Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
IE ruft willkürlich Webseiten auf

IE ruft willkürlich Webseiten auf


Log-Analyse und Auswertung: IE ruft willkürlich Webseiten auf

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.03.2009, 15:39   #1
Johannes
 
IE ruft willkürlich Webseiten auf - Frage

IE ruft willkürlich Webseiten auf


Hallo Leute,

seit kurzem ruft mein Browser, immer wenn ich in Google über einen Suchbegriff eine Website ansteuere, willkürlich Websiten auf (Linklisten, Pornoseiten etc.)
Spybot hat nichts gefunden, Antivir auch nicht.
Jetzt weiß ich nicht weiter und hoffe auf Eure Hilfe.

Schon jetzt tausend Dank!

Hier das Logfile von HijackThis, im Anschluss der Suchlauf von ComboFix:

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {00534B55-3155-CA4F-B41D-0E922121D03C} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185528468529
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5387 bytes


ComboFix 09-03-25.04 - Roland Abel 2009-03-26 20:19:56.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.255.106 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\cmnocfg.xml
c:\windows\system32\qviexio3.dat
c:\windows\system32\win

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-26 bis 2009-03-26 ))))))))))))))))))))))))))))))
.

2009-03-12 19:45 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-12 19:45 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-12 19:45 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-12 19:44 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-12 19:43 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-12 19:43 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-12 19:36 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 08:50 --------- d-----w c:\programme\FTP Commander
2009-03-25 19:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-04 18:03 --------- d-----w c:\programme\Gemeinsame Dateien\DeTeMedien
2009-03-04 00:13 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-03 23:14 --------- d-----w c:\programme\Opera75
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-01-31 14:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-31 14:50 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-01-21 20:47 3,666 ----a-w C:\delTemp.cmd
2009-01-11 22:15 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2009-01-11 22:15 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2009-01-11 22:15 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2009-01-11 22:15 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2009-01-11 22:15 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2008-08-17 00:39 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081720080818\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-04-05_ 0.15.30,43 )))))))))))))))))))))))))))))))))))))))))
.
+(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.

Alt 27.03.2009, 15:46   #2
Redwulf
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Da fehlt aber einiges Johnannes, deine Logs sind in keiner Weise vollständig

Hast du die editiert?

Um einen kurzen Überblick zu bekommen:

Download von Gmer
Download von MBR.exe

Lass beide Programme mal laufen und poste das vollständige Ergebnis hier
__________________

__________________
Alt 27.03.2009, 19:25   #3
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Hallo,

hier schon mal Gmer. ComoboFix konnte ich übrigens nicht vollständig posten, das stand viel zu viel drin.

Danke schon mal.
Johannes

GMER 1.0.15.14957 - http://www.gmer.net
Rootkit scan 2009-03-27 19:35:29
Windows 5.1.2600 Service Pack 3


