Suchmaschinen leiten auf die falsche Website um.

Vitali · 30.09.2008, 19:29

Hallo allerseits,
Wie oben im Titel beschrieben leitet google, microsoft's live-search und yahoo
auf irgendwelche Internetseiten weiter, die mit der Suchanfrage nichts zu tun haben.
Habe schon mehrere Sicherheitssoftware meinen PC scannen lassen:
AntiVir hat nichts gefunden,
Ad-Aware hat nichts gefunden,
Spybot hat auch nichts gefunden.
Ich habe dann auch noch Norton Internet Security 2009 drüberlaufen lassen.
Jedoch hat es auch nichts gefunden. Nach ein Paar Minuten, nachdem ich den Rechner anmache, kommt jedoch eine Fehlermeldung vom Programm, dass es anscheinend ein Problem mit der Netzwerkverbindung gibt.
Hier ist das Hijackthis-Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:12, on 30.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208121482437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222766902265
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 6862 bytes

Und hier das Malwarebyte-Logfile:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1222
Windows 5.1.2600 Service Pack 2

30.09.2008 18:37:45
mbam-log-2008-09-30 (18-37-45).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139292
Laufzeit: 1 hour(s), 3 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{668549E9-D17C-47D4-B761-6A8979E9A7DC}\RP232\A0255893.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{668549E9-D17C-47D4-B761-6A8979E9A7DC}\RP232\A0257893.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{668549E9-D17C-47D4-B761-6A8979E9A7DC}\RP232\A0258893.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{668549E9-D17C-47D4-B761-6A8979E9A7DC}\RP232\A0259893.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{668549E9-D17C-47D4-B761-6A8979E9A7DC}\RP232\A0260893.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot.

Die Funde von Malwarebyte tauchen bei jedem Scan immerwieder auf.
Und ich kann keine Updates mehr von Ad-Aware, Spybot S&D und Microsoft machen. Wenn ich die Updateseite mit dem IE versuche zu öffnen kommt der Feler "Die Webseite kann nicht angezeigt werden.".

Ich hoffe, mir wird diesmal geholfen.
Schonmal danke im Vorraus.

Achja, die Suche hab ich benutzt aber in den anderen Threads gibt es keine Lösungsvorschläge, die bei mir funktionieren. Und Google kann mir auch nicht weiterhelfen.

Edit: Meine Uploadgeschwindigkeit ist auch sehr langsam geworden

nochdigger · 01.10.2008, 04:49

Hallo und

Deaktiviere bitte zuerst die Systemwiederherstellung.

Deaktiviere bitte auch alle Hintergrundwächter deiner Antivirenprogramme sowie den Teatimer von SpyBot S&D falls verwendet.

Dann lade dir Smitraudfix
SmitFraudFix
und lasse es mit der Option 2 im abgesicherten Modus (beim start F8 drücken) laufen und speichere den rapport.txt.

Zurück im normalen Modus lade dir bitte Combofix

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste anschließend bitte das Log von Combofix sowie den rapport.txt hierher und berichte bitte.

MFG

Vitali · 01.10.2008, 12:40

Wenn ich in den abgesicherten Modus will, kommt bei mir ein Bluescreen mit der Fehlermeldung: "Grafikkartentreiber konnte nicht initialisiert werden"

. Kann ich SmitfraudFix auch im normalen Modus starten? Ich habe nähmlich Adminrechte für das normale Konto, ist auch das einzige auf dem Rechner.

Edit: Hast du vielleicht einen alternativen Downloadlink? Die Seite kann ich nicht aufrufen.

nochdigger · 01.10.2008, 15:53

Hallo

versuche es mit diesem Link
File-Upload.net - SmitfraudFix.exe
und im normalen Modus, dann weiter wie beschrieben.

