Hi.
Das ist mein erster Post.
Nun hab ich gleich mal ein Problem. ;(
Hab schon bei google gesucht abe rnix gefunden.

Ich habe mir irgendein Virus eingefangen.
Seit Heute findet der immerwieder Viren im Temp Ordner.
Und wenn ich bei FireFox oder Internet Explorer bei google irgendwo drauf klicke komme ich manchmal auf Seiten wie Mamma.com oder ebay...

Und weitergeleitet wird das von exoclick.com

Was soll ich tun?

Hi Jay2 und

Versuchs mal mit Ccleaner
Wenn die Probleme dennoch weiterbestehen sollten, kannst du ein HijackThis Logfile posten

Hallo.

Ich habe leider das gleiche Problem. Abgesehen von den Viren im Temp-Ordner, die hab ich nicht. Den CCleaner habe ich durchlaufen lassen (Standardeinstellungen) und als das exoclick-Weitergeleite angefangen hat, habe ich auch eine komplette, zehnstündige AntiVir Systemprüfung durchlaufen lassen. Leider alles ohne Erfolg...

Hier ist mein HijackThis Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:59, on 24.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\java.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 62.146.66.181 dl1.avgate.net
O1 - Hosts: 62.146.66.182 dl2.avgate.net
O1 - Hosts: 62.146.66.183 dl3.avgate.net
O1 - Hosts: 62.146.66.184 dl4.avgate.net
O1 - Hosts: 62.146.66.185 dl5.avgate.net
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DED8D28-CB81-4F88-9FC6-C3C69E08E0F2}: NameServer = 192.168.2.1,192.168.2.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 7852 bytes
         

Ich hoffe, da wird jemand schlau draus oO Das Wacom-Pen-Tablet Zeug sind die Treiber für mein Grafik-Tablet, nix böses... Vielen Dank.

Laut McAfee SiteAdvisor ist exoclick.com eigenlich unbedenklich. Aber es ist schon auffällig, dass man immer wieder über exoclick auf eine andere Seite geleitet wird, ebay, emule-Downloads, Adultzeug, Seiten die gar nicht funktionieren... Es muss ja auch nicht unbedingt zwangsläufig ein Virus sein? Und ich glaube bei mir war das nicht nur bei Google-Links sondern auch bei anderen Seiten aufgetreten. Mir fällt ein, bei meinem Linux mit Firefox hatte ich das Problem übrigens nicht.

1.) Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit deines Systems. Besuche Microsoft's Windowsupdate Seite um dir das neuste Service Pack herunterzuladen.

2.) In deiem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Du benutzt die Windows XP eigene oder eine Hardware Firewall.
(2.) Du benutzt eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf deinem System aktiv oder
(4.) du verwendest keine Firewall.
Aktiviere diese bitte unbedingt

Exoclick kenn ich leider nicht, aber wie ist es wenn du FireFox neu herunterlädst?


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\java.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Scanne nun mal bitte mit Malwarebytes, lösche alles und poste das Log.

grüsse trojan-death

1.) Servicepack kann noch ne Weile dauern Auf den Server von download.microsoft.com höchstselbst kann man/ich gerade nicht zugreifen. Ich versuch weiterzusuchen.

2.) Die Windoof-Firewall ist aktiv.

3.) Runterladen und neuinstallieren von Firefox habe ich schon probiert. Leider ohne Erfolg. Und dieses seltsame Problem tritt auch beim IExplorer auf...

4.)Online Prüfung:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei wurde bereits analysiert:
MD5: 	c583655ebbe239c50269b941384f4def
First received: 	-
Datum 	2009.02.12 22:55:47 (CET) [>11D]
Ergebnisse 	0/39
Permalink: 	analisis/90ed2035414256912f41d905446b514b
         

nochmalige Analyse ergibt:

