|
Plagegeister aller Art und deren Bekämpfung: Falsche Weiterleitung von Google im Internet ExplorerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.04.2009, 19:41 | #1 |
| Falsche Weiterleitung von Google im Internet Explorer Hallo, ich hatte das Problem, dass ich im Internet Explorer bei der Google-Suche immer auf falsche Websiten weitergeleitet wurde. Als ich Opera installiert habe, tauchte diese Problem nicht auf. Habe die Anweisungen im Forum befolgt, nachdem ich zuerst Antivir und AdAware ausgeführt habe. Problem bestand jedoch weiterhin. Dann CCleaner, Malwarebytes', Combofix und HijackThis ausgeführt. Die 3 letzten Programme haben Viren gefunden, die ich gelöscht habe. Logfiles siehe unten. Das Problem ist behoben, aber ich bin mir unsicher, ob vielleicht doch noch infizierte Dateien auf meinem Rechner sind. Könntet ihr da mal kurz nen Blick drauf werfen? Thx. LG Melie Logfile Combofix ComboFix 09-03-31.04 - Administrator 2009-04-01 20:08:08.2 - NTFSx86 Microsoft Windows XP Professional AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) ((((((((((((((((((((((( Dateien erstellt von 2009-03-01 bis 2009-04-01 )))))))))))))))))))))))))))))) . 2009-04-01 19:30 . 2009-04-01 19:30 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-01 19:30 . 2009-04-01 19:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-04-01 19:30 . 2009-04-01 19:30 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-04-01 19:30 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-01 19:30 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-01 19:16 . 2009-04-01 19:19 <DIR> d-------- C:\CF 2009-04-01 15:54 . 2009-04-01 15:54 <DIR> d-------- c:\programme\CCleaner 2009-04-01 15:26 . 2009-04-01 15:27 <DIR> d--h-c--- c:\windows\ie8 2009-04-01 12:47 . 2009-04-01 12:47 21,587 --a------ c:\windows\system32\AAWService_2009_04_01_12_47_20.dmp 2009-04-01 12:34 . 2009-04-01 12:34 21,587 --a------ c:\windows\system32\AAWService_2009_04_01_12_34_30.dmp 2009-04-01 12:32 . 2009-04-01 12:32 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache 2009-04-01 12:26 . 2009-04-01 12:26 23,277 --a------ c:\windows\system32\AAWService_2009_04_01_12_26_33.dmp 2009-04-01 11:56 . 2009-04-01 11:56 <DIR> d-------- c:\programme\Trend Micro 2009-03-31 14:10 . 2009-03-31 14:10 23,277 --a------ c:\windows\system32\AAWService_2009_03_31_14_10_49.dmp 2009-03-29 19:04 . 2009-03-29 19:04 23,704 --a------ c:\windows\system32\AAWService_2009_03_29_19_04_20.dmp 2009-03-29 19:03 . 2009-03-09 21:06 15,688 --a------ c:\windows\system32\lsdelete.exe 2009-03-29 18:43 . 2009-03-29 18:43 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-03-29 18:43 . 2009-03-09 21:06 64,160 --a------ c:\windows\system32\drivers\Lbd.sys 2009-03-29 18:41 . 2009-03-29 18:41 <DIR> d-------- c:\programme\Lavasoft 2009-03-29 18:41 . 2009-03-29 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-03-29 18:41 . 2009-03-29 18:41 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F} 2009-03-27 18:56 . 2009-03-27 18:56 0 --a------ c:\windows\nsreg.dat 2009-03-27 18:52 . 2009-03-27 18:52 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\IECompatCache 2009-03-27 18:51 . 2009-03-27 18:51 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\PrivacIE 2009-03-27 18:50 . 2009-03-27 18:50 <DIR> d--hs---- c:\windows\system32\config\systemprofile\IETldCache 2009-03-27 18:50 . 2009-03-27 18:50 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\IETldCache 2009-03-27 18:48 . 2009-04-01 15:21 <DIR> d-------- c:\windows\ie8updates 2009-03-27 18:46 . 2009-02-28 06:55 105,984 -----c--- c:\windows\system32\dllcache\iecompat.dll 2009-03-16 19:12 . 2009-04-01 15:24 1,896,749 --a------ c:\windows\system32\uactmp.db 2009-03-08 14:29 . 2009-03-08 14:29 57,344 --------- c:\windows\system32\msrating.dll.mui 2009-03-08 14:28 . 