Google verlinkt falsch

john.doe · 05.06.2009, 20:18

Hallo und

Seit wann hast du Probleme?

Falls du irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Haaasi · 05.06.2009, 21:06

Das Problem besteht jetzt wieder seit ca. 3 Wochen. Hatte es vor 2-3 Monaten schonmal, das Problem schien dann aber für einige Zeit behoben zu sein, bis es jetzt wieder auftritt.

Hier der logfile:

ComboFix 09-06-05.02 - Yvi 05.06.2009 21:52.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1599 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\windows\system32\Drivers\sptd.sys
c:\windows\system32\ovfsthapfmufsrmendrytwyltscleessuuvdya.dat
c:\windows\system32\ovfsthhuwtdmawsnqjxwaychlsdibvveaannrd.dll
c:\windows\system32\ovfsthlqqrcnxxkdofqmfsrmssokjdlwbdrcwp.dll
c:\windows\system32\ovfsthswwkgangllcsvfovhmkttecspiskrmmq.dat
c:\windows\system32\ovfsthxduylxrramilvojjypkovwyirwaiqjeb.dll
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthujoorwqvrgkueptkltlixtqfqjwqbomp

((((((((((((((((((((((( Dateien erstellt von 2009-05-05 bis 2009-06-05 ))))))))))))))))))))))))))))))
.