Code: Alles auswählenAufklappen

ATTFilter

 Datei java.exe empfangen 2009.02.24 19:45:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.93	2009.02.24	-
AhnLab-V3	2009.2.24.0	2009.02.24	-
AntiVir	7.9.0.88	2009.02.24	-
Authentium	5.1.0.4	2009.02.24	-
Avast	4.8.1335.0	2009.02.24	-
AVG	8.0.0.237	2009.02.24	-
BitDefender	7.2	2009.02.24	-
CAT-QuickHeal	10.00	2009.02.22	-
ClamAV	0.94.1	2009.02.24	-
Comodo	986	2009.02.20	-
DrWeb	4.44.0.09170	2009.02.24	-
eSafe	7.0.17.0	2009.02.19	-
eTrust-Vet	31.6.6372	2009.02.24	-
F-Prot	4.4.4.56	2009.02.24	-
F-Secure	8.0.14470.0	2009.02.24	-
Fortinet	3.117.0.0	2009.02.24	-
GData	19	2009.02.24	-
Ikarus	T3.1.1.45.0	2009.02.24	-
K7AntiVirus	7.10.639	2009.02.21	-
Kaspersky	7.0.0.125	2009.02.24	-
McAfee	5535	2009.02.24	-
McAfee+Artemis	5534	2009.02.23	-
Microsoft	1.4306	2009.02.24	-
NOD32	3886	2009.02.24	-
Norman	6.00.06	2009.02.24	-
nProtect	2009.1.8.0	2009.02.24	-
Panda	10.0.0.10	2009.02.23	-
PCTools	4.4.2.0	2009.02.24	-
Prevx1	V2	2009.02.24	-
Rising	21.18.12.00	2009.02.24	-
SecureWeb-Gateway	6.7.6	2009.02.24	-
Sophos	4.39.0	2009.02.24	-
Sunbelt	3.2.1856.2	2009.02.24	-
Symantec	10	2009.02.24	-
TheHacker	6.3.2.5.264	2009.02.24	-
TrendMicro	8.700.0.1004	2009.02.24	-
VBA32	3.12.10.0	2009.02.24	-
ViRobot	2009.2.24.1621	2009.02.24	-
VirusBuster	4.5.11.0	2009.02.24	-
weitere Informationen
File size: 144792 bytes
MD5...: c583655ebbe239c50269b941384f4def
SHA1..: dd020103f396fe3405ddb9d3f4bb4178335114c6
SHA256: 0e9f3421439b2011e1cfc29a3f20bd545d46095d1a6312cad936f6aa055ad257
SHA512: 2ab9e67f54d9f953feeecd3920fba6b5c08e95fcbc2b4ed5996a8c32756bc610
ba17aa7aa22ee2a71646b6757efe7f096273a9a522ab0f0e39f534c008203548
ssdeep: 3072:U1cQNnd2tlWmkmH1E5TrMplBSFHjZqMNq:W3NNmkY1E5TrHTvq
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40864c
timedatestamp.....: 0x49180bdc (Mon Nov 10 10:24:28 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11029 0x12000 6.42 f560607b10b000ccd55cf065eb37f46e
.rdata 0x13000 0x4210 0x5000 4.64 97c1d9201244decc5b74c0403d349ef3
.data 0x18000 0x3778 0x2000 2.43 f672159fde64192e2c239d13f6fe9c55
.rsrc 0x1c000 0x7f28 0x8000 5.91 91ef2ab8022d342f6b230f4febab493a

( 2 imports )
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA
> KERNEL32.dll: GetModuleFileNameA, QueryPerformanceCounter, QueryPerformanceFrequency, LocalFree, FormatMessageA, GetLastError, CloseHandle, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetCommandLineA, FreeLibrary, GetExitCodeThread, GetProcAddress, LoadLibraryA, FindFirstFileA, FindNextFileA, FindClose, ExitProcess, GetModuleHandleA, TerminateProcess, GetCurrentProcess, EnterCriticalSection, LeaveCriticalSection, MultiByteToWideChar, ExitThread, GetCurrentThreadId, CreateThread, GetFileAttributesA, GetVersionExA, HeapAlloc, HeapReAlloc, HeapFree, DeleteCriticalSection, WideCharToMultiByte, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, ReadFile, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, FlushFileBuffers, SetEnvironmentVariableA, SetEnvironmentVariableW, UnhandledExceptionFilter, GetACP, GetOEMCP, GetCPInfo, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, SetStdHandle, VirtualAlloc, VirtualProtect, GetSystemInfo, VirtualQuery, SetFilePointer, InitializeCriticalSection, RtlUnwind, HeapSize, InterlockedExchange, CompareStringA, CompareStringW, CreateFileA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, SetEndOfFile, GetTimeZoneInformation, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeA, GetFullPathNameA, GetCurrentDirectoryA

( 0 exports )
         

Malwarebytes (btw der aktuelle Installer ist irgendwie kaputt, der "ältere" geht) scannt gerade. Leider wird nicht angezeigt, wie lange das noch dauern wird. Aber ich lass meine Terrabyte Externe Platte mitscannen. Kann wohl noch dauern...

