Google: Links führen zu falschen Seiten oder werden umgeleitet

Malkiot · 05.02.2009, 23:04

Ich habe ein ähnliches Problem wie Micha, nur dass ich ein anderes Betriebssystem benutze und da es sich außerdem um einen anderen Störenfried handeln könnte und es so übersichtlicher ist eröffne ich einen eigenen Thread.

Seit kürzerer Zeit bemerke ich zu meiner Unzufriedenheit wie Googlelinks mich manchmal zurück auf die Googleseit leiten oder auf ebay oder diverse andere Seiten...

Hijackthis-scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:00:12, on 05.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\schtasks.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\MagicDisc\MagicDisc.exe
c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\system32\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\hp\kbd\kbd.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: HP Chasis Button Service (HPBtnSrv) - Unknown owner - c:\hp\HPEZBTN\HPBtnSrv.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 8766 bytes

Ich persönlich sehe da keine Abnormalitäten aber wahrscheinlich irre ich mich oder habe etwas übersehen ^^ (ja ist ein ziemlich leerer PC, erst Weihnachten gekauft)

Ratschläge oder gar Lösungen wären wilkommen...

Malkiot · 06.02.2009, 16:22

Ok, nach einem Update und Scan ist laut Norton "nur" noch ein Trojan.Vundo.B übrig... weiß wer wie ich den beseitigen kann?

Jig Saw · 06.02.2009, 16:40

Ein Dorn im Auge ist Norton. Ich würde es an deiner Stelle deinstallieren und eine Alternative nehmen.
Wenn du es installierst dann nimm dazu das Norton Removal:
Download und Ausführung des Norton-Entfernungsprogramms

lade dies bei Virustotal

Code:

ATTFilter

C:\Windows\system32\schtasks.exe

fixe diese Einträge:

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Malkiot · 06.02.2009, 17:05

wird gemacht, aber was meinst du mit den eintrag fixen?

EDIT:
Datei schtasks.exe empfangen 2009.02.06 17:04:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

weitere Informationen
File size: 151552 bytes
MD5...: 1f171553f1138dc0062a71a7d275055a
SHA1..: 1eca9c1c9aede75e58b6dbb60176c08440f42fff
SHA256: 427ea28ef998b5ce70a617c1828d5eb45fd1429edd5fbcd0eb7f6a42659646d2
SHA512: af4757026abafa0db8e5b75f00db448a238ce378c8cd027bc32428ee6a08b869
87114acdf086ca7da005225e07387f178f6b7e02096729380af36090e9673db1
ssdeep: 3072:HpaBWGf8aY1XpTBsx3cUokPGoOM1AnYoOs9RsVR0GLyzdU:H4B98aC9Bm1P
GoOaAnYoOAR3w
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15202
timedatestamp.....: 0x47918d42 (Sat Jan 19 05:40:18 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1d11c 0x1d200 6.27 1ac56d47394a3f3706bb5ab03171b6ef
.data 0x1f000 0x610c 0x5e00 0.50 09d59535726e505733cd70372e6657a9
.rsrc 0x26000 0x518 0x600 2.98 944e4d2c6d49f813de0da51bec190c0d
.reloc 0x27000 0x1566 0x1600 5.64 a37720ec03e0e417f434de778dce5f1a