2009-06-05 19:41 . 2009-06-05 19:41 -------- d-----w- c:\programme\CCleaner
2009-06-05 19:33 . 2009-06-05 19:33 -------- d-sh--w- c:\dokumente und einstellungen\***\IECompatCache
2009-06-05 19:32 . 2009-06-05 19:32 -------- d-sh--w- c:\dokumente und einstellungen\***\PrivacIE
2009-06-05 19:31 . 2009-06-05 19:31 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-06-05 19:31 . 2009-06-05 19:31 -------- d-sh--w- c:\dokumente und einstellungen\***\IETldCache
2009-06-05 19:29 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-06-05 19:25 . 2009-06-05 19:29 -------- d-----w- c:\windows\system32\XPSViewer
2009-06-05 19:25 . 2009-06-05 19:25 -------- d-----w- c:\programme\MSBuild
2009-06-05 19:25 . 2009-06-05 19:25 -------- d-----w- c:\programme\Reference Assemblies
2009-06-05 19:25 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-06-05 19:25 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-06-05 19:25 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-06-05 19:25 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-06-05 19:25 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-06-05 19:25 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-06-05 19:25 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-06-05 19:22 . 2009-06-05 19:22 -------- d-----w- c:\windows\ie8updates
2009-06-05 19:22 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-05 19:22 . 2009-06-05 19:22 -------- dc-h--w- c:\windows\ie8
2009-06-05 18:30 . 2009-06-05 18:30 -------- d-----w- c:\programme\CleanUp!
2009-06-05 18:01 . 2009-06-05 18:01 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-05-30 23:04 . 2009-05-30 23:04 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\DivX
2009-05-29 11:54 . 2009-05-29 11:54 -------- d-----w- c:\programme\QuickTime Alternative
2009-05-29 11:35 . 2009-05-30 17:20 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\GrabPro
2009-05-29 11:35 . 2009-05-29 11:51 -------- d-----w- C:\downloads
2009-05-29 11:35 . 2009-06-05 18:24 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Orbit
2009-05-29 11:27 . 2009-05-29 11:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Xi
2009-05-20 23:48 . 2009-05-20 23:48 -------- d-----w- c:\programme\MSXML 4.0
2009-05-20 16:52 . 2009-05-20 02:32 52552 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMLauncher.exe
2009-05-19 21:15 . 2008-01-25 11:40 15453 ----a-w- c:\windows\system32\drivers\FlashUSB.sys
2009-05-19 20:58 . 2009-05-19 20:58 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Broad Intelligence
2009-05-19 20:57 . 2009-05-19 20:57 -------- d-----w- c:\programme\AskBarDis
2009-05-19 20:57 . 2009-05-19 20:57 -------- d-----w- c:\programme\MediaCoder Mobile Phone Edition
2009-05-19 20:46 . 2009-05-19 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Keronsoft
2009-05-19 20:46 . 2009-05-19 20:46 -------- d-----w- c:\programme\Keronsoft
2009-05-19 20:03 . 2009-05-19 20:03 65536 ----a-w- c:\windows\IFinst27.exe
2009-05-19 19:53 . 2009-05-20 02:32 204112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\B2CAppUninstall.exe
2009-05-19 19:53 . 2009-05-20 02:32 1047888 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGUserCSTool.exe
2009-05-19 19:53 . 2009-05-19 06:13 86016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMobileDL.dll
2009-05-19 19:53 . 2009-05-18 04:26 52552 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\LGMLauncher.exe
2009-05-19 19:53 . 2009-05-17 21:19 450560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMUpgradeDL.dll
2009-05-19 19:53 . 2008-06-17 06:38 179536 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
2009-05-19 19:53 . 2006-05-04 06:33 53248 ----a-w- c:\windows\system32\CommonDL.dll
2009-05-19 19:53 . 2006-05-04 06:33 53248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\CommonDL.dll
2009-05-19 19:53 . 2005-10-03 23:39 44544 ----a-w- c:\windows\system32\msxml4a.dll
2009-05-19 19:53 . 2009-05-19 19:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX
2009-05-19 19:39 . 2009-05-19 20:03 -------- d-----w- C:\GSMULTI
2009-05-19 18:53 . 2009-05-19 18:53 -------- d-----w- C:\Sounds
2009-05-19 18:52 . 2009-05-19 21:16 -------- d-----w- c:\programme\LG Electronics
2009-05-19 18:52 . 2008-11-11 11:42 24832 ----a-w- c:\windows\system32\drivers\lgusbmodem.sys
2009-05-19 18:52 . 2008-11-11 11:41 19968 ----a-w- c:\windows\system32\drivers\lgusbdiag.sys
2009-05-19 18:52 . 2008-11-11 11:41 13056 ----a-w- c:\windows\system32\drivers\lgusbbus.sys
2009-05-19 18:51 . 2007-11-08 14:26 1164728 ----a-w- c:\windows\system32\NMSDVDXU.dll
2009-05-19 18:51 . 2009-06-02 20:47 -------- d-----w- c:\programme\LG PC Suite II
2009-05-19 18:51 . 2009-06-02 20:39 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\LG Electronics
2009-05-17 10:17 . 2009-05-17 10:17 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\FRITZ!
2009-05-16 22:23 . 2009-05-29 10:52 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2009-05-14 16:28 . 2009-05-14 16:28 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Supreme Auction
2009-05-14 16:24 . 2009-05-14 16:24 -------- d-----w- c:\programme\PointView
2009-05-14 16:24 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\VB5DB.DLL
2009-05-13 15:01 . 2009-05-13 15:01 -------- d-----w- c:\programme\Supreme Auction