---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\ctfmon.exe[528] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\system32\ctfmon.exe[528] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\system32\ctfmon.exe[528] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\system32\ctfmon.exe[528] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\system32\ctfmon.exe[528] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\system32\ctfmon.exe[528] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[568] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100333D8
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[568] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10033320
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[568] WS2_32.dll!send 71A14C27 5 Bytes JMP 10032C04
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[568] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10032438
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[568] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100323BC
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[568] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 100332D4
.text C:\WINDOWS\system32\winlogon.exe[624] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\system32\winlogon.exe[624] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\system32\winlogon.exe[624] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\system32\winlogon.exe[624] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\system32\winlogon.exe[624] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\system32\winlogon.exe[624] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\system32\lsass.exe[680] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\system32\lsass.exe[680] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\system32\lsass.exe[680] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\system32\lsass.exe[680] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\system32\lsass.exe[680] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\system32\lsass.exe[680] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\system32\svchost.exe[840] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\system32\svchost.exe[840] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\system32\svchost.exe[840] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\system32\svchost.exe[840] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\system32\svchost.exe[840] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\system32\svchost.exe[840] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\System32\alg.exe[972] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\System32\alg.exe[972] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\System32\alg.exe[972] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\System32\alg.exe[972] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\System32\alg.exe[972] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\System32\alg.exe[972] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\system32\svchost.exe[976] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\system32\svchost.exe[976] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\system32\svchost.exe[976] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\system32\svchost.exe[976] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\system32\svchost.exe[976] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\System32\svchost.exe[1088] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\System32\svchost.exe[1088] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\System32\svchost.exe[1088] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\System32\svchost.exe[1088] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\System32\svchost.exe[1088] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\System32\svchost.exe[1088] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\System32\svchost.exe[1164] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\System32\svchost.exe[1164] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\System32\svchost.exe[1164] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\System32\svchost.exe[1164] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\System32\svchost.exe[1164] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\System32\svchost.exe[1164] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\system32\spoolsv.exe[1424] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\system32\spoolsv.exe[1424] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\system32\spoolsv.exe[1424] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\system32\spoolsv.exe[1424] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\system32\spoolsv.exe[1424] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\system32\spoolsv.exe[1424] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\WINDOWS\System32\svchost.exe[1552] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\System32\svchost.exe[1552] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\System32\svchost.exe[1552] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\System32\svchost.exe[1552] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\System32\svchost.exe[1552] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\System32\svchost.exe[1552] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1676] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100133D8
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1676] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10013320
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1676] WS2_32.dll!send 71A14C27 5 Bytes JMP 10012C04
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1676] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10012438
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1676] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100123BC
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1676] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 100132D4
.text C:\WINDOWS\System32\svchost.exe[1800] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100033D8
.text C:\WINDOWS\System32\svchost.exe[1800] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003320
.text C:\WINDOWS\System32\svchost.exe[1800] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002C04
.text C:\WINDOWS\System32\svchost.exe[1800] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002438
.text C:\WINDOWS\System32\svchost.exe[1800] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023BC
.text C:\WINDOWS\System32\svchost.exe[1800] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100032D4
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3344] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\config\software.LOG (size mismatch) 1024/16384 bytes

---- EOF - GMER 1.0.15 ----
__________________
Alt 28.03.2009, 11:54   #4
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Und hier noch MBR.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Zur weiteren Erklärung: Nach dem Scan mit CCleaner ist für einen Augenblick Ruhe, kurze Zeit später geht das Problem dann wieder los: Rufe ich über Google eine Website auf, werden andere Websiten vorgeschaltet. Das Problem taucht nur im IE 7 auf, nicht in Firefox.

Alt 28.03.2009, 13:24   #5
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Hier noch ein weiteres Log:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

28.03.2009 12:32:44
mbam-log-2009-03-28 (12-32-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 66917
Laufzeit: 6 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\571960281.dll (Hijack.Sound) -> No action taken.
C:\WINDOWS\system32\~.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\msratnit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\comsatac.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.


Alt 28.03.2009, 13:55   #6
Redwulf
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Das ist gar nicht gut. Hast du die Funde gelöscht?
Alleine das Vorhandensein des Viking Wurm ist sehr übel, da dieser bereits höchstwahrscheinlich deine Explorer.exe geimpft hat.
Zudem hast du noch Backdoors in deinem system. Deine Tür ist quasi ganz weit offen und jeder schaut dir zu was du machst, ggf. ist dein system schon gar nicht mehr deins, sondern andere entscheiden darüber.

Neuaufsetzen ist die beste Lösung........es sei denn du entscheidest anders. Ich mache dich aber schon jetzt drauf aufmerksam, dass dies sehr zeitintensiv wird und wir auch schon während der Bereinigung eventuell abbrechen müssen, da es keinen Zweck hat.

Wie entscheidest du dich?
__________________
--> IE ruft willkürlich Webseiten auf

Alt 28.03.2009, 14:12   #7
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Tja, schwierige Frage. Aber grundsätzlich würde ich es gerne ohne Neuaufsetzen versuchen, weil ich auch damit stundenlang beschäftigt wäre.
Also, sag bitte mal, was jetzt zu tun ist. Ich arbeite dann nach und nach ab.
Und dann - wo kommt der ganze Kram eigentlich her? Wundert mich schon...
Jedenfalls schon mal Danke für den Rat...
Johannes

Alt 28.03.2009, 14:19   #8
Redwulf
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Code:
ATTFilter
Und dann - wo kommt der ganze Kram eigentlich her? Wundert mich schon
Nun ich kann nur sagen, dass einige Leute ihr Surfverhalten überdenken sollten. Sorgloser Umgang, hier mal schauen und dort mal klicken, hier mal was illegales Laden, Limewire, Kaazah und was noch nicht alles. P2P Verbindungen und "Vertrauen", Freunde, Familie können auch eine Ursache sein.