2009-03-08 14:28 2,560 --------- c:\windows\system32\mshta.exe.mui 2009-03-08 14:27 . 2009-03-08 14:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui 2009-03-08 14:27 . 2009-03-08 14:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui 2009-03-08 04:33 . 2009-03-08 04:33 18,944 -----c--- c:\windows\system32\dllcache\corpol.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-01 17:13 --------- d-----w c:\programme\VideoLAN 2009-04-01 13:19 --------- d-----w c:\programme\Opera 2009-03-29 16:30 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-29 16:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems 2009-03-29 16:29 --------- d-----w c:\programme\ScanWizard 5 2009-03-29 16:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DriverScanner 2009-03-29 16:29 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Uniblue 2009-03-27 16:29 --------- d-----w c:\programme\Scanner 2009-03-27 16:24 --------- d-----w c:\programme\Google 2009-03-13 14:22 --------- d-----w c:\programme\ICQ6 2009-03-08 02:34 914,944 ----a-w c:\windows\system32\wininet.dll 2009-03-08 02:34 43,008 ----a-w c:\windows\system32\licmgr10.dll 2009-03-08 02:33 420,352 ----a-w c:\windows\system32\vbscript.dll 2009-03-08 02:33 18,944 ----a-w c:\windows\system32\corpol.dll 2009-03-08 02:32 72,704 ----a-w c:\windows\system32\admparse.dll 2009-03-08 02:32 71,680 ----a-w c:\windows\system32\iesetup.dll 2009-03-08 02:31 48,128 ----a-w c:\windows\system32\mshtmler.dll 2009-03-08 02:31 45,568 ----a-w c:\windows\system32\mshta.exe 2009-03-08 02:31 34,816 ----a-w c:\windows\system32\imgutil.dll 2009-03-08 02:22 156,160 ----a-w c:\windows\system32\msls31.dll 2009-02-26 13:43 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys 2009-01-08 19:51 43,520 ----a-w c:\windows\system32\CmdLineExt03.dll 2009-01-07 16:20 265,720 ----a-w c:\windows\system32\msdbg2.dll 2009-01-07 16:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe 2009-01-07 16:20 26,112 ----a-w c:\windows\system32\idndl.dll 2009-01-07 16:20 24,576 ----a-w c:\windows\system32\nlsdl.dll 2009-01-07 16:20 23,552 ----a-w c:\windows\system32\normaliz.dll 2008-03-08 12:48 871,240 ----a-w c:\programme\Google_Updater.exe 2008-11-13 17:53 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008111320081114\index.dat . ------- Sigcheck ------- 2004-08-04 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\$NtServicePackUninstall$\svchost.exe 2008-04-14 04:23 14336 4fbc75b74479c7a6f829e0ca19df3366 c:\windows\ServicePackFiles\i386\svchost.exe 2008-04-14 04:23 14336 4fbc75b74479c7a6f829e0ca19df3366 c:\windows\system32\svchost.exe 2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll 2007-03-08 17:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll 2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b c:\windows\$NtServicePackUninstall$\user32.dll 2004-08-04 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 c:\windows\$NtUninstallKB890859$\user32.dll 2005-03-02 20:09 578560 3751d7cf0e0a113d84414992146bce6a c:\windows\$NtUninstallKB925902$\user32.dll 2008-04-14 04:22 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\windows\ServicePackFiles\i386\user32.dll 2008-04-14 04:22 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\windows\system32\user32.dll 2004-08-04 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\$NtServicePackUninstall$\ws2_32.dll 2008-04-14 04:22 82432 6a35e2d6f5f052c84ec2ceb296389439 c:\windows\ServicePackFiles\i386\ws2_32.dll 2008-04-14 04:22 82432 6a35e2d6f5f052c84ec2ceb296389439 c:\windows\system32\ws2_32.dll 2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys 2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys 2008-06-20 12:44 360960 744e57c99232201ae98c49168b918f48 c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys 2008-06-20 13:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys 2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys 2008-06-20 12:45 360320 2a5554fc5b1e04e131230e3ce035c3f9 c:\windows\$NtServicePackUninstall$\tcpip.sys 2004-08-04 14:00 359040 9f4b36614a0fc234525ba224957de55c c:\windows\$NtUninstallKB917953$\tcpip.sys 2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 c:\windows\$NtUninstallKB941644$\tcpip.sys 2008-04-13 21:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\$NtUninstallKB951748$\tcpip.sys 2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 c:\windows\$NtUninstallKB951748_0$\tcpip.sys 2008-04-13 21:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\ServicePackFiles\i386\tcpip.sys 2008-06-20 13:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\system32\dllcache\tcpip.sys 2008-06-20 13:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\system32\drivers\tcpip.sys 2004-08-04 14:00 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\$NtServicePackUninstall$\winlogon.exe 2008-04-14 04:23 513024 f09a527b422e25c478e38caa0e44417a c:\windows\ServicePackFiles\i386\winlogon.exe 2008-04-14 04:23 513024 f09a527b422e25c478e38caa0e44417a c:\windows\system32\winlogon.exe 2004-08-04 14:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys 2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys 2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys 2004-08-04 14:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\$NtServicePackUninstall$\ip6fw.sys 2008-04-13 20:53 36608 3bb22519a194418d5fec05d800a19ad0 c:\windows\ServicePackFiles\i386\ip6fw.sys 2008-04-13 20:53 36608 3bb22519a194418d5fec05d800a19ad0 c:\windows\system32\drivers\ip6fw.sys 2005-03-02 11:11 2059264 ae8364004bbfd70461d2ef34888d3360 c:\windows\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe 2008-08-14 15:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\windows\$hf_mig$\KB956841\SP3GDR\ntkrnlpa.exe 2008-08-14 19:22 2068352 c789b5aea9ab71c5bef6dd568f744842 c:\windows\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe 2008-08-14 15:36 2065280 8f54d426024bc7e45a6f32253bbb572e c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe 2004-08-04 14:00 2059136 ce41fc4c06499a389d39b301879535fb c:\windows\$NtUninstallKB890859$\ntkrnlpa.exe 2005-03-02 20:06 2059136 bdff8ffa77ee7df9758ef8c1e0da8eff c:\windows\$NtUninstallKB896256$\ntkrnlpa.exe 2006-10-30 07:00 2061568 825f18910459ce078b6a0b0e4c8d9d64 c:\windows\$NtUninstallKB931784$\ntkrnlpa.exe 2008-04-14 04:00 2068224 e51980ef65ced4490a7395a06c08da34 c:\windows\$NtUninstallKB956841$\ntkrnlpa.exe 2007-02-28 09:06 2061696 9b9ca27ad315c02b71510238574894b2 c:\windows\$NtUninstallKB956841_0$\ntkrnlpa.exe 2008-08-14 15:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\windows\Driver Cache\i386\ntkrnlpa.exe 2008-04-14 04:00 2068224 e51980ef65ced4490a7395a06c08da34 c:\windows\ServicePackFiles\i386\ntkrnlpa.exe 2008-08-14 15:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\windows\system32\ntkrnlpa.exe 2008-08-14 15:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\windows\system32\dllcache\ntkrnlpa.exe 2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 c:\windows\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe 2008-08-14 15:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\windows\$hf_mig$\KB956841\SP3GDR\ntoskrnl.exe 2008-08-14 19:22 2191488 59282efe7147c011530e51ff92ba86ac c:\windows\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe 2008-08-14 15:36 2188288 c7153f3f41c63c8cb912e973f2780495 c:\windows\$NtServicePackUninstall$\ntoskrnl.exe 2004-08-04 14:00 2183296 dc888c9c4ca0eea7a3cb7e6b610f75c7 c:\windows\$NtUninstallKB890859$\ntoskrnl.exe 2005-03-02 20:06 2181632 7189a2391adc1f65c9ae87b0abe0f945 c:\windows\$NtUninstallKB896256$\ntoskrnl.exe 2006-10-30 16:01 