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-05 19:49 . 2008-11-30 04:29 64376 ----a-w- c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-05 19:28 . 2006-02-28 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-06-05 19:28 . 2006-02-28 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-06-05 18:44 . 2008-12-04 22:16 -------- d-----w- c:\programme\Steganos Password Manager 2007
2009-06-05 18:37 . 2009-04-02 09:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-03 21:28 . 2008-11-30 14:04 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent
2009-05-19 21:16 . 2008-11-30 01:55 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-17 10:17 . 2009-04-15 19:19 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\FRITZ!
2009-04-27 10:36 . 2009-03-27 10:57 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-27 10:36 . 2009-03-27 10:57 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-04-15 19:18 . 2009-04-15 19:17 -------- d-----w- c:\programme\FRITZ!DSL
2009-04-15 19:17 . 2009-04-15 19:17 -------- d-----w- c:\programme\Gemeinsame Dateien\AVM
2009-04-15 19:17 . 2009-04-15 19:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-10 17:10 . 2009-04-10 17:08 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-04-06 22:03 . 2009-04-06 22:03 -------- d-----w- c:\programme\a-squared HiJackFree
2009-04-03 21:03 . 2009-04-03 21:03 3086296 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\ProtectDisc\pd17be16fa.dll
2009-03-27 11:15 . 2009-03-27 11:15 81920 ----a-w- c:\windows\system32\OpenAL32.dll
2009-03-27 11:15 . 2009-03-27 11:15 233472 ----a-w- c:\windows\system32\wrap_oal.dll
2009-03-08 02:34 . 2006-02-28 12:00 914944 ----a-w- c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2006-02-28 12:00 43008 ----a-w- c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2006-02-28 12:00 18944 ----a-w- c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2006-02-28 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2006-02-28 12:00 72704 ----a-w- c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2006-02-28 12:00 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2006-02-28 12:00 34816 ----a-w- c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2006-02-28 12:00 48128 ----a-w- c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2006-02-28 12:00 45568 ----a-w- c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2006-02-28 12:00 156160 ----a-w- c:\windows\system32\msls31.dll
2008-12-15 13:23 . 2008-12-15 13:23 14852 ----a-w- c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"Google Update"="c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-02-10 133104]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-09 136600]
"pdfFactory Pro Dispatcher v3"="c:\windows\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2008-03-05 516096]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-10-07 1630208]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-11-07 17421824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2009-4-15 29184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.03.2009 12:57 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [30.11.2008 04:58 222456]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
S2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [19.05.2009 22:57 234888]
S3 CrystalSysInfo;CrystalSysInfo;c:\programme\MediaCoder Mobile Phone Edition\SysInfo.sys [25.09.2007 16:59 15152]
S3 FlashUSB;Flash Loader utility driver;c:\windows\system32\drivers\FlashUSB.sys [19.05.2009 23:15 15453]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{UI1581R0-W213-7V77-SQ12-RGTNGCUN381Y}]
c:\windows\Root\Root.exe Restart
.
Inhalt des "geplante Tasks" Ordners

2009-06-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1801674531-602162358-839522115-1004.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-02-10 22:46]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Root Server - c:\windows\Root\Root.exe
HKLM-Run-Root - c:\windows\Root\Root.exe
SafeBoot-procexp90.Sys

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.orbitdownloader.com
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\156k929r.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13938&gct=&gc=1&q=
FF - component: c:\programme\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.145.5\npGoogleOneClick8.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-05 21:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2224)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-06-05 21:54
ComboFix-quarantined-files.txt 2009-06-05 19:54

Vor Suchlauf: 14 Verzeichnis(se), 19.614.400.512 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 19.602.841.600 Bytes frei

211 --- E O F --- 2009-05-20 23:48

Haaasi · 05.06.2009, 21:16

Was vielleicht noch zu sagen wäre:
Seit heute werde ich häufig zur ip 78.47.100.188 umgeleitet, ohne dass eine andere Seite (ebay, neckermann o.ä.) dabei geöffnet wird. Werde in diesem Fall auf überhaupt keine Seite weitergeleitet.

john.doe · 05.06.2009, 21:27

Es gibt Anzeichen für ein RAT.

Zitat:

Das Problem besteht jetzt wieder seit ca. 3 Wochen. Hatte es vor 2-3 Monaten schonmal, das Problem schien dann aber für einige Zeit behoben zu sein, bis es jetzt wieder auftritt.