Verdammt
Habe erst jetzt gemerkt, dass du einfach in einen fremden Thread postest... Das ist ziemlich unfreundlichen dem TO gegenüber!
Im normalfall musst du nen eigenen Thread erstellen aber da wir schon dabei sind, helf ich eben euch beiden gleichzeitig.

Lösch java.exe!

Und poste das Log von Malwarebytes

Unfreundlich?!

Es klingt sehr danach, dass Jay2 und ich genau das gleiche Problem haben. Und ich war immer der Meinung, es sei unfreundlich, zu einem Thema ständig neue Threads aufzumachen... Außerdem kann dadurch das Problem doch viel, viel effektiver gelöst werden. Wenn wir zum Beispiel feststellen, was Jay2 und ich gemeinsam haben. Und obendrein interessiert es Jay2 doch sicher auch, ob das Problem sich irgendwie lösen lässt...

Okay, ich hab die Java.exe aus system32 gelöscht. Aber daran lag es glaub ich nicht, zumindest kommt immer noch das seltsame redirect Zeug.

Malwarebytes läuft schon seit 5 Stunden, aber hat auch schon einen Fund vermeldet. Ich wills nicht unbedingt anhalten oder unterbrechen um nachzuschaun, was es ist.

Malwarebytes ist anscheinend durchgelaufen, und meine Eltern meinten, sie hätten auch den Rechner reinigen lassen. Wird der Log irgendwo automatisch gespeichert? Ich hab nochmal einen Quickcheck gemacht und der hat nichts gefunden. Und bei ner Stichprobe mit Google-Links wurde ich eben auch nicht weitergeleitet. Anscheinend hats funktioniert.
Vielen Dank.

Falls noch jemand das Problem mit exoclick hat, kann er ja noch nen Malware-Log posten. Wär zumindest mal interessant zu wissen, ob da wirklich Exoclick.com was mit zu tun hat.

Ah hier ist der Log, es möge nutzen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

25.02.2009 07:23:14
mbam-log-2009-02-25 (07-23-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|H:\|)
Durchsuchte Objekte: 452050
Laufzeit: 9 hour(s), 54 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msqpdxfdwwcexx.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\msqpdxdoexvoaf.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxfedfwwns.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxfondbtrf.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxmtkpbbsj.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxmxewrnyx.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxqfueydsi.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxsrdnrffd.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxyxvkboeu.sys (Trojan.Agent) -> Quarantined and deleted successfully.
         

Zitat:

Zitat von annuschka

Unfreundlich?!

Jep

Zitat:

Zitat von annuschka

Und ich war immer der Meinung, es sei unfreundlich, zu einem Thema ständig neue Threads aufzumachen...

Ist deine Meinung, aber nicht die Regel an diesem Board!

Zitat:

Zitat von annuschka

Außerdem kann dadurch das Problem doch viel, viel effektiver gelöst werden. Wenn wir zum Beispiel feststellen, was Jay2 und ich gemeinsam haben. Und obendrein interessiert es Jay2 doch sicher auch, ob das Problem sich irgendwie lösen lässt...

Nein es wird kontraproduktiv und verwirrend für alle!
1. Woher willst DU wissen, dass Jay2 genau dasselbe Problem hat? Hast du sein HJT Log gesehen das ich nicht gesehen habe?!?!
2. Was ist wenn bei ihm nicht nur exoclick drauf ist? Wenn er nen Vundo oder sonst was drauf hat?
3. Die Vorgehensweise ist zu 99% individuell. Was ist wenn ich ihm ein Tool empfehle und du es fälschlicherweise ausführst und dein System zerstörst?
4. Im System32 kann es oft vorkommen, dass Malware genau denselben Dateinamen hat wie Systemdateien und wenn einer von euch die falsche Datei im falschen Ordner löscht, haben wir ein "kleineres" Problem

Darum: IMMER nen eigenen Thread erstellen, Problem beschreiben und HJT Log poste.

grüsse trojan-death

Zum Malwarebytes Log: Sieht nicht sooo erfreulich aus...

Zitat:

C:\WINDOWS\system32\msqpdxfdwwcexx.dll (Trojan.TDSS) -> Delete on reboot.

Mit dem TDSS Rootkit kann's böse enden. Es scheint nicht das der Rootkit überhaupt installiert wurde, aber dadurch, dass du den Trojan.TDSS hast, bin ich mir nicht sicher was sich bei dir sonst noch so aufhält...

Folgendes:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)