Aber kümmern wir uns erst mal hierum:

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert, es kann sein dass sich u.a. auch noch ein rootkit in deinem system versteckt:

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR
Absolutes MUSS, ohne wenn und aber.....

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code:
ATTFilter
Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von SDFix
Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 5.

Punkt 5.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....und lass vor allem die Finger von ComboFix, du hast Glück das dein System noch läuft
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM
Alt 29.03.2009, 10:35   #9
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Zuerst CCleaner - ohne Befund.

Bei MBR.exe kommt diese Meldung:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Danach Malwarebytes (ich hatte ja bei vorherigen Durchlauf Befunde, danach habe ich eine ausführlichen Scan laufen lassen, jetzt noch mal einen Quick-Scan)

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

29.03.2009 00:18:36
mbam-log-2009-03-29 (00-18-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 66069
Laufzeit: 6 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 29.03.2009, 10:36   #10
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Und hier der scan mit GMER


GMER 1.0.15.14957 - http://www.gmer.net
Rootkit scan 2009-03-29 11:37:25
Windows 5.1.2600 Service Pack 3


---- Kernel code sections - GMER 1.0.15 ----

? kihkwf.sys Das System kann die angegebene Datei nicht finden. !
? D:\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[528] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\System32\svchost.exe[528] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\System32\svchost.exe[528] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\System32\svchost.exe[528] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\System32\svchost.exe[528] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\System32\svchost.exe[528] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\system32\winlogon.exe[628] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\system32\winlogon.exe[628] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\system32\winlogon.exe[628] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\system32\winlogon.exe[628] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\system32\winlogon.exe[628] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\system32\winlogon.exe[628] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\system32\lsass.exe[684] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\system32\lsass.exe[684] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\system32\lsass.exe[684] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\system32\lsass.exe[684] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\system32\lsass.exe[684] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\system32\lsass.exe[684] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\system32\ctfmon.exe[708] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\system32\ctfmon.exe[708] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\system32\ctfmon.exe[708] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\system32\ctfmon.exe[708] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\system32\ctfmon.exe[708] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\system32\ctfmon.exe[708] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[756] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1003343C
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[756] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10033384
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[756] WS2_32.dll!send 71A14C27 5 Bytes JMP 10032BF8
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[756] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10032440
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[756] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100323C4
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[756] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10033338
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\system32\svchost.exe[852] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\system32\svchost.exe[852] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\system32\svchost.exe[852] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\system32\svchost.exe[852] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\system32\svchost.exe[852] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\system32\svchost.exe[960] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\system32\svchost.exe[960] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\system32\svchost.exe[960] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\system32\svchost.exe[960] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\system32\svchost.exe[960] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\System32\svchost.exe[1096] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\System32\svchost.exe[1096] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\System32\svchost.exe[1096] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\System32\svchost.exe[1096] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\System32\svchost.exe[1096] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\System32\svchost.exe[1096] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\System32\svchost.exe[1180] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\system32\spoolsv.exe[1432] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\system32\spoolsv.exe[1432] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\system32\spoolsv.exe[1432] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\system32\spoolsv.exe[1432] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\system32\spoolsv.exe[1432] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\system32\spoolsv.exe[1432] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\System32\svchost.exe[1540] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\System32\svchost.exe[1540] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\System32\svchost.exe[1540] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\System32\svchost.exe[1540] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\System32\svchost.exe[1540] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\System32\svchost.exe[1540] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1688] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1001343C
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1688] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10013384
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1688] WS2_32.dll!send 71A14C27 5 Bytes JMP 10012BF8
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1688] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10012440
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1688] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100123C4
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1688] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10013338
.text C:\WINDOWS\System32\alg.exe[1800] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\System32\alg.exe[1800] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\System32\alg.exe[1800] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\System32\alg.exe[1800] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\System32\alg.exe[1800] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\System32\alg.exe[1800] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338
.text C:\WINDOWS\System32\svchost.exe[1812] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 1000343C
.text C:\WINDOWS\System32\svchost.exe[1812] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003384
.text C:\WINDOWS\System32\svchost.exe[1812] ws2_32.dll!send 71A14C27 5 Bytes JMP 10002BF8
.text C:\WINDOWS\System32\svchost.exe[1812] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002440
.text C:\WINDOWS\System32\svchost.exe[1812] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100023C4
.text C:\WINDOWS\System32\svchost.exe[1812] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003338