( 12 imports )
> ADVAPI32.dll: ConvertSidToStringSidW, CreateWellKnownSid, GetUserNameW, StartServiceW, QueryServiceStatus, CloseServiceHandle, OpenServiceW, OpenSCManagerW, RegQueryValueExW, GetSidSubAuthority, GetSidSubAuthorityCount, GetSidIdentifierAuthority, LookupAccountNameW, RegCloseKey, RegOpenKeyExW, RegConnectRegistryW
> KERNEL32.dll: GetConsoleMode, GetStdHandle, SetLastError, GetLocalTime, lstrlenW, LocalFree, MultiByteToWideChar, WriteFile, ReadFile, GetLastError, SetFilePointer, GetFileSizeEx, InterlockedDecrement, CompareFileTime, SystemTimeToFileTime, CloseHandle, CreateFileW, GetLocaleInfoW, GetComputerNameW, GetTimeFormatW, SetConsoleMode, HeapSetInformation, GetComputerNameExW, FileTimeToSystemTime, GetModuleFileNameW, ExitProcess, GetConsoleOutputCP, HeapReAlloc, HeapFree, HeapSize, HeapAlloc, GetProcessHeap, HeapValidate, WideCharToMultiByte, CompareStringA, GetThreadLocale, CompareStringW, lstrlenA, GetFileType, VerSetConditionMask, VerifyVersionInfoW, FormatMessageW, SetThreadUILanguage, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, InterlockedCompareExchange, Sleep, InterlockedExchange, WriteConsoleW, ReadConsoleW, GetDateFormatW
> msvcrt.dll: wcstod, wcstol, fflush, fprintf, wcstoul, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __1type_info@@UAE@XZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, exit, _XcptFilter, _exit, _cexit, __wgetmainargs, _ultow, wcschr, iswpunct, wcspbrk, iswdigit, _wtoi, iswspace, wcstok, __2@YAPAXI@Z, _wtol, ___U@YAPAXI@Z, isspace, memcpy_s, free, ___V@YAXPAX@Z, memset, wcsrchr, __CxxFrameHandler3, _iob, _CxxThrowException, _vsnwprintf, __3@YAXPAX@Z, _memicmp, _get_osfhandle, _errno, _fileno, __iob_func
> USER32.dll: CharUpperW, MessageBeep, LoadStringW
> MPR.dll: WNetAddConnection2W, WNetCancelConnection2W, WNetGetLastErrorW
> ole32.dll: CoInitializeSecurity, CoCreateInstance, CoUninitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -
> Secur32.dll: GetUserNameExW
> WS2_32.dll: GetAddrInfoW, -, -, FreeAddrInfoW, -, GetNameInfoW
> NETAPI32.dll: NetApiBufferFree, NetServerGetInfo
> SHLWAPI.dll: StrChrW, StrChrIW, StrStrW, StrStrIW, StrRChrIW
> VERSION.dll: GetFileVersionInfoW, VerQueryValueW, GetFileVersionInfoSizeW

( 0 exports )

Ach... navilog funktioniert nicht... getpath.exe existiert nicht.

Jig Saw · 06.02.2009, 17:12

Gmer

Donwloade Gmer
Entpacke es auf dem Desktop
Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
Schließe bitte alle Anwendungen, auch das Antivirusprogramm
Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
Beende GMER mit "OK"

Malkiot · 06.02.2009, 18:27

ok gemacht...

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-06 18:26:45
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

SSDT 886E4380 ZwAlertResumeThread
SSDT 886E4460 ZwAlertThread
SSDT 886E4E18 ZwAllocateVirtualMemory
SSDT 88640530 ZwAlpcConnectPort
SSDT 886E40D0 ZwCreateMutant
SSDT 886E4F70 ZwCreateThread
SSDT 886E6D28 ZwDebugActiveProcess
SSDT 886E4C78 ZwFreeVirtualMemory
SSDT 886E41C0 ZwImpersonateAnonymousToken
SSDT 886E42A0 ZwImpersonateThread
SSDT 886E4B98 ZwMapViewOfSection
SSDT 886E4030 ZwOpenEvent
SSDT 886E09C0 ZwOpenProcessToken
SSDT 886E6E08 ZwOpenSection
SSDT 886E4938 ZwOpenThreadToken
SSDT 886C2990 ZwResumeThread
SSDT 886E4858 ZwSetContextThread
SSDT 886E4A08 ZwSetInformationProcess
SSDT 886E4768 ZwSetInformationThread
SSDT 886E6EE8 ZwSuspendProcess
SSDT 886E45A8 ZwSuspendThread
SSDT 886E0A40 ZwTerminateProcess
SSDT 886E4688 ZwTerminateThread
SSDT 886E4AD8 ZwUnmapViewOfSection
SSDT 886E4D48 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 350 820F7914 8 Bytes [ 80, 43, 6E, 88, 60, 44, 6E, ... ]
.text ntkrnlpa.exe!KeSetTimerEx + 364 820F7928 4 Bytes [ 18, 4E, 6E, 88 ]
.text ntkrnlpa.exe!KeSetTimerEx + 370 820F7934 4 Bytes [ 30, 05, 64, 88 ]
.text ntkrnlpa.exe!KeSetTimerEx + 428 820F79EC 4 Bytes [ D0, 40, 6E, 88 ]
.text ntkrnlpa.exe!KeSetTimerEx + 454 820F7A18 4 Bytes [ 70, 4F, 6E, 88 ]
.text ...