MFG

Vitali · 01.10.2008, 17:35

Combofix:

Code:

ATTFilter

ComboFix 08-09-30.03 - Adminstrator 2008-10-01 18:15:01.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.687 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Adminstrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Adminstrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\TDSSserf1.dll
C:\WINDOWS\system32\tdssservers.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((   Dateien erstellt von 2008-09-01 bis 2008-10-01  ))))))))))))))))))))))))))))))
.

2008-10-01 17:31 . 2008-10-01 18:03	1,262	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-01 13:18 . 2008-10-01 13:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\PCToolsFirewallPlus
2008-10-01 13:14 . 2008-10-01 13:17	<DIR>	d--------	C:\Programme\PC Tools Firewall Plus
2008-10-01 13:14 . 2008-10-01 13:14	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\PC Tools
2008-10-01 13:14 . 2008-07-28 11:29	160,792	--a------	C:\WINDOWS\system32\drivers\pctfw2.sys
2008-10-01 13:14 . 2008-07-17 16:53	93,952	--a------	C:\WINDOWS\system32\drivers\pctfw.sys
2008-10-01 13:14 . 2008-08-05 15:58	58,136	--a------	C:\WINDOWS\system32\drivers\FWAuthdriver.sys
2008-10-01 13:05 . 2008-09-17 09:55	201,050	--a------	C:\WINDOWS\system32\nvapps.nvb
2008-10-01 12:48 . 2008-10-01 12:48	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-10-01 02:55 . 2008-10-01 13:06	<DIR>	d--------	C:\Programme\COMODO
2008-10-01 02:55 . 2008-10-01 13:06	<DIR>	d--------	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Comodo
2008-09-30 22:18 . 2008-09-30 22:21	<DIR>	d--------	C:\Programme\Spyware Terminator
2008-09-30 22:18 . 2008-09-30 22:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-09-30 22:18 . 2008-09-30 22:19	<DIR>	d--------	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Spyware Terminator
2008-09-30 22:18 . 2008-09-30 22:18	141,312	--a------	C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-09-30 20:46 . 2008-09-30 20:46	<DIR>	d--------	C:\Programme\Avira
2008-09-30 20:46 . 2008-09-30 20:46	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-30 13:44 . 2008-09-30 13:43	35,888	-ra------	C:\WINDOWS\system32\drivers\SymIM.sys
2008-09-30 13:43 . 2008-09-30 18:59	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-30 13:43 . 2008-09-30 19:34	124,464	--a------	C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-09-30 13:43 . 2008-09-30 19:34	60,808	--a------	C:\WINDOWS\system32\S32EVNT1.DLL
2008-09-30 13:43 . 2008-09-30 19:34	10,635	--a------	C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-09-30 13:43 . 2008-09-30 19:34	806	--a------	C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-09-30 13:42 . 2008-09-30 13:42	<DIR>	d--------	C:\WINDOWS\system32\drivers\NIS
2008-09-30 13:42 . 2008-09-30 13:42	<DIR>	d--------	C:\Programme\Windows Sidebar
2008-09-30 12:30 . 2008-09-30 12:31	<DIR>	d--------	C:\Programme\QuickTime
2008-09-30 12:30 . 2008-09-30 12:30	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Apple
2008-09-30 12:29 . 2008-09-30 12:29	<DIR>	d--------	C:\Programme\Apple Software Update
2008-09-30 12:29 . 2008-09-30 12:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-30 11:52 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-09-30 11:52 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-30 11:32 . 2008-07-18 22:07	270,880	--a------	C:\WINDOWS\system32\mucltui.dll
2008-09-30 11:32 . 2008-07-18 22:07	29,728	--a------	C:\WINDOWS\system32\mucltui.dll.mui
2008-09-30 11:28 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-09-29 13:57 . 2008-09-29 13:58	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-09-29 13:57 . 2008-10-01 13:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-29 12:32 . 2008-09-29 12:32	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-29 12:32 . 2008-09-29 12:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-29 12:32 . 2008-09-29 12:32	<DIR>	d--------	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Malwarebytes
2008-09-29 12:32 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-29 12:32 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-28 23:53 . 2008-09-28 23:53	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-26 16:40 . 2008-09-26 16:41	<DIR>	d--------	C:\Programme\Free Download Manager
2008-09-26 16:40 . 2008-09-26 16:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-09-26 16:40 . 2008-10-01 13:01	<DIR>	d--------	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Free Download Manager
2008-09-26 15:46 . 2008-09-26 15:46	<DIR>	d--------	C:\Programme\CCleaner
2008-09-14 20:50 . 2008-09-14 20:52	<DIR>	d--h-----	C:\Programme\Zero G Registry
2008-09-14 20:50 . 2008-09-14 20:52	<DIR>	d--------	C:\Programme\GeoGebra
2008-09-14 20:50 . 2008-09-14 20:50	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Adminstrator\InstallAnywhere
2008-09-13 13:10 . 2008-09-23 16:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-13 13:10 . 2008-09-30 13:42	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
2008-09-13 12:51 . 2008-09-13 12:51	<DIR>	d--------	C:\Programme\Trend Micro
2008-09-13 12:50 . 2008-09-13 13:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
2008-09-13 12:37 . 2008-09-13 12:38	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-12 22:42 . 2008-07-23 18:50	120,056	---------	C:\WINDOWS\system32\pxcpyi64.exe
2008-09-06 15:09 . 2008-09-06 15:09	90,112	--a------	C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09	57,344	--a------	C:\WINDOWS\system32\QuickTime.qts
2008-09-02 16:51 . 2008-09-02 16:51	<DIR>	d--------	C:\Programme\Elaborate Bytes
2008-09-02 16:46 . 2008-09-02 16:46	<DIR>	d--------	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Sierra
2008-09-02 16:44 . 2008-09-02 16:58	43,520	--a------	C:\WINDOWS\system32\CmdLineExt03.dll
2008-09-02 16:32 . 2008-09-02 16:32	<DIR>	d--------	C:\Programme\Sierra