Code:

ATTFilter

27.03.2009 13:14 17.408 ovfsthhuwtdmawsnqjxwaychlsdibvveaannrd.dll
27.03.2009 13:14 19.968 ovfsthlqqrcnxxkdofqmfsrmssokjdlwbdrcwp.dll
27.03.2009 13:14 60.928 ovfsthxduylxrramilvojjypkovwyirwaiqjeb.dll

1.) Deinstalliere (falls möglich):

Ask Toolbar
Google Updater
Google Update Helper
Spybot
uTorrent

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
ASKUpgrade

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{UI1581R0-W213-7V77-SQ12-RGTNGCUN381Y}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\uTorrent\\uTorrent.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"nwiz"=-
"RTHDCPL"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"Google Update"=-
"SpybotSD TeaTimer"=-

Folder::
c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\Google\Update
c:\programme\Spybot - Search & Destroy
c:\programme\AskBarDis

File::
c:\windows\Root\Root.exe
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1801674531-602162358-839522115-1004.job
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

DirLook::
C:\downloads

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Haaasi · 05.06.2009, 21:52

Leider ist mir beim systemneustart der antivir guard wieder angegangen, hab ihn direkt ausgemacht, während das logfile erstellt wurde. :-(
google updater konnte ich nicht finden :-(

Hier das logfile

ComboFix 09-06-05.02 - Yvi 05.06.2009 22:42.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Yvi\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Yvi\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\windows\Root\Root.exe"
"c:\windows\system32\perfc007.dat"
"c:\windows\system32\perfh007.dat"
"c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1801674531-602162358-839522115-1004.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-05 bis 2009-06-05 ))))))))))))))))))))))))))))))
.