---- User code sections - GMER 1.0.14 ----

.text C:\Users\Leo\Desktop\gmer.exe[4252] kernel32.dll!CopyFileW + 3 772E6FB0 2 Bytes [ D6, FA ]

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [73D67BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [73DA98C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [73D6D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [73D5F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [73D67599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [73D5E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [73D9B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [73D6D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [73D6012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [73D60095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [73D571F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [73DED802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [73D875E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [73D5DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [73D5668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [73D566BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3160] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [73D61E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a3a64ad63
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a3a64ad63@001b98ea1102 0x57 0x92 0x57 0x7F ...
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\000a3a64ad63
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\000a3a64ad63@001b98ea1102 0x57 0x92 0x57 0x7F ...

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----

Jig Saw · 07.02.2009, 10:44

Bitte Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten.

Einen SUPERAntiSpyware bitte noch.

Von Norton halte ich ehrlich gesagt gar nichts, meiner Meinung nach ist Norton selbst Malware. Wärst du bereit Norton zu deinstallieren und eine Alternative zu nehmen die kostenlos ist?

Malkiot · 07.02.2009, 19:56

ja, solange sie schön malware löscht... und auch blockt?

Jig Saw · 07.02.2009, 20:43

Zitat:

Zitat von Malkiot

ja, solange sie schön malware löscht... und auch blockt?

Schön ist die Frage! Meiner Meinung nach nicht schön, ich kann dir nur ans Herz legen, wenn dir was an deinem Computer liegt dann deinstallier Norton.

Hier ein Beweis:
http://www.trojaner-board.de/69675-n...tml#post411224

Malkiot · 07.02.2009, 22:00

mit schön meinte ich nicht norton ^^, hab' den eigentlich auch immer gelöscht...

Blacklight hatte nix gefunden:

Code:

ATTFilter

02/07/09 19:58:40 [Info]: BlackLight Engine 2.2.1092 initialized
02/07/09 19:58:40 [Info]: OS: 6.0 build 6001 (Service Pack 1)
02/07/09 19:58:41 [Note]: 7019 4
02/07/09 19:58:41 [Note]: 7005 0
02/07/09 19:58:45 [Note]: 7006 0
02/07/09 19:58:45 [Note]: 7027 0
02/07/09 19:58:45 [Note]: 7035 0
02/07/09 19:58:45 [Note]: 7026 0
02/07/09 19:58:45 [Note]: 7026 0
02/07/09 19:58:47 [Note]: FSRAW library version 1.7.1024
02/07/09 19:59:31 [Note]: 4015 68186
02/07/09 19:59:31 [Note]: 4027 68186 65536
02/07/09 19:59:31 [Note]: 4020 68176 65536
02/07/09 19:59:31 [Note]: 4018 68176 65536
02/07/09 20:06:13 [Note]: 4015 381
02/07/09 20:06:13 [Note]: 4027 381 327680
02/07/09 20:06:13 [Note]: 4020 380 327680
02/07/09 20:06:13 [Note]: 4018 380 327680
02/07/09 20:06:30 [Note]: 4015 18182
02/07/09 20:06:30 [Note]: 4027 18182 65536
02/07/09 20:06:30 [Note]: 4020 17299 65536
02/07/09 20:06:30 [Note]: 4018 17299 65536
02/07/09 20:09:17 [Note]: 2000 1012
02/07/09 20:09:17 [Note]: 2000 1012
02/07/09 20:30:36 [Note]: 7007 0

Malware hat eins gefunden und gelöscht... (oder besser gesagt, ich hab dem gesagt es soll entfernt werden)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1736
Windows 6.0.6001 Service Pack 1

07.02.2009 21:53:09
mbam-log-2009-02-07 (21-52-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 264534
Laufzeit: 1 hour(s), 18 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SASW kommt noch...