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 16:23	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-30 10:30	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-28 21:54	---------	d-----w	C:\Programme\Lavasoft
2008-09-23 20:36	---------	d-----w	C:\Programme\ICQ6
2008-09-19 10:26	82,944	----a-w	C:\WINDOWS\system32\o4Patch.exe
2008-09-19 10:26	82,944	----a-w	C:\WINDOWS\system32\IEDFix.C.exe
2008-09-18 17:41	---------	d-----w	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\teamspeak2
2008-09-16 19:27	453,152	----a-w	C:\WINDOWS\system32\NVUNINST.EXE
2008-09-14 12:28	---------	d-----w	C:\Programme\Project64 1.6
2008-09-13 10:55	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-12 20:42	---------	d-----w	C:\Programme\DivX
2008-09-08 21:38	88,576	----a-w	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-02 14:51	86,528	----a-w	C:\WINDOWS\system32\VACFix.exe
2008-08-31 15:43	---------	d-----w	C:\Programme\XMedia Recode
2008-08-31 13:50	---------	d-----w	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Ahead
2008-08-31 13:09	---------	d-----w	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Nero
2008-08-25 18:01	21,810,398	----a-w	C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_08_25_16_29_47_full.dmp.zip
2008-08-24 22:39	---------	d-----w	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Nokia
2008-08-24 11:38	---------	d-----w	C:\Programme\SlySoft
2008-08-24 00:58	---------	d-----w	C:\Programme\Nokia
2008-08-24 00:58	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-08-24 00:56	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-08-18 10:19	82,432	----a-w	C:\WINDOWS\system32\404Fix.exe
2008-08-12 17:06	---------	d-----w	C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\ICQ
2008-08-02 15:31	131,072	----a-w	C:\WINDOWS\system32\SpoonUninstall.exe
2008-08-02 15:30	---------	d-----w	C:\Programme\Illustrate
2008-07-25 08:36	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50	129,784	------w	C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50	118,520	------w	C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-07-10 17:28	216,064	----a-w	C:\WINDOWS\iun3405.exe
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-09-17 86016]
"00PCTFW"="C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" [2008-08-05 2611096]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2008-09-17 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Adminstrator\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Adminstrator^Startmenü^Programme^Autostart^Trillian.lnk]
path=C:\Dokumente und Einstellungen\Adminstrator\Startmenü\Programme\Autostart\Trillian.lnk
backup=C:\WINDOWS\pss\Trillian.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2005-10-04 01:18 118784 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 17:08 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2006-11-28 01:12 2658304 C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
--a------ 2008-04-16 12:53 1079808 C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhilipsDM]
--a------ 2006-07-13 19:46 647168 C:\Programme\Philips\Philips Device Manager\bin\DeviceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhilipsLime]
--------- 2006-06-09 18:30 159744 C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2005-10-04 01:18 975941 C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 17:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 15:21 94208 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
"AcrSch2Svc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Valve\\Steam\\steamapps\\1990vitali\\source sdk base\\hl2.exe"=
"C:\\Valve\\Steam\\steamapps\\mok14\\counter-strike\\hl.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Valve\\Steam\\steamapps\\mok14\\condition zero\\hl.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

