzte was ich noch sehen kann sind ja infizierte Dateien in der Anzeige.

SP3 starte ich über die Windowsupdate homepage.

Ansonsten verschwinden derzeit Programme aus dem Startmenü --> alle Programme
Auf der Festplatte sind die aber noch...

ich habe gestern einen scan der Registrierung von Malwarebytes hinbekommen:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1205
Windows 5.1.2600 Service Pack 2

29.09.2008 22:52:32
mbam-log-2008-09-29 (22-52-32).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 12527
Laufzeit: 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
das was ich in der Quarantäne von Malwarebytes habe ist ganz oft "Rogue.Foxie" und "Trojan.Vundo", vielleicht hilft das ein bisschen weiter

Geändert von Nik1385 (30.09.2008 um 20:07 Uhr)

Alt 01.10.2008, 20:23   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



Hm...naja bei zugemüllten PCs besteht immer die Gefahr, dass das System bei bestimmten Aktionen einfach abstürzt.
Vorausgesetzt Deine Hardware ist i.O. würde vielleicht eine Reparaturinstallation helfen. Optimal wäre nat. ein Neuaufsetzen des Betriebssystems mit vorheriger Formatierung.

Seit wann treten die Abstürze auf? Immer nur bei Malwarebytes?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.10.2008, 20:32   #25
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



ach, das depperte ist, dass mein PC nicht zugemüllt ist, sondern ich den eigentlich immer gut in Schuss halte. Und ich hab keine Ahnung, wo ich mir den Kram eingefangen habe.

Habe vor einiger Zeit die FoxieFirewall draufgepackt, vielleicht war das die Lücke, ansonsten habe ich nix verändert.
Irgendwie krieg ich den Rechner derzeit nicht sauber, vorhin hat AntiVir 19 Funde gehabt...
Code:
ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 1. Oktober 2008  18:48

Es wird nach 1653544 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     FSC-AMILO-M7440

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes   12.8.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes   28.7.2008 06:00:13
AVSCAN.DLL    : 8.1.4.0        48897 Bytes   28.7.2008 06:00:13
LUKE.DLL      : 8.1.4.5       164097 Bytes   28.7.2008 06:00:13
LUKERES.DLL   : 8.1.4.0        12545 Bytes   28.7.2008 06:00:13
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes   18.7.2007 07:06:49
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes   24.6.2008 13:53:29
ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes   26.9.2008 10:01:37
ANTIVIR3.VDF  : 7.0.6.234     113664 Bytes   1.10.2008 11:11:33
Engineversion : 8.1.1.35  
AEVDF.DLL     : 8.1.0.5       102772 Bytes   21.4.2008 13:14:06
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes   18.9.2008 14:57:34
AESCN.DLL     : 8.1.0.23      119156 Bytes   28.7.2008 06:00:14
AERDL.DLL     : 8.1.1.2       438644 Bytes   18.9.2008 14:57:26
AEPACK.DLL    : 8.1.2.3       364918 Bytes   24.9.2008 10:01:44
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes   18.9.2008 14:57:23
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes   18.9.2008 14:57:18
AEHELP.DLL    : 8.1.0.15      115063 Bytes   29.5.2008 15:53:48
AEGEN.DLL     : 8.1.0.36      315764 Bytes   25.8.2008 12:10:21
AEEMU.DLL     : 8.1.0.7       430452 Bytes    2.8.2008 12:33:09
AECORE.DLL    : 8.1.1.11      172406 Bytes    8.9.2008 14:45:05
AEBB.DLL      : 8.1.0.1        53617 Bytes   28.7.2008 06:00:14
AVWINLL.DLL   : 1.0.0.12       15105 Bytes   28.7.2008 06:00:13
AVPREF.DLL    : 8.0.2.0        38657 Bytes   28.7.2008 06:00:13
AVREP.DLL     : 8.0.0.2        98344 Bytes    2.8.2008 12:33:07
AVREG.DLL     : 8.0.0.1        33537 Bytes   28.7.2008 06:00:13
AVARKT.DLL    : 1.0.0.23      307457 Bytes   21.4.2008 13:14:06
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes   28.7.2008 06:00:13
SQLITE3.DLL   : 3.3.17.1      339968 Bytes   21.4.2008 13:14:06
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes   28.7.2008 06:00:13
NETNT.DLL     : 8.0.0.1         7937 Bytes   21.4.2008 13:14:06
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes   28.7.2008 06:00:11
RCTEXT.DLL    : 8.0.52.0       86273 Bytes   28.7.2008 06:00:11

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: quarantäne
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 1. Oktober 2008  18:48

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '64497' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ObjectDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'PM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\N***s\Anwendungsdaten\Thunderbird\Profiles\vj5uda4h.default\Mail\Local Folders\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[Message-ID: <002601c74bd3$b097fee0$2e8cfea9@your-f95424bb04][From: "Postbank AG 2007" <customers_support_id_04fe@p][Subject: Dringende Mitteilung von der Postbank .        ]820.mim
        [1] Archivtyp: MIME
        --> file0.mim
          [2] Archivtyp: MIME
          --> file1.html
            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> Mailbox_[Message-ID: <461988A3.1060500@spencerreed.com>][From: Frederik U. Childress <sirrs@spencerreed.com>][Subject: USA Missle Strike: Iran War just have started]1176.mim
        [1] Archivtyp: MIME
        --> News.exe
          [FUND]      Ist das Trojanische Pferd TR/Small.DBY.BS
    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
C:\Dokumente und Einstellungen\N***\Desktop\Trojaner-board\ComboFix.exe
    [0] Archivtyp: RAR SFX (self extracting)
    --> 32788R22FWJFW\hidec.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
    --> 32788R22FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 32788R22FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 32788R22FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4950acff.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP12\A0013522.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b5f3.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP2\A0000025.EXE
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b734.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP2\A0000040.exe
    [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b735.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP2\A0000050.com
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486c73b6.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP3\A0000100.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b86d.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP3\A0000150.com
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b86f.qua' verschoben!
C:\System Volume Information\_restore{88A30F3B-5FA6-486A-9983-67C6D0E0CB01}\RP31\A0036416.exe
    [0] Archivtyp: RAR SFX (self extracting)
    --> 32788R22FWJFW\hidec.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
    --> 32788R22FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 32788R22FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 32788R22FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4913b939.qua' verschoben!
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe
    [FUND]      Enthält Erkennungsmuster des SPR/WFPDis.A-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4953ba69.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 1. Oktober 2008  20:10
Benötigte Zeit:  1:21:47 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8966 Verzeichnisse wurden überprüft
 382033 Dateien wurden geprüft
     19 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      9 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 382012 Dateien ohne Befall
   9204 Archive wurden durchsucht
      3 Warnungen
      9 Hinweise
  64497 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Ich werde mir morgen eine externe Festplatte kaufen (hatte ich sowieso schon immermal überlegt) und dann die Kiste plattmachen. So wenig Lust ich auch darauf habe...
Dir trotzdem vielen Dank für die Mühe! War echt eine super Hilfe und die ursprünglichen Probleme hab ich dadurch wunderbar in den Griff bekommen!
Schöne Grüße!

Alt 01.10.2008, 20:41   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Icon32

Google Suche und Windows Auto-update defekt, popups, trojaner



Naja, wenn AntiVir was gefunden hat, dann ist es auch entscheidend was genau wo denn gefunden wird. Wieder in System32?
Und kannst Du mit dem Absturz leben? Sofern er auch nur unter MBAM auftritt...

Aber Dir macht es anscheinend auch nicht mehr viel aus das System neu aufzusetzen. So machst Du aus den Schädlingen sicher kurzen Prozess.

Für die Zukunft empfiehlt es sich regelmäßig Backups zu erstellen. Z.B. mit Acronis True Image, kostet zwar Geld aber das ist sehr gut angelegt. Einfach bevor Du ne unsichere Aktion startest, ein Abbild der Systempartition mit Windows erstellen - ist was schief gegangen, einfach das erstellte Image zurück und es ist wieder wie vorher!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.10.2008, 20:48   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Cool

Google Suche und Windows Auto-update defekt, popups, trojaner



Ich seh gerade den AntiVirbericht. Das sind eigentlich größtenteild Fehlalarme erzeugt worden, da wurden Dateien, die Combofix erstellt hat angemeckert.

Aber:

Code:
ATTFilter
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe
         
Das kenn ich nicht...

Code:
ATTFilter
C:\Dokumente und Einstellungen\N***s\Anwendungsdaten\Thunderbird\Profiles\vj5uda4h.default\Mail\Local Folders\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
         
Da ist was in der Mailboxdatei von Thunderbird. Du hast anscheinend mal ne Phishing-Mail bekommen, die AntiVir anmeckert. Löschen darfst Du die Mailboxdateien nicht, weil sonst alle E-Mails weg sind!! Weitere Hinweise dazu von Markus hier.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.10.2008, 20:55   #28
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



okay, danke! Dann kann ich ja auch ein Backup von thunderbird erstellen und das gefahren-frei wieder auf das neue System laden,richtig?

Alt 01.10.2008, 21:02   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Cool

Google Suche und Windows Auto-update defekt, popups, trojaner



Jap. Erst wenn da wirklich was Schädliches drin sein sollte und Du es auch ausführst hast Du ein Problem. Ich vermute aber nur eine simple Phishingmail, die nur auf einen Link führt, wo Du Deine Daten zum Abfischen eingeben sollst. Aber wie gesagt, womöglich ist die Mail schon längst gelöscht und Du musst lediglich alle Ordner komprimieren/kompaktieren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.10.2008, 21:15   #30
Nik1385
 
Google Suche und Windows Auto-update defekt, popups, trojaner - Standard

Google Suche und Windows Auto-update defekt, popups, trojaner



was empfiehlst du denn für eine kombination von programmen, die man regelmäßig oder gelegentlich nutzt (virenprogramm, firewall, cleaner,..)?
(ich weiß, dass es da 1001 Meinung zu gibt...)

Antwort

Themen zu Google Suche und Windows Auto-update defekt, popups, trojaner
ad-aware, antivir, aufrufe, avira, bonjour, computer, ctfmon.exe, desktop, excel, fehler, firefox, google, highjackthis, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, mozilla, rundll, software, system, trojane, trojaner, trojaner eingefangen, tuneup.defrag, updates, urlsearchhook, windows, windows xp




Ähnliche Themen: Google Suche und Windows Auto-update defekt, popups, trojaner


  1. Windows 8.1: Werbe-Popups in Google Chrome und Opera
    Log-Analyse und Auswertung - 24.07.2014 (16)
  2. Windows 8: Das Öffnen von Werbungen mit Google/YouTube-Suche
    Log-Analyse und Auswertung - 09.07.2014 (17)
  3. Windows 8.1 Windows Update suche fehlgeschlagen
    Alles rund um Windows - 06.05.2014 (2)
  4. Google Suche - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (15)
  5. Falsche Weiterleitungen in Firefox nach Google-Suche | Windows 7
    Plagegeister aller Art und deren Bekämpfung - 11.09.2011 (9)
  6. Malware: Minianwendungen defekt und IE9 Werbe-Popups!
    Log-Analyse und Auswertung - 21.04.2011 (6)
  7. Firefox: falsche Verlinkungen + Auf-gut-Glück-Suche defekt
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (35)
  8. Windows Recovery entfernt- Problem mit Google Suche - Malwarebytes Logfiles
    Log-Analyse und Auswertung - 16.04.2011 (9)
  9. Hijack Logfile - PC lacht / komische Popups / Minianwendungen defekt
    Log-Analyse und Auswertung - 10.12.2010 (3)
  10. IE-Explorer öffnet Werbefenster, Suche nach Windows Update ist gesperrt
    Log-Analyse und Auswertung - 17.07.2010 (10)
  11. Firefox Einwortsuche, Windows update KB 982381 und Bing-Suche
    Alles rund um Windows - 29.06.2010 (15)
  12. AntiVir Update manuell und auto geht nicht mehr!
    Antiviren-, Firewall- und andere Schutzprogramme - 15.02.2009 (5)
  13. Probleme: Ms Auto-Update geht nicht zu aktivieren; Explorer.exe Problem bei ShutDown
    Log-Analyse und Auswertung - 05.02.2009 (2)
  14. Trojaner! Antivir Auto-Update nicht aktivierbar!!
    Plagegeister aller Art und deren Bekämpfung - 03.12.2008 (1)
  15. Umleitung bei Windows-Update-Website / Popups
    Plagegeister aller Art und deren Bekämpfung - 19.11.2008 (1)
  16. Sicherheitscenter Auto Update inaktiv
    Log-Analyse und Auswertung - 19.10.2008 (3)
  17. AntiVir 7 Auto-Update ausschalten
    Antiviren-, Firewall- und andere Schutzprogramme - 01.02.2006 (2)

Zum Thema Google Suche und Windows Auto-update defekt, popups, trojaner - hier zunächst das Log von Malwarebytes Code: Alles auswählen Aufklappen ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1203 Windows 5.1.2600 Service Pack 2 25.09.2008 21:17:54 mbam-log-2008-09-25 (21-17-54).txt Scan-Methode: Vollständiger Scan (C:\|) - Google Suche und Windows Auto-update defekt, popups, trojaner...
Archiv
Du betrachtest: Google Suche und Windows Auto-update defekt, popups, trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.