Malkiot · 08.02.2009, 00:00

SASW

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/07/2009 at 11:57 PM

Application Version : 4.25.1012

Core Rules Database Version : 3746
Trace Rules Database Version: 1714

Scan type       : Complete Scan
Total Scan Time : 01:40:11

Memory items scanned      : 888
Memory threats detected   : 0
Registry items scanned    : 6754
Registry threats detected : 2
File items scanned        : 168394
File threats detected     : 25

Adware.Tracking Cookie
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@adbrite[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@2o7[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@ad.71i[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@doubleclick[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@ad2.yieldmanager[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@webmasterplan[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@tradedoubler[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@zanox[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@a2.adserver01[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@ad.yieldmanager[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@statse.webtrendslive[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@adserver.71i[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@tracking.quisma[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@atwola[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@zbox.zanox[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@advertising[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@ad.zanox[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@sevenoneintermedia.112.2o7[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@zedo[1].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@atdmt[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@a3.adserver01[2].txt
	C:\Users\Leo\AppData\Roaming\Microsoft\Windows\Cookies\leo@specificclick[2].txt

Adware.MyWebSearch/FunWebProducts
	HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
	HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

Adware.Vundo/Variant-MSFake
	C:\PROGRAM FILES\NAVILOG1\REG.EXE

Trojan.Dropper/Gen
	C:\USERS\LEO\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KB844JBV\SETUP_LIB_SRL[1].EXE
	C:\USERS\LEO\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KB844JBV\SETUP_NVD[1].EXE

mach noch nen scan im abgesicherten modus...

Jig Saw · 08.02.2009, 13:05

Zitat:

Zitat von Malkiot

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken

Den Fund kannst du löschen lassen.

Was Norton angeht kapier ich jetzt gar nichts. Du löscht Norton über:
Arbeitsplatz => Software => ausgewähltes entfernen

dann nimmst du das Norton Removal Tool (siehe dazu meine letzten Posts)

Nun CCleaner einsetzen Registry säubern solange auf Fehler prüfen und beheben bis nichts mehr kommt.

Nun kannst du eine alternative nehmen anstatt Norton z.b. Avira und die Windows Firewall.

Gibt es noch Probleme?

Malkiot · 08.02.2009, 17:06

hatte ich auch löschen lassen...

Also danke erstmal für alles...

Ich hatte gestern einen Angriffsversuch... das wäre dann alles. Der wurde aber blockiert.

Jig Saw · 08.02.2009, 18:31

Update Malwarebytes und lasse ihn noch einen Vollscan machen und diesmal alle Funde löschen.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Dann will ich noch einen neuen HijackThis Logfile

Malkiot · 08.02.2009, 20:18

ich habe keine vista installations cd, trotzdem combofix ausführen? ich meine wiederherstlleungsdaaten liegen auf einer eigenen partition...

07.02.2009, 10:44	#7
Jig Saw /// Helfer-Team	Google: Links führen zu falschen Seiten oder werden umgeleitet Bitte Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Einen SUPERAntiSpyware bitte noch. Von Norton halte ich ehrlich gesagt gar nichts, meiner Meinung nach ist Norton selbst Malware. Wärst du bereit Norton zu deinstallieren und eine Alternative zu nehmen die kostenlos ist?

Google: Links führen zu falschen Seiten oder werden umgeleitet

Plagegeister aller Art und deren Bekämpfung: Google: Links führen zu falschen Seiten oder werden umgeleitet