2184320 76cd8e7ac91ffcd789981807e26afb5b c:\windows\$NtUninstallKB931784$\ntoskrnl.exe 2008-04-14 04:00 2191360 354c9291513bce4d0ed6b0c6a15470f8 c:\windows\$NtUninstallKB956841$\ntoskrnl.exe 2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 c:\windows\$NtUninstallKB956841_0$\ntoskrnl.exe 2008-08-14 15:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\windows\Driver Cache\i386\ntoskrnl.exe 2008-04-14 04:00 2191360 354c9291513bce4d0ed6b0c6a15470f8 c:\windows\ServicePackFiles\i386\ntoskrnl.exe 2008-08-14 15:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\windows\system32\ntoskrnl.exe 2008-08-14 15:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\windows\system32\dllcache\ntoskrnl.exe 2008-04-14 04:22 1036800 418045a93cd87a352098ab7dabe1b53e c:\windows\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 c:\windows\$NtServicePackUninstall$\explorer.exe 2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 c:\windows\$NtUninstallKB884883$\explorer.exe 2005-04-07 20:46 1035264 64322e8399b205b7281ff883737a9b03 c:\windows\$NtUninstallKB938828$\explorer.exe 2008-04-14 04:22 1036800 418045a93cd87a352098ab7dabe1b53e c:\windows\ServicePackFiles\i386\explorer.exe 2004-08-04 14:00 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\$NtServicePackUninstall$\services.exe 2008-04-14 04:22 109056 4bb6a83640f1d1792ad21ce767b621c6 c:\windows\ServicePackFiles\i386\services.exe 2008-04-14 04:22 109056 4bb6a83640f1d1792ad21ce767b621c6 c:\windows\system32\services.exe 2004-08-04 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\$NtServicePackUninstall$\lsass.exe 2008-04-14 04:22 13312 afb8261b56cba0d86aeb6df682af9785 c:\windows\ServicePackFiles\i386\lsass.exe 2008-04-14 04:22 13312 afb8261b56cba0d86aeb6df682af9785 c:\windows\system32\lsass.exe 2004-08-04 14:00 15360 7ce20569925df6789c31799f0c538f29 c:\windows\$NtServicePackUninstall$\ctfmon.exe 2008-04-14 04:22 15360 01b4e6e990b6c5ea8856d96c7fd044b2 c:\windows\ServicePackFiles\i386\ctfmon.exe 2008-04-14 04:22 15360 01b4e6e990b6c5ea8856d96c7fd044b2 c:\windows\system32\ctfmon.exe 2005-06-11 02:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe 2005-06-11 01:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\$NtServicePackUninstall$\spoolsv.exe 2004-08-04 14:00 57856 54e7113a4bd696e430919bcaf5c65e06 c:\windows\$NtUninstallKB896423$\spoolsv.exe 2008-04-14 04:23 57856 39356a9cdb6753a6d13a4072a9f5a4bb c:\windows\ServicePackFiles\i386\spoolsv.exe 2008-04-14 04:23 57856 39356a9cdb6753a6d13a4072a9f5a4bb c:\windows\system32\spoolsv.exe 2004-08-04 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\$NtServicePackUninstall$\userinit.exe 2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\ServicePackFiles\i386\userinit.exe 2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\system32\userinit.exe 2004-08-04 14:00 297472 1850bc10de5dcccede063fc2d0f2ceda c:\windows\$NtServicePackUninstall$\termsrv.dll 2008-04-14 04:22 297472 b7de02c863d8f5a005a7bf375375a6a4 c:\windows\ServicePackFiles\i386\termsrv.dll 2008-04-14 04:22 297472 b7de02c863d8f5a005a7bf375375a6a4 c:\windows\system32\termsrv.dll 2007-04-16 18:09 1059840 5d0974bd58808faca5d2c437b6fc8d85 c:\windows\$NtServicePackUninstall$\kernel32.dll 2004-08-04 14:00 1057280 e6cd85d0d37416cf138f01f4bb0fc872 c:\windows\$NtUninstallKB897338$\kernel32.dll 2006-05-12 06:04 1058304 22198a36bb61775759640c58897a0d6a c:\windows\$NtUninstallKB924867$\kernel32.dll 2006-09-07 13:59 1059328 76765056ba84df0f016a8671810462dd c:\windows\$NtUninstallKB935839$\kernel32.dll 2008-04-14 04:22 1063424 4c897c69754d88f496339b1a666907c1 c:\windows\ServicePackFiles\i386\kernel32.dll 2008-04-14 04:22 1063424 4c897c69754d88f496339b1a666907c1 c:\windows\system32\kernel32.dll 2004-08-04 14:00 17408 5604574d490b798bd9a946b021a766ad c:\windows\$NtServicePackUninstall$\powrprof.dll 