| |
| |||||||
Log-Analyse und Auswertung: (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.02.2009, 17:02
| #1 |
| |  (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Hallo zusammen! Ich habe folgendes Problem: Wenn ich bei Google einem Link aus den Suchergebnissen folgen möchte, werde ich (nicht immer... aber sehr oft) auf falsche Seiten umgeleitet. Zum Beispiel: rootio.c*m, siteadvisor.c*m, adonso.n*t, profiseller.d*, Primosearch oder auch Pornoseiten wie RedTube & Co. Zunächst einmal habe ich mein Antivir aktualisiert und einen Scan gemacht. --> Ohne Ergebnis. Dann habe ich den "Spyware Terminator" installiert und einen Scan durchgeführt. Der hatte 2 Gefahren erkannt und diese habe ich ihn löschen lassen. Danach ein weiterer Scan. Keine Funde mehr. Das Problem besteht jedoch weiterhin. Ganz unverschämt wird "das Problem" bei meiner Hilfesuche: (was ja schin umständlich genug ist, wenn man keinen Google-Links folgen kann...) Auf die Seite pctools.c*m z.B. komme ich zur Zeit nicht drauf... Ähnlich auch, wenn ich z.B. den Online-Virenscanner von kaspersky.c*m, oder bitdefender.d* aufrufen möchte... Die Seiten öffnen sich einfach nicht. (Verbindung fehlgeschlagen - Firefox kann keine Verbindung zu dem Server unter www.kaspersky.c*m aufbauen.) Ähnlich auch auf anderen Seiten von Virenscannern. Nun, da Avira Antivir und der Spyware Terminator mir nicht mehr weiter helfen können, hoffe ich, dass Ihr etwas mit meinem HijackThis Log anfangen könnt... Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:33:17, on 02.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\MySecurityCenter\Programs\service.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60429 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://w*w.crawler.com/search/ie.aspx?tb_id=60429 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w*w.crawler.com/search/ie.aspx?tb_id=60429 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.c*m/support/sa_customize.aspx?TbId=60429 R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [\\danfest\EPSON Stylus Photo R1800] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P34 "\\danfest\EPSON Stylus Photo R1800" /O6 "USB001" /M "Stylus Photo R1800" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [setc] C:\Programme\MySecurityCenter\Programs\setc.exe O4 - HKLM\..\Run: [regist] C:\Programme\MySecurityCenter\Programs\RegistrationPopup.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Crawler Search - tbr:iemenu O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://w*w.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.c*m/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Google Desktop Manager 5.7.801.1629 (GoogleDesktopManager-010108-205858) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MySecurityCenter License Service - Unknown owner - C:\Programme\MySecurityCenter\Programs\service.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe -- End of file - 11106 bytes  |
|
02.02.2009, 17:08
| #2 |
  |  (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Hallo und
__________________ GMER - Rootkit Detection
ciao, andreas |
|
02.02.2009, 17:17
| #3 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Hallo und Danke für die schnelle Antwort...
