|
Log-Analyse und Auswertung: Google leitet auf falsche Seiten umWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.03.2009, 04:14 | #1 |
| Google leitet auf falsche Seiten um Hallo zusammen. Bei mir öffnet sich anstatt des erwarteten google Suchergebnisses eine von den unschönen Seiten. Als Browser nutze ich Opera. Viele Grüße an alle und hier mein Hijackthis-Log. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:07:25, on 03.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\XpertVision\TBPanel.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\PVR Series\Watch.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Opera\opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy 16\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe O4 - Global Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6233 bytes |
11.03.2009, 17:21 | #2 |
| Google leitet auf falsche Seiten um Hallo.
__________________Ich habe CCleaner wie beschrieben ausgeführt. Folgenden Malwarebytes Report habe ich Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1835 Windows 5.1.2600 Service Pack 2 11.03.2009 15:48:08 mbam-log-2009-03-11 (15-48-08).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 164135 Laufzeit: 29 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\mutmcb.ffa (Trojan.Daonol) -> Quarantined and deleted successfully. |
11.03.2009, 17:24 | #3 |
| Google leitet auf falsche Seiten um Dies ist die aktuelle HJS
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:22:30, on 11.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\XpertVision\TBPanel.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\PVR Series\Watch.exe C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Programme\Opera\opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe O4 - Global Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6545 bytes |
11.03.2009, 17:29 | #4 |
| Google leitet auf falsche Seiten um Und hier die GMER Logdatei Teil1 Code:
ATTFilter GMER 1.0.15.14878 - http://www.gmer.net Rootkit scan 2009-03-11 17:06:43 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT F7A614E4 ZwCreateThread SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xF78788D0] SSDT F7A614D0 ZwOpenProcess SSDT F7A614D5 ZwOpenThread SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xF7878E70] SSDT F7A614DF ZwTerminateProcess SSDT F7A614DA ZwWriteVirtualMemory Code \??\C:\WINDOWS\system32\drivers\winebgn.sys ZwResumeThread [0xF49E51F4] ---- Kernel code sections - GMER 1.0.15 ---- PAGE ntkrnlpa.exe!ZwResumeThread 805D31FE 7 Bytes JMP F49E51F8 \??\C:\WINDOWS\system32\drivers\winebgn.sys ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\spoolsv.exe[232] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\Programme\Java\jre6\bin\jusched.exe[276] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\WINDOWS\system32\nvsvc32.exe[300] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 107731F8 .text C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10773140 .text C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!send 71A1428A 5 Bytes JMP 10772BA4 .text C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10772404 .text C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10772388 .text C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 107730F4 .text C:\WINDOWS\system32\ctfmon.exe[456] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100131F8 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10013140 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!send 71A1428A 5 Bytes JMP 10012BA4 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 10012404 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10012388 .text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 100130F4 .text C:\WINDOWS\system32\winlogon.exe[800] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\WINDOWS\system32\services.exe[844] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\services.exe[844] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\services.exe[844] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\services.exe[844] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\services.exe[844] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\services.exe[844] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\WINDOWS\system32\lsass.exe[856] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\WINDOWS\system32\svchost.exe[1020] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\WINDOWS\System32\svchost.exe[1228] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\Programme\XpertVision\TBPanel.exe[1376] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 107731F8 .text C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10773140 .text C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!send 71A1428A 5 Bytes JMP 10772BA4 .text C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10772404 .text C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10772388 .text C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 107730F4 .text C:\Programme\Sygate\SPF\smc.exe[1428] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100D31F8 .text C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!connect 71A1406A 5 Bytes JMP 100D3140 .text C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!send 71A1428A 5 Bytes JMP 100D2BA4 .text C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 100D2404 .text C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!recv 71A1615A 5 Bytes JMP 100D2388 .text C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 100D30F4 .text C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100631F8 .text C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10063140 .text C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!send 71A1428A 5 Bytes JMP 10062BA4 .text C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10062404 .text C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10062388 .text C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100630F4 .text C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100331F8 .text C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10033140 .text C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!send 71A1428A 5 Bytes JMP 10032BA4 .text C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10032404 .text C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10032388 .text C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100330F4 .text C:\WINDOWS\system32\RUNDLL32.EXE[1756] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 .text C:\Programme\Java\jre6\bin\jqs.exe[1984] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100031F8 .text C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003140 .text C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!send 71A1428A 5 Bytes JMP 10002BA4 .text C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 10002404 .text C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002388 .text C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 100030F4 |
11.03.2009, 17:30 | #5 |
| Google leitet auf falsche Seiten um Und die Logdatei Teil 2 Code:
ATTFilter ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) ---- Devices - GMER 1.0.15 ---- Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WR9 364 bytes File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WS2 368 bytes File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WSX 368 bytes File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WW0 370 bytes ---- EOF - GMER 1.0.15 ---- |
13.03.2009, 00:14 | #6 |
| Google leitet auf falsche Seiten um Es werden ja immer mehr, wo die google-links nicht mehr richtig funktionieren. Ist durch den Fund und die Bereinigung durch Malwarebytes mein Problem erledigt oder habe ich mir auch noch ein Rootkit eingefangen ? Es würde mich sehr beruhigen, wenn sich bitte jemand meine logs anschauen würde. Diese Ungewissheit ob das System ernsthafter befallen ist schlimm. Viele Grüße Dalindo |
Themen zu Google leitet auf falsche Seiten um |
antivir, asus, avira, browser, explorer, falsche seite, firewall, gainward, google, hijack, hkus\s-1-5-18, icq, internet, internet explorer, leitet, microsoft, nvidia, plug-in, programme, rundll, seiten, software, system, trojan.daonol, windows, windows xp, öffnet |