2008-04-14 04:22 17408 c8c0bdabc966b6c24d337df0a0a399e1 c:\windows\ServicePackFiles\i386\powrprof.dll 2008-04-14 04:22 17408 c8c0bdabc966b6c24d337df0a0a399e1 c:\windows\system32\powrprof.dll 2004-08-04 14:00 110080 94101d13a1818a9d08337eec12ed277a c:\windows\$NtServicePackUninstall$\imm32.dll 2008-04-14 04:22 110080 f9954695d246b33a5bf105029a4c6ab6 c:\windows\ServicePackFiles\i386\imm32.dll 2008-04-14 04:22 110080 f9954695d246b33a5bf105029a4c6ab6 c:\windows\system32\imm32.dll . ((((((((((((((((((((((((((((( SnapShot@2009-04-01_19.18.50,01 ))))))))))))))))))))))))))))))))))))))))) . - 2009-03-12 14:03:11 313,176 ----a-w c:\windows\system32\FNTCACHE.DAT + 2009-04-01 18:03:23 270,192 ----a-w c:\windows\system32\FNTCACHE.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736] "LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760] "tsnp2std"="c:\windows\tsnp2std.exe" [2007-01-05 258048] "snp2std"="c:\windows\vsnp2std.exe" [2006-09-15 675840] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-09 515416] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-29 64160] R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};c:\programme\CyberLink\PowerDVD\000.fcl [2007-11-03 01:12:32 41456] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-03-09 951632] R3 SNXPCARD;LINDY PCI Multi I/O Card Driver;c:\windows\system32\drivers\snxpcard.sys [2008-03-09 20864] R3 SNXPSERX;LINDY PCI Serial Port Driver;c:\windows\system32\drivers\snxpserx.sys [2008-03-09 54528] R3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [2008-03-05 294912] R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [2008-03-05 13824] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [2008-03-05 26816] S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-12-21 81832] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-12-21 13864] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-12-21 107304] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-03-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 21:06] 2009-04-01 c:\windows\Tasks\Norton Security Scan.job - c:\programme\Norton Security Scan\Nss.exe [] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Connection Wizard,ShellNext = iexplore IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-01 20:09:17 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1214440339-57989841-725345543-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,63,49,69,2f,5d,7e,f4,46,ad,f2,3f,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,63,49,69,2f,5d,7e,f4,46,ad,f2,3f,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\*–€|ÿÿÿÿ;•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(796) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-04-01 20:10:15 ComboFix-quarantined-files.txt 2009-04-01 18:10:09 Vor Suchlauf: 12 Verzeichnis(se), 18.487.590.912 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 18,475,573,248 Bytes frei 268 --- E O F --- 2009-04-01 10:34:23 Geändert von Melie (01.04.2009 um 19:47 Uhr) |
02.04.2009, 09:19 | #2 |
| Falsche Weiterleitung von Google im Internet ExplorerHallo Melie Zuerst solltest du dies zur Kenntnis nehmen: Dein System ist kompromitiert und zwar vermutlich von einem Trojaner mit entsprechendem Rootkit.<-- Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar... DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code:
ATTFilter Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!! Download von Avenger Download von Malwarebytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung LESEN !!! Download von Gmer Download von MBR.exe Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Gehts immer noch nicht, gehe zu Punkt 6. Punkt 6. Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um Weiteres kommt dann nach diesem Logfile von mir.....