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.15 ----

Alt 29.03.2009, 18:20   #11
Johannes
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Hallo Redwulf,

nach den Scans hatte ich für einige Zeit keine Probleme, dann - beim Starten einer Website - hat sich der IE aufgehängt, bzw. wollte ein Ad On laden, ich habe abgebrochen, daraufhin einen neuen Scan mit CCleaner und mit Malwarbytes durchgeführt - und wieder Backdoor.bot in System.32.-exe gefunden. Im Augenblick funktioniert wieder alles, aber vermutlich nicht für lange...
Johannes

Alt 31.03.2009, 09:35   #12
Redwulf
 
IE ruft willkürlich Webseiten auf - Standard

IE ruft willkürlich Webseiten auf


Ich denke du solltest neu aufsetzen. Dein System ist / war kompromitiert. Der Bot wird mit an Sicherheit grenzender Wahrscheinlichkeit weitere Schadware nachgeladen haben, ggf. bist du schon in ein Botnetz integriert.Ich kann nicht mehr nachvollziehen was mit deinem Rechner geschehen ist. Ich hoffe nur, dass du keinen Zombi PC hast, der durch Andere gesteuert weitere Dinge im Internet verbreitet. Nimm das Teil vom Netz, formatiere und setze neu auf. Hinweise zum Neuaufsetzen + Absichern des Systems findest du hier im Board unter Anleitungen
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM
Antwort

Themen zu IE ruft willkürlich Webseiten auf
antivir, avg, avira, bho, browser, combofix, components, desktop, einstellungen, error, firefox, ftp, google, helper, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, mozilla, pdfcreator, schutz, software, suchlauf, system, windows, windows xp


« Weiterleitung bei Google, kein Windowsupdate möglich | Internet langsam, Viren Update Gdata geht nicht »


Ähnliche Themen: IE ruft willkürlich Webseiten auf


  1. IDF 2015: Intel ruft Entwickler zur Ordnung
    Nachrichten - 19.08.2015 (0)
  2. adfoc.us ruft unerwünschte websites auf
    Log-Analyse und Auswertung - 09.01.2015 (22)
  3. Virus öffnet schädliche Webseiten und Werbeseiten + Webseiten voller Werbung
    Log-Analyse und Auswertung - 27.10.2014 (10)
  4. Windows 8.1: Firefox ruft falsche Internetseiten auf
    Log-Analyse und Auswertung - 05.08.2014 (2)
  5. Virus/Rootkit ruft Webseiten auf, steuert Maus und verändert Systemstart
    Log-Analyse und Auswertung - 07.06.2013 (3)
  6. daten willkürlich verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 03.12.2012 (1)
  7. LIVE SECURITY PLATINUM: kein Browser ruft Webseiten auf - habe versehentlich alle Malwarebytes-Funde entfernt
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (1)
  8. Kaspersky ruft zum Knacken des Gauss-Trojaners auf
    Nachrichten - 14.08.2012 (0)
  9. Internetexplorer öffnet sich willkürlich
    Log-Analyse und Auswertung - 22.08.2010 (4)
  10. Meine Bank ruft mich an...
    Log-Analyse und Auswertung - 08.07.2010 (15)
  11. Browser ruft eigentständig Internetseiten auf
    Log-Analyse und Auswertung - 05.07.2010 (5)
  12. Programme schliessen willkürlich
    Log-Analyse und Auswertung - 23.09.2009 (3)
  13. Anwendungen schließen willkürlich
    Log-Analyse und Auswertung - 25.02.2009 (3)
  14. Diverse Malware ruft Adseiten auf
    Plagegeister aller Art und deren Bekämpfung - 03.12.2008 (22)
  15. PC verschickt willkürlich E-Mails
    Plagegeister aller Art und deren Bekämpfung - 19.07.2008 (2)
  16. Browser verlinkt willkürlich zu Webseiten
    Plagegeister aller Art und deren Bekämpfung - 29.02.2008 (3)
  17. Programm ruft selbsttätig Internetseiten auf
    Plagegeister aller Art und deren Bekämpfung - 20.05.2007 (19)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema IE ruft willkürlich Webseiten auf - Hallo Leute, seit kurzem ruft mein Browser, immer wenn ich in Google über einen Suchbegriff eine Website ansteuere, willkürlich Websiten auf (Linklisten, Pornoseiten etc.) Spybot hat nichts gefunden, Antivir auch - IE ruft willkürlich Webseiten auf...
Archiv
Du betrachtest: IE ruft willkürlich Webseiten auf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55