__________________Und es geht schon wieder los...!?! Wenn ich normal (linksklick) auf Deinen Link klicke, kommt wieder: "Verbindung fehlgeschlagen Firefox kann keine Verbindung zu dem Server unter w*w.gmer.net aufbauen." Wenn ich mit rechtsklick->ziel speichern unter... versuche die datei zu saugen, kommt die Fehlermeldung: "Der Download kann nicht gespeichert werden, weil ein unbekannter Fehler aufgetreten ist. Bitte versuchen Sie es nochmals."  |
|
02.02.2009, 17:21
| #4 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... |
|
02.02.2009, 17:32
| #5 |
 | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Dein Problem mit Google ist das nur mit Google oder auch mit anderen Suchmaschinen? Wenn nicht, hier meine zwei Lieblingsalternativen: cuil.c*m metager2.d* Ich hoffe ich kann dir dabei helfen. |
|
02.02.2009, 17:33
| #6 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Hmm... nachdem ich die Datei herunter geladen und der html gefolgt bin, wird angezeigt: Bitte klicken sie auf den download button... sehe aber keinen. Habe also auf die Werbegrafik geklickt, weil ich dachte, dass sei der (werbefinanzierte) Download-Start... Den Obi-Gutschein (super... wollte eh heute zum Baumarkt...) habe ich jetzt bekommen, aber ein Download ist nicht gestartet. Auch nach mehrmaliger Wiederholung nicht... Und was nun? Ich schaue mal, ob ich bei google einen alternativen GMER download finde... oder? |
|
02.02.2009, 17:39
| #7 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Versuchs damit: http://rapidshare.de/files/44566908/abcd.zip.html Sry wegen der Ads. Bei mir werden Ads geblockt, deshalb sehe ich die nicht. ciao, andreas |
|
02.02.2009, 17:51
| #8 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Okay... habe mir GMER bei Chip-Online gesaugt... und dann deine Anleitung befolgt... Hier der Report: Code:
ATTFilter GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-02-02 17:47:32
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT AE4D0B14 ZwCreateThread
SSDT AE4D0B00 ZwOpenProcess
SSDT AE4D0B05 ZwOpenThread
SSDT AE4D0B0F ZwTerminateProcess
SSDT AE4D0B0A ZwWriteVirtualMemory
Code E1B1D190 ZwEnumerateKey
Code E1B210D0 ZwFlushInstructionCache
Code AD704EAB pIofCallDriver
---- Kernel code sections - GMER 1.0.14 ----
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP E1B210D4
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622950 5 Bytes JMP E1B1D194
---- User code sections - GMER 1.0.14 ----
.text C:\WINDOWS\Explorer.EXE[1936] WS2_32.dll!connect 71A1406A 5 Bytes JMP 00AE000A
.text C:\WINDOWS\Explorer.EXE[1936] WS2_32.dll!send 71A1428A 5 Bytes JMP 00B0000A
.text C:\WINDOWS\Explorer.EXE[1936] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 00AF000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3340] WS2_32.dll!connect 71A1406A 5 Bytes JMP 00BA000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3340] WS2_32.dll!send 71A1428A 5 Bytes JMP 00BC000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3340] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 00BB000A
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Modules - GMER 1.0.14 ----
Module \systemroot\system32\drivers\TDSSmqlt.sys (*** hidden *** ) AD703000-AD715000 (73728 bytes)
---- Threads - GMER 1.0.14 ----
Thread 4:380 AD705D66
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS\system32\drivers\TDSSmqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSlrvd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSShrxr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSrtqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhyp.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkbi.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSlrvd.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSShrxr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSrtqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhyp.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkbi.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Abaddon\x2122 (TrueType) abaddon.TTF
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Acadian\x2122 (TrueType) acadian.TTF
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Altenburg\x2122 (TrueType) ALTEN.TTF
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 95
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid 401
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1
---- EOF - GMER 1.0.14 ----
|
|
02.02.2009, 18:02
| #9 | |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe...Zitat:
 Bitte nicht weitererzählen, dass soll ein Geheimnis bleiben.  Anleitung Avenger (by swandog46) Lade dir das Tool yxcv.exe (ist Avenger drin) und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete:
TDSSserv.sys
Files to delete:
C:\Windows\system32\drivers\TDSSmqlt.sys
C:\Windows\system32\TDSSoiqt.dll
C:\Windows\system32\TDSSlrvd.dat
C:\Windows\system32\TDSShrxr.dll
C:\Windows\system32\TDSSrtqp.dll
C:\Windows\system32\TDSSxfum.dll
C:\Windows\system32\TDSSlxwp.dll
C:\Windows\system32\TDSSnmxh.log
C:\Windows\system32\TDSSsihc.dll
C:\Windows\system32\TDSSrhyp.log
C:\Windows\system32\TDSSkkbi.log
ciao, andreas |
|
03.02.2009, 13:03
| #10 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Okay... ich kann schweigen wie ein Grab! Gut, gut... Anleitung befolgt. Hier der Avenger-Report: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "TDSSserv.sys" found!