__________________ |
02.04.2009, 16:36 | #3 |
| Falsche Weiterleitung von Google im Internet Explorer Hi, danke schon mal. Ich würde es gerne mal mit der Entfernung des Rootkit versuchen. Habe alle Scans etc. wie beschrieben ausgeführt. Hier die Logfiles.
__________________MBR Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK MBAM Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1929 Windows 5.1.2600 Service Pack 3 02.04.2009 16:32:46 mbam-log-2009-04-02 (16-32-46).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|) Durchsuchte Objekte: 133410 Laufzeit: 24 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) GMER GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-02 17:20:26 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF764087E] SSDT F7BFCC0C ZwCreateThread SSDT F7BFCBF8 ZwOpenProcess SSDT F7BFCBFD ZwOpenThread SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7640C10] SSDT F7BFCC07 ZwTerminateProcess SSDT F7BFCC02 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- ? C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- Device Ntfs.sys (NT File System Driver/Microsoft Corporation) Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) AttachedDevice fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Wie gesagt, hatte MBAM schon mal ausgeführt (siehe unten). Jetzt wurde nichts mehr gefunden und Internet Explorer arbeitet normal. Schon fertig? Wäre super :-). LG |
02.04.2009, 19:19 | #4 |
| Falsche Weiterleitung von Google im Internet Explorer Hmmm, merkwürdig Ich denke du scans nochmal mit Gmer. Drücke auf den Knopf scann und suche den Reiter rootkit. Lass den Scan zu Ende laufen und poste das Log file. Falls es zu lang wird, nutze den filehoster aus meinem ersten Post und poste den Link Bisher siehts gut aus, aber schaun wir mal. Ich denke, dass der rootkit immer noch da ist...
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
03.04.2009, 23:24 | #5 |
| Falsche Weiterleitung von Google im Internet Explorer Hi, habe GMER nochmals laufen lassen, aber keine weiteren Funde. Logfile: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-04 00:20:22 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF764087E] SSDT F7C4CC0C ZwCreateThread SSDT F7C4CBF8 ZwOpenProcess SSDT F7C4CBFD ZwOpenThread SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7640C10] SSDT F7C4CC07 ZwTerminateProcess SSDT F7C4CC02 ZwWriteVirtualMemory ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) ---- EOF - GMER 1.0.15 ---- LG |
04.04.2009, 00:46 | #6 |
| Falsche Weiterleitung von Google im Internet Explorer Offensichtlich hast du, falls dies ein vollständiger GMER Scan ist, das rootkit erwischt. Es sind dennoch Reste auf deinem System, nämlich hier: c:\windows\system32\uactmp.db Versuche dieses file per Hand zu löschen. Ich denke du solltest jetzt SUPERAntiSpyware einsetzen. Lasse auch hier einen vollständigen Suchlauf zu und reporte anschließend. Dann setzt du bitte RSIT ein. Nach dem download bringst du das Programm bitte auf deinen Desktop und startest die RSIT.exe Nach dem Durchlauf des Scans wirst du 2 text files finden. Eines in C:\rsit\info.txt), dass andere findest du minimiert auf deiner Taskleiste. Bitte kopiere beide textfiles und poste sie hier. Falls die Logs zu lang ist suche dir einen filehoster und poste mir deen Link.