R0 SymEFA;Symantec Extended File Attributes;C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMEFA.SYS [2008-09-30 309296]
R1 BHDrvx86;Symantec Heuristics Driver;C:\WINDOWS\system32\drivers\NIS\1000000.07D\BHDrvx86.sys [2008-09-30 254512]
R1 ccHP;Symantec Hash Provider;C:\WINDOWS\system32\drivers\NIS\1000000.07D\ccHPx86.sys [2008-09-30 362544]
R1 IDSxpx86;IDSxpx86;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\ipsdefs\20080923.001\IDSxpx86.sys [2008-09-30 274808]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-07-28 160792]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2007-08-15 53632]
R3 DtvAudio;DtvAudio;C:\WINDOWS\system32\DRIVERS\DtvAudio.sys [2004-02-26 10330]
R3 DtvVideo;DtvVideo;C:\WINDOWS\system32\DRIVERS\DtvVideo.sys [2004-02-26 26730]
R3 FWAuth;FWAuth Driver;C:\WINDOWS\system32\drivers\FWAuthDriver.sys [2008-08-05 58136]
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 25216]
S2 Norton Internet Security;Norton Internet Security;C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe /s Norton Internet Security /m C:\Programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll [ ]
S3 FileObjInfo;STFileDriver;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator\FileObjInfo.sys [2008-09-30 5632]
S3 fxusbase;Eumex 400;C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2007-08-15 567936]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 31872]
S3 TODslService;T-Online DSL-Manager;C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2005-11-01 172032]
S3 USB100;Teledat Fast Ethernet USB;C:\WINDOWS\system32\DRIVERS\USB100.sys [2001-06-20 25821]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
MSConfigStartUp-MSMSGS - C:\Programme\Messenger\msmsgs.exe
MSConfigStartUp-NeroCheck - C:\WINDOWS\system32\NeroCheck.exe
MSConfigStartUp-Skype - C:\Programme\Skype\Phone\Skype.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Adminstrator\Anwendungsdaten\Mozilla\Firefox\Profiles\je0178xh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 18:23:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"C:\Programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\WudfHost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-01 18:27:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-01 16:27:21

Vor Suchlauf: 17 Verzeichnis(se), 18.737.950.720 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 18,692,984,832 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

287	--- E O F ---	2008-09-30 11:48:22

Das Raporrt-log hat zuviele Zeichen. Ich versuchs mal irgendwo up zu loaden.

Vitali · 01.10.2008, 17:37

Hier der Link zum Rapport-Log:
File-Upload.net - rapport.txt

Edit: habe gerade mit Google nach ein paar Wörtern gesucht und es scheint alles wieder in Ordnung zu sein. Vielen Dank nochdigger, dass du mir geholfen hast.

Suchmaschinen leiten auf die falsche Website um.

Log-Analyse und Auswertung: Suchmaschinen leiten auf die falsche Website um.