| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Umleitung 85.255...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.02.2009, 19:11
| #1 |
| |  Umleitung 85.255... Guten Abend lieben Forengemeinde. Ich habe das gleiche Problem wie "Uncle Doc". Die Festplatte lässt nicht durch einen Doppelklick öffnen, auch die externe nicht. Das Problem herrschte schon vorher bei mir und nachdem ich gestern den PC formatiert habe, funktionierte wieder alles. Als ich heute dann die mobile Festplatte angeschlossen habe und auf sie zugreifen wollte, meldete sich das oben genannte Problem ein weiteres Mal. Vorerst auf die externe Festplatte beschränkt, funktioneren jetzt auch die Partitionen C:\ und D:\ nicht mehr durch Doppelklick. Der HijackThis Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:39:24, on 15.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Marjan\Desktop\Neuer Ordner\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 5151 bytes ________________________________________________________________ ________________________________________________________________ Hier nochmal ein Logfile von Malwarebytes Antimalware: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1749 Windows 5.1.2600 Service Pack 2 15.02.2009 16:14:06 mbam-log-2009-02-15 (16-13-59).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|I:\|) Durchsuchte Objekte: 148359 Laufzeit: 23 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1441045d-d275-48e6-8ed3-232f5ef50c92}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\gaopdxtpedkyhn.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\gaopdxxowqjnpp.sys (Trojan.Agent) -> No action taken. _______________________________________________________________ ||Ich hab die vorhanden Probleme mit dem Programm entfernt. Ich hoffe es zumindest.|| Auch hatte ich bei mir Probleme mit dem Firefox, die aber jetzt, anscheinend durch das Löschen der infizierten Dateien, verschwunden sind. Die Fehlermeldung die erscheint, wenn ich auf die Partionen zugreifen will ist: RECYCLER\S-2-7-53-100025181-100019203-100027775-4790.com Wenn mir jemand sagen könnte worum es sich dabei handelt und wie man das Problem beseitigen kann wäre ich sehr dankbar  Mit freundlichen Grüßen, Mico89 |
|
15.02.2009, 19:13
| #2 |
| > MalwareDB   | Umleitung 85.255... Für Euch beide gilt:
__________________- posten eines gmer Logs, nur um sicherzugehen Wie Marc schon angedeutet hat, solltet Ihr die Windows CDs schon mal suchen, ihr habt eine Conficker / kido / Downadup Infektion. Diese kann man anhand der Symptome bereinigen, sicherer ist es aber den Rechner bei der Gelegeheit neu zu installieren. Alex
__________________ |
|
15.02.2009, 19:42
| #3 |
| | Umleitung 85.255... Da ich den Beitrag aufgrund von zu hoher Zeichenlänge nicht editieren konnte muss ich noch einen Beitrag schreiben, ich hoffe man nimmt es mir nicht übel.
__________________Der GMER Logfile: (Zu groß für den Beitrag und auch für den Anhang) [http://rapidshare.com/files/198476219/gmer_Logdatei.txt.html] Ich vermute, dass sich mein Computer durch das Anschließen der externen Festplatte mit dem Virus/Infektion infziert hat. Wie bereits erwähnt habe ich meinen Pc gestern neu aufgesetzt und habe zuvor Sicherheitskopien von Daten auf die ex. Festplatte gezogen und damit auch anscheinend den Übeltäter. Gibt es eine Möglichkeit den Virus von der ex. Festplatte zu entfernen ohne dabei die Dateien zu gefährden oder zu löschen? Danke im voraus, Mico89 |
|
15.02.2009, 22:32
| #4 |
| > MalwareDB | Umleitung 85.255... Dein Rechner ist so verseucht, das Du ihn gleich noch einmal neu installieren solltest. 1. Autostarts des Betriebssystems deaktivieren Link 2. Desinfizierung/Absicherung externer Medien: Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Achtung: Das Programm wird aufgrund seines Verhaltens oft als Schadprogramm gemeldet. Dem ist nicht so, den Download also bitte zulassen! Deaktiviere den Hintergrundwächter deines AVP. Schließe jetzt alle externe Datenträgeran Deinen Rechner an. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. Hinweis: Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
19.02.2009, 23:14
| #5 |
  | Umleitung 85.255... @BataAlexander es ist der Trojan.DNSChanger mit Rootkit. Schau in Windows System32/drivers |
|
19.02.2009, 23:27
| #6 | |
| > MalwareDB | Umleitung 85.255...Zitat:
Oder hab ich Dich nun falsch verstanden?
__________________ --> Umleitung 85.255... |
|
20.02.2009, 04:21
| #7 |
| | Umleitung 85.255... Freud´sche Fehlleistung..sorry, aber war schon spät |
|
| Themen zu Umleitung 85.255... |
| .com, ad-aware, ad-watch, adobe, antivir, antivirus, avira, bho, components, controlset002, desktop, einstellungen, fehlermeldung, festplatte, firefox, handel, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, mozilla, problem, registrierungsschlüssel, rundll, software, system, usb, windows, windows xp, wireless lan |
Linear-Darstellung