2009-06-05 19:41 . 2009-06-05 19:41 -------- d-----w- c:\programme\CCleaner
2009-06-05 19:33 . 2009-06-05 19:33 -------- d-sh--w- c:\dokumente und einstellungen\Yvi\IECompatCache
2009-06-05 19:32 . 2009-06-05 19:32 -------- d-sh--w- c:\dokumente und einstellungen\Yvi\PrivacIE
2009-06-05 19:31 . 2009-06-05 19:31 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-06-05 19:31 . 2009-06-05 19:31 -------- d-sh--w- c:\dokumente und einstellungen\Yvi\IETldCache
2009-06-05 19:29 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-06-05 19:25 . 2009-06-05 19:29 -------- d-----w- c:\windows\system32\XPSViewer
2009-06-05 19:25 . 2009-06-05 19:25 -------- d-----w- c:\programme\MSBuild
2009-06-05 19:25 . 2009-06-05 19:25 -------- d-----w- c:\programme\Reference Assemblies
2009-06-05 19:25 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-06-05 19:25 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-06-05 19:25 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-06-05 19:25 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-06-05 19:25 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-06-05 19:25 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-06-05 19:25 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-06-05 19:22 . 2009-06-05 19:22 -------- d-----w- c:\windows\ie8updates
2009-06-05 19:22 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-05 19:22 . 2009-06-05 19:22 -------- dc-h--w- c:\windows\ie8
2009-06-05 18:30 . 2009-06-05 18:30 -------- d-----w- c:\programme\CleanUp!
2009-06-05 18:01 . 2009-06-05 18:01 -------- d-----w- c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-05-30 23:04 . 2009-05-30 23:04 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\DivX
2009-05-29 11:54 . 2009-05-29 11:54 -------- d-----w- c:\programme\QuickTime Alternative
2009-05-29 11:35 . 2009-05-30 17:20 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\GrabPro
2009-05-29 11:35 . 2009-05-29 11:51 -------- d-----w- C:\downloads
2009-05-29 11:35 . 2009-06-05 18:24 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Orbit
2009-05-29 11:27 . 2009-05-29 11:27 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Xi
2009-05-20 23:48 . 2009-05-20 23:48 -------- d-----w- c:\programme\MSXML 4.0
2009-05-20 16:52 . 2009-05-20 02:32 52552 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMLauncher.exe
2009-05-19 21:15 . 2008-01-25 11:40 15453 ----a-w- c:\windows\system32\drivers\FlashUSB.sys
2009-05-19 20:58 . 2009-05-19 20:58 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Broad Intelligence
2009-05-19 20:57 . 2009-05-19 20:57 -------- d-----w- c:\programme\MediaCoder Mobile Phone Edition
2009-05-19 20:46 . 2009-05-19 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Keronsoft
2009-05-19 20:46 . 2009-05-19 20:46 -------- d-----w- c:\programme\Keronsoft
2009-05-19 20:03 . 2009-05-19 20:03 65536 ----a-w- c:\windows\IFinst27.exe
2009-05-19 19:53 . 2009-05-20 02:32 204112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\B2CAppUninstall.exe
2009-05-19 19:53 . 2009-05-20 02:32 1047888 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGUserCSTool.exe
2009-05-19 19:53 . 2009-05-19 06:13 86016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMobileDL.dll
2009-05-19 19:53 . 2009-05-18 04:26 52552 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\LGMLauncher.exe
2009-05-19 19:53 . 2009-05-17 21:19 450560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMUpgradeDL.dll
2009-05-19 19:53 . 2008-06-17 06:38 179536 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
2009-05-19 19:53 . 2006-05-04 06:33 53248 ----a-w- c:\windows\system32\CommonDL.dll
2009-05-19 19:53 . 2006-05-04 06:33 53248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\CommonDL.dll
2009-05-19 19:53 . 2005-10-03 23:39 44544 ----a-w- c:\windows\system32\msxml4a.dll
2009-05-19 19:53 . 2009-05-19 19:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX
2009-05-19 19:39 . 2009-05-19 20:03 -------- d-----w- C:\GSMULTI
2009-05-19 18:53 . 2009-05-19 18:53 -------- d-----w- C:\Sounds
2009-05-19 18:52 . 2009-05-19 21:16 -------- d-----w- c:\programme\LG Electronics
2009-05-19 18:52 . 2008-11-11 11:42 24832 ----a-w- c:\windows\system32\drivers\lgusbmodem.sys
2009-05-19 18:52 . 2008-11-11 11:41 19968 ----a-w- c:\windows\system32\drivers\lgusbdiag.sys
2009-05-19 18:52 . 2008-11-11 11:41 13056 ----a-w- c:\windows\system32\drivers\lgusbbus.sys
2009-05-19 18:51 . 2007-11-08 14:26 1164728 ----a-w- c:\windows\system32\NMSDVDXU.dll
2009-05-19 18:51 . 2009-06-02 20:47 -------- d-----w- c:\programme\LG PC Suite II
2009-05-19 18:51 . 2009-06-02 20:39 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\LG Electronics
2009-05-17 10:17 . 2009-05-17 10:17 -------- d-----w- c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\FRITZ!
2009-05-16 22:23 . 2009-05-29 10:52 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\dvdcss
2009-05-14 16:28 . 2009-05-14 16:28 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Supreme Auction
2009-05-14 16:24 . 2009-05-14 16:24 -------- d-----w- c:\programme\PointView
2009-05-14 16:24 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\VB5DB.DLL
2009-05-13 15:01 . 2009-05-13 15:01 -------- d-----w- c:\programme\Supreme Auction