__________________ --> Falsche Weiterleitung von Google im Internet Explorer Geändert von Redwulf (04.04.2009 um 01:00 Uhr) |
06.04.2009, 15:36 | #7 |
| Falsche Weiterleitung von Google im Internet Explorer Hi, also hab die Datei manuell gelöscht. Dann SUPERAntiSpyware ausgeführt. Hier das Logfile. SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/06/2009 at 03:30 PM Application Version : 4.26.1000 Core Rules Database Version : 3829 Trace Rules Database Version: 1785 Scan type : Complete Scan Total Scan Time : 02:25:31 Memory items scanned : 588 Memory threats detected : 0 Registry items scanned : 6033 Registry threats detected : 0 File items scanned : 107699 File threats detected : 9 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tto2.traffictrack[1].txt Adware.VirtuMonde Variant L:\TOBERLE PC\COMPUTERKURS XPERT MASTER\INTERNET\INTERNET ALLGEMEIN\06\ANTI_VIRENTOOLS\WIN9X_SE_ME\SYSUPD.EXE L:\TOBERLE PC\COMPUTERKURS XPERT MASTER\INTERNET\INTERNET ALLGEMEIN\06\ANTI_VIRENTOOLS\WINNT_2000_XP\SYSUPD.EXE RSIT kann ich ned ausführen. Habs versucht umzubenennen und dann auszuführen, geht auch ned. Hijackthis ist installiert. Da kommt erst Running HijackThis,dann Performing Registry Dump,und dann kommt die Mledung Line 1: Error: Subscript used with non-Array variable. ?? Gruß |
06.04.2009, 16:35 | #8 |
| Falsche Weiterleitung von Google im Internet Explorer Der Fehler taucht dann auf wenn du Hijack this laufen hast? Habe ich dich da richtig verstanden? Ich weiss nicht obs eine Folge von deinem nicht authorisierten Lauf von ComboFix ist. Ich muss da mal eine Rücksprache halten. Der Fehler ist mir bisher nicht untergekommen....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
06.04.2009, 19:27 | #9 |
| Falsche Weiterleitung von Google im Internet Explorer Hi, also ich habe HijackThis installiert und wenn ich RSIT starte, kommt so ein Statusbar und da steht zuerst Running HijackThis, dann Performing Registry Dump, und dann kommt die Meldung Line 1: Error: Subscript used with non-Array variable. Dann geht es nimmer weiter. Also habe HijackThis nicht explizit gestartet, aber es wird von RSIT im Hintergrund ausgeführt. Und nach kurzer Zeit läuft RSIT nicht mehr weiter, also der Statusbalken ist nicht komplett "voll", d.h. Vorgang wird nicht abgeschlossen. LG |
28.04.2009, 14:38 | #11 |
| Falsche Weiterleitung von Google im Internet Explorer Hey, danke für deine Hilfe bisweilen. Hab jetzt trotzdem das System neu aufgesetzt, müssen den PC mal wieder voll nutzen :-). Und ab jetzt nur noch Mozilla Firefox, dann passiert vllt nicht gleich wieder was. Somit kann dieser Thread geschlossen werden, weiß nur nicht, wie das geht und ob ich das machen kann. LG Melie |
Themen zu Falsche Weiterleitung von Google im Internet Explorer |
ad-aware, ad-watch, adobe, antivir, avg, avgnt, avgnt.exe, avira, c:\windows\system32\rundll32.exe, combofix, components, einstellungen, excel, falsche website, falsche weiterleitung, google, hijack, hijackthis, infizierte dateien, installation, internet, internet explorer, laufende prozesse, port, preferences, problem, rundll, scan, security, sigcheck, skype.exe, software, suchlauf, system, usb, viren, windows, windows xp |