ImagePath: \systemroot\system32\drivers\TDSSmqlt.sys
Start Type: 4 (Disabled)
Rootkit scan completed.
Driver "TDSSserv.sys" deleted successfully.
File "C:\Windows\system32\drivers\TDSSmqlt.sys" deleted successfully.
File "C:\Windows\system32\TDSSoiqt.dll" deleted successfully.
File "C:\Windows\system32\TDSSlrvd.dat" deleted successfully.
File "C:\Windows\system32\TDSShrxr.dll" deleted successfully.
File "C:\Windows\system32\TDSSrtqp.dll" deleted successfully.
File "C:\Windows\system32\TDSSxfum.dll" deleted successfully.
File "C:\Windows\system32\TDSSlxwp.dll" deleted successfully.
Error: file "C:\Windows\system32\TDSSnmxh.log" not found!
Deletion of file "C:\Windows\system32\TDSSnmxh.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Windows\system32\TDSSsihc.dll" not found!
Deletion of file "C:\Windows\system32\TDSSsihc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Windows\system32\TDSSrhyp.log" not found!
Deletion of file "C:\Windows\system32\TDSSrhyp.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\Windows\system32\TDSSkkbi.log" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Zur Sicherheit habe ich noch einmal GMER drüber laufen lassen: Code:
ATTFilter GMER 1.0.14.14116 - h**p://www.gmer.net
Rootkit scan 2009-02-03 13:02:30
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT A94C9E64 ZwCreateThread
SSDT A94C9E50 ZwOpenProcess
SSDT A94C9E55 ZwOpenThread
SSDT A94C9E5F ZwTerminateProcess
SSDT A94C9E5A ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.14 ----
? xusm.sys Das System kann die angegebene Datei nicht finden. !
---- Registry - GMER 1.0.14 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Abaddon\x2122 (TrueType) abaddon.TTF
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Acadian\x2122 (TrueType) acadian.TTF
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Altenburg\x2122 (TrueType) ALTEN.TTF
---- EOF - GMER 1.0.14 ----
|
|
03.02.2009, 15:45
| #11 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Hmm... eben kam von meinem Antivir eine Meldung: Code:
ATTFilter In der Datei 'C:\System Volume Information\_restore{F328A402-21C5-4E60-A5A3-BB3C735641EB}\RP366\A0033809.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen
|
|
03.02.2009, 16:16
| #12 |
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... Hallo! kann es sein, dass du dir über msn einen virus geholt hast? der mist ist nämlich bei mir passiert und ich kann auch nicht auf die antivirus-updateseiten. |
|
03.02.2009, 16:35
| #13 | ||
| | (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe...Zitat:
 Das wäre mir nämlich voll peinlich, wenn das andere erfahren würden.  Zitat:
Onlinebanking oder Ebay würde ich mit dem Rechner nicht mehr machen wollen. Sollten er nur zum Daddeln und Surfen genutzt werden, dann können wir weiter versuchen zu säubern. Deine Entscheidung. Das Teil hat einiges nachgeladen. Das muss auf jeden Fall noch weg. Die Meldung von Avira ist nur die Systemwiederherstellung, die in jedem Fall abgeschaltet wird. ciao, andreas |
|
| Themen zu (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... |
| antivir, antivirus, aufrufe, avira, bho, computer, desktop, downloader, excel, falsche seite, firefox, google, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, keine funde, logfile, mozilla, object, primosearch, problem, redtube, scan, seiten öffnen sich, server, shortcut, software, solution, spyware, spyware terminator, system, verbindung fehlgeschlagen, windows, windows xp |
Linear-Darstellung
