Ne ich meinte die Spalte wo 127.0.0.1 steht ob da irgendwo auch eine andere IP steht?

Die Einträge von Google da sind ebenfalls schädliche Seiten wurden aber da bin ich mir fast zu 100% sicher ebenfalls von S&D gesetzt.

a-squared Free Scan ausführen
Bitte lade dir a-squared Free herunter. Führe ein Update aus und mache einen vollständigen Scan. Lösche am Ende noch keine Funde sondern liste alle Funde samt deren Fundort (Verzeichnis) hier auf. Dabei musst du die Tracking Cookies nicht nennen.

Im TCP View hattest du ganz schöne svchost.exe normal wären eigentlich so 7-8 aber da kenn ich mich selbst noch nicht ganz so gut mir aus-

Nein ist immer die gleiche IP.

So hab ich gemacht und er hat 2 Dateien gefunden:


C:\Programme\DAEMON Tools\SetupDTSB.exe gefunden: Adware.SaveNow.bo
E:\Games\hl\hltv.exe gefunden: Riskware.Server-Proxy.Win32.Hltv


Aber ob es daran hängt?
Habt ihr eine Idee?


Gruß

C:\Programme\DAEMON Tools\SetupDTSB.exe
- Könnt gefunden werden, da die Viele damit illegale Raubkopien herstellen.
- Man kann aber nicht ausschließen, dass diese Datei verändert wurde glaube ich aber eher nicht.

E:\Games\hl\hltv.exe
- Könnte was damit zu tun haben auch ein Proxy kann dafür sorgen, dass du auf falschen Seiten landest usw.

Mit den Datein mal folgendes machen, wenn es von der Größe her geht:
Tests durchführen
1. Anubis
Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse.

2. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

Hi,
danke für deine schnelle Antworten immer.

Hier mal die Links von ANUBIS:

http://anubis.iseclab.org/result.php?taskid=e48ee636bbd18b44198738ef3c3a9a35&refresh=1


http://anubis.iseclab.org/result.php?taskid=e8c1e177cc2a5b744da94a446493c304&refresh=1



Leider kann ich auf Virustotal nicht zugreifen, wenn ich die Seite in die Adressleiste eingebe und auf Enter drücke, erscheint die Seite bei Firefox das keine Seite gefunden werden konnte.

Gruß

Links:
http://www.virustotal.com/de/ <- Mehr als merkwürdig. Da will wohl wer nicht das du auf die Seite kommst. Bitte mal den Inhalt der (C:\WINDOWS\system32\drivers\etc\hosts) Datei hier einfügen.
Alternativen
http://scanner.novirusthanks.org/
http://virusscan.jotti.org/de/

http://anubis.iseclab.org/result.php?taskid=e8c1e177cc2a5b744da94a446493c304 Könnte schon was sein, habe gerade keine Zeit mehr dem genauer nachzugehen. Kann aber auch ein einfacher Verdacht sein, weil das Programm restliche Installationsdatein lädt. Vielleicht kann mir einer die Arbeit abnehemen muss mich auch noch um was anderes kümmern

Hi,
die host datei habe ich schon versucht zu posten, aber da hatte ich das Problem, das ich keine 260 000 Zeichen posten kann.

noVirusThanks.org hat ergeben:

http://scanner.novirusthanks.org/index.php?p=result&file=CEF5A6707CAF709DC606C1DAA61EB06F

und

http://scanner.novirusthanks.org/index.php?p=result&file=A506FDE38C5F62DBBA5E35D9E89C47E4

Immerhin hat HlTv.exe nichts...
gruß

NoVirusThanks stellt anscheinend keine verlinkbaren Ergebnisseiten bereit:

Zitat:

Ooops page not exist...

Das mit der Hostdatei hatte ich vergessen...bin ca. 16 Themen gleichzeitig am helfen

Hallo,
kein problem.

Ich habe jetzt mal Deamontools deinstalliert um zu wissen ob es daran lag, aber keine Besserung.

Werde wahrscheinlich den Rechner doch neu installieren müssen.

MfG
KAvu

Hi KAvu

Ich hatte dasselbe Problem. Habs aber nach langem Versuchen endlich geschafft

Du solltest dir das Program COMBOFIX downloaden und es mal laufen lassen
danach war bei mir wieder alles in Ordnung.