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-05 20:36 . 2009-04-02 09:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-03 21:28 . 2008-11-30 14:04 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent
2009-05-19 21:16 . 2008-11-30 01:55 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-17 10:17 . 2009-04-15 19:19 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\FRITZ!
2009-04-27 10:36 . 2009-03-27 10:57 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-27 10:36 . 2009-03-27 10:57 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-04-15 19:18 . 2009-04-15 19:17 -------- d-----w- c:\programme\FRITZ!DSL
2009-04-15 19:17 . 2009-04-15 19:17 -------- d-----w- c:\programme\Gemeinsame Dateien\AVM
2009-04-15 19:17 . 2009-04-15 19:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-10 17:10 . 2009-04-10 17:08 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Wimpomat2
2009-04-07 19:25 . 2009-03-23 20:40 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\teamspeak2
2009-04-06 22:03 . 2009-04-06 22:03 -------- d-----w- c:\programme\a-squared HiJackFree
2009-04-03 21:03 . 2009-04-03 21:03 3086296 ----a-w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\ProtectDisc\pd17be16fa.dll
2009-03-27 11:15 . 2009-03-27 11:15 81920 ----a-w- c:\windows\system32\OpenAL32.dll
2009-03-27 11:15 . 2009-03-27 11:15 233472 ----a-w- c:\windows\system32\wrap_oal.dll
2009-03-08 02:34 . 2006-02-28 12:00 914944 ----a-w- c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2006-02-28 12:00 43008 ----a-w- c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2006-02-28 12:00 18944 ----a-w- c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2006-02-28 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2006-02-28 12:00 72704 ----a-w- c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2006-02-28 12:00 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2006-02-28 12:00 34816 ----a-w- c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2006-02-28 12:00 48128 ----a-w- c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2006-02-28 12:00 45568 ----a-w- c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2006-02-28 12:00 156160 ----a-w- c:\windows\system32\msls31.dll
2008-12-15 13:23 . 2008-12-15 13:23 14852 ----a-w- c:\programme\settings.dat
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\downloads ----

2009-05-29 11:51 . 2009-03-19 03:39 45359 ----a-w- c:\downloads\3002(1).swf
2009-05-29 11:50 . 2009-05-29 11:50 677 ----a-w- c:\downloads\zs.php
2009-05-29 11:47 . 2009-03-19 03:39 45359 ----a-w- c:\downloads\3002.swf
2009-05-29 11:37 . 2009-05-19 13:53 14216 ----a-w- c:\downloads\one-tree-hill-season-6-episode-8-our-life-is-not-a-movie-or-maybe.htm

((((((((((((((((((((((((((((( SnapShot@2009-06-05_19.53.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-05 20:45 . 2009-06-05 20:45 16384 c:\windows\temp\Perflib_Perfdata_78c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"pdfFactory Pro Dispatcher v3"="c:\windows\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2008-03-05 516096]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2009-4-15 29184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.03.2009 12:57 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [30.11.2008 04:58 222456]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
S3 CrystalSysInfo;CrystalSysInfo;c:\programme\MediaCoder Mobile Phone Edition\SysInfo.sys [25.09.2007 16:59 15152]
S3 FlashUSB;Flash Loader utility driver;c:\windows\system32\drivers\FlashUSB.sys [19.05.2009 23:15 15453]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.orbitdownloader.com
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Mozilla\Firefox\Profiles\156k929r.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - component: c:\programme\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-05 22:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2084)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-05 22:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-05 20:47
ComboFix2.txt 2009-06-05 19:54

Vor Suchlauf: 14 Verzeichnis(se), 19.678.928.896 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 19.670.151.168 Bytes frei

204 --- E O F --- 2009-05-20 23:48

Haaasi · 05.06.2009, 22:07

Ich weiß nicht, ob das von Bedeutung ist, aber ich kann mich nicht daran erinnern, diese ask-toolbar installiert zu haben. Außerdem ist es vor etwa 1-2 Wochen vorgekommen, dass sich meine Startseite (normal google) in firefox völlig selbstständig in die von ask.com geändert hat.

john.doe · 05.06.2009, 22:07

Die Hälfte übersehen.

1.) Deinstalliere (falls möglich):

Daemon Tools Toolbar
ICQ Toolbar

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
ICQ Service

Folder::
c:\programme\DAEMON Tools Toolbar
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent
c:\programme\uTorrent

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Haaasi · 05.06.2009, 22:22

Du darfst aber ruhig schlafen gehen, musst nicht meinetwegen so lange hier dram hocken :-)

Also:

ComboFix 09-06-05.02 - Yvi 05.06.2009 23:12.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1663 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Yvi\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Yvi\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Overview.ini
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\dht.dat
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\dht.dat.old
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\resume.dat
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\resume.dat.old
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\rss.dat
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\rss