| |
| |||||||
Log-Analyse und Auswertung: Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr losWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.02.2009, 07:40
| #1 |
| |  Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Hallo zusammen, um es gleich vorweg zu sagen: Ich bin zur Zeit nicht in Deutschland und kann mangels CDs mein System nicht neu aufsetzen. Mir wäre deswegen jede anderweitige Lösung sehr recht. 1, Gestern hatte ich mir MS Antispyware 2009 eingefangen und konnte den Schädling mit Malewarebytes relativ gut bekämpfen: Log1: Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1793
Windows 5.1.2600 Service Pack 3
22.02.2009 20:14:45
mbam-log-2009-02-22 (20-14-45).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 143549
Laufzeit: 1 hour(s), 17 minute(s), 19 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 6
Infizierte Dateien: 3
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe (Rogue.Multiple) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\CrucialSoft Ltd (Rogue.MSantispyware2009) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ms antispyware 2009 5.7 (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ms antispyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\BASE (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\DELETED (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\LOG (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\SAVED (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090222180309675.log (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090222181738847.log (Rogue.Multiple) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1794
Windows 5.1.2600 Service Pack 3
22.02.2009 21:39:22
mbam-log-2009-02-22 (21-39-22).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 59617
Laufzeit: 5 minute(s), 32 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
4, Ich habe dann nochmal combofix, malewarebytes und andere (adaware , seach and Destroy, Spybot) drübernlaufenlassen. alle finden nichts und das Problem bleibt. Mein System is übrigens mit ATF-cleaner und CCleaner aufgeräumt. 5, Mir gehen jetzt entgültig die Ideen aus, deswegen schick ich hier mal mein HJI-Log. Ich hoffe Ihr könnt mir helfen. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:33:38, on 23.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Windows Time Synchronizer\WinTimeSync.Exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Windows Time Synchronizer\WinTimeCfg.exe C:\WINDOWS\PixArt\PAC207\Monitor.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\Programme\NETGEAR\WG111v2\WG111v2.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7070 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> O2 - BHO: (no name) - {1827766B-9F49-4854-8034-F6EE26FCB1EC} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file) O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O3 - Toolbar: (no name) - {98828DED-A591-462F-83BA-D2F62A68B8B8} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [WinTimeSync] "C:\Programme\Windows Time Synchronizer\WinTimeCfg.exe" -tray O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [nfr] rundll32.exe nfr.dll,ServiceMain /pid=10180 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220407070375 O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1221873294781&h=c05434c8975c2159fc0137b2a8b865a6/&filename=jinstall-6u7-windows-i586-jc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AE116118-6989-4D6C-B514-145D8B83660E}: NameServer = 217.237.150.188,217.237.151.142 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Windows Time Synchronizer (WinTimeSync) - Software Development & Consulting Stefan Sigmund - C:\Programme\Windows Time Synchronizer\WinTimeSync.Exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe (file missing) -- End of file - 8393 bytes |
|
23.02.2009, 09:55
| #2 | ||
| /// AVZ-Toolkit Guru   | Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Halli hallo.
__________________Poste bitte auch das Combofix log! Fixe mit HJT folgende Einträge: Zitat:
Lade dir das Tool Avenger und speichere es auf dem Desktop
Code:
ATTFilter Files to delete:
c:\windows\system32\drivers\nfr.dll
c:\windows\system32\nfr.dll
Wechsel in den abgesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Suche dort wie in meiner Signatur beschrieben wird nach folgender Datei: Zitat:
__________________ Geändert von undoreal (23.02.2009 um 10:00 Uhr) |
|
23.02.2009, 19:08
| #3 |
| | Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Hallo,
__________________Erstmal vielen Dank für die schnelle Antwort. In der Tat war nfr.dll der Übeltäter. Heute morgen hab ich nochmal malewarebyte durchlaufenlassen und siehe da, er hat die beiden von Dir genannten Dateien angemeckert. Ich weiß nicht, warum er diese gestern nicht entdeckt hatte (ich lies malewarebyte gestern 8x offline durchlaufen und machte auch mehrere Neustarts dazwischen). Zum Löschen wollte malewarebyte einen Neustart. Danach meckerte windows, dass run32.dll nicht geht, weil nfr.dll fehlt. Aber nachdem ich in msconfig die rn32.dll im Autostart deaktiviert hatte war das Problem auch gelöst. Musste dann nur noch die von dem Trojaner in die Browser eingeschriebenn falschen Proxyeinstellungen löschen. Meine war jetzt etwas die Holzhackermethode, aber mein Rechner soll nur durchhalten bis ich ihn daheim formatieren kann. @undoreal Falls ich noch irgendwelche logs posten soll, kann ich das gerne machen um anderen Usern zu helfen. Nochmals vielen Dank! |
|
10.03.2009, 19:33
| #4 |
| | Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Hallo zusammen ... Ich habe meine nfr.dll nun auch beseitigt. Viel mehr Spyware Doctor. Nun bekomme ich bei jedem Rechner Start ein kleines Fenster das den Verlust von nfr.dll beklagt. Fenster Titel: RUNDLL Fehler beim Laden von nfr.dll Das angegebene Modul wurde nicht gefunden Konnte mir nun jemand sagen wie ich das jetzt abstelle? Gruß Zahnfee-II |
|
10.03.2009, 19:53
| #5 |
  | Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Hallo Zahnfee, normal musst du einen eigenen Beitrag öffnen, aber es geht so schnell das du es nicht musst. Ich bin mal nett heute.  Geh auf Start und Ausführen Gebe ein msconfig Suche den Reiter Autostart und entferne den Haken vor dem Eintrag des Syware Doctors oder hier nfr.dll Dann Neustart und weg isses Und jetzt? |
|
10.03.2009, 22:13
| #6 |
| | Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Ich danke dir für deine Ratschläge Redwulf ... ich werde den ersten in Zukunft befolgen und den zweiten weiterempfehlen da er super funktioniert hat ... Danke! |
|
11.03.2009, 19:44
| #7 |
| |  Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los Bitte gern geschehen.....  Admin wir sind fertig hier |
|
| Themen zu Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los |
| ad-aware, adobe, antispyware, bho, combofix, einstellungen, error, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, logfile, malwarebytes' anti-malware, mozilla, netgear, problem, registrierungsschlüssel, rogue.multiple, rundll, schädling, seiten, software, system, userinit.exe, windows xp |
Linear-Darstellung