Falls du nach dem Start von Combofix folgende Meldung erhältst ""Combofix has detected the presence of Rootkit activity and needs to reboot the Maschine""

gehst du wie folgt vor ......downloade das Tool AVG Anti Rootkit Free
starten scannen und alle Rootkits entfernen danach Combofix starten und fertig!!

Hoffe das es bei dir auch funktioniert denn ich weiss wie nervig es ist alle Links von google per Hand zu kopieren.

mfg Shiw4

Hallo,
mein Rechner ist endlich wieder CLEAN!
Danke an alle die mir geholfen haben.
Habe es mit den Hinweisen von Shiw4 geschafft, die Programmtipss waren echt der Hit!

Hier ist noch die hijackthis.log, ich hoffe das jetzt alles ok ist, oder seht ihr noch was?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:24:27, on 25.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\explorer.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2service.exe
C:\WINDOWS\system32\mshearts.exe
C:\Dokumente und Einstellungen\GLisa\Desktop\Help Files\HijackThis_61608.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sonicjapan.co.jp/oem/toshiba/recordnow
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {2D941D56-1B19-44AE-8CF5-08331A3B4CCF} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 6612 bytes
         

Auch das anpingen von googel hat eine andere IP gezeigt und meine Host datei ist auch viel kürzer geworgend

Host.log

Code: Alles auswählenAufklappen

ATTFilter

Routenverfolgung zu google.de [216.239.59.104]  �ber maximal 30 Abschnitte:



  1     5 ms     8 ms     5 ms  speedport.ip [192.168.44.1] 

  2     *        *        *     Zeit�berschreitung der Anforderung.

  3   142 ms   204 ms   130 ms  217.0.66.186 

  4   148 ms   201 ms    76 ms  217.239.39.30 

  5   158 ms   139 ms   334 ms  72.14.198.189 

  6   111 ms    77 ms   104 ms  209.85.255.170 

  7   250 ms   206 ms    49 ms  209.85.250.140 

  8   107 ms    62 ms    61 ms  66.249.95.150 

  9    92 ms   170 ms   175 ms  66.249.95.164 

 10   286 ms   347 ms   360 ms  216.239.49.126 

 11   196 ms   238 ms    63 ms  216.239.59.104 



Ablaufverfolgung beendet.



Windows-IP-Konfiguration



        Hostname. . . . . . . . . . . . . : Glissa

        Primäres DNS-Suffix . . . . . . . : 

        Knotentyp . . . . . . . . . . . . : Hybrid

        IP-Routing aktiviert. . . . . . . : Nein

        WINS-Proxy aktiviert. . . . . . . : Nein

        DNS-Suffixsuchliste . . . . . . . : Speedport_W_700V



Ethernetadapter Drahtlose Netzwerkverbindung:



        Verbindungsspezifisches DNS-Suffix: Speedport_W_700V

        Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG Network Connection

        Physikalische Adresse . . . . . . : 00-13-02-43-D6-28

        DHCP aktiviert. . . . . . . . . . : Ja

        Autokonfiguration aktiviert . . . : Ja

        IP-Adresse. . . . . . . . . . . . : 192.168.44.102

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        Standardgateway . . . . . . . . . : 192.168.44.1

        DHCP-Server . . . . . . . . . . . : 192.168.44.1

        DNS-Server. . . . . . . . . . . . : 192.168.44.1

        Lease erhalten. . . . . . . . . . : Donnerstag, 25. September 2008 11:32:28

        Lease läuft ab. . . . . . . . . . : Dienstag, 19. Januar 2038 05:14:07



Ethernetadapter LAN-Verbindung:



        Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung

        Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection

        Physikalische Adresse . . . . . . : 00-A0-D1-3F-0C-75

127.0.0.1       localhost
         

Vielen Dank!
MfG
Kavu

Freut mich das ich helfen konnte.
"Und immer schön sauber bleiben "

Am HijackThis Log kann man nicht immer sagen ob infiziert oder nicht es kann durchaus sein, dass du noch aktive Malware auf deinem Rechner hast oder welche die erst nach einem bestimmten Zeitraum starten wird.
Nimm das nur als Hinweis mit auf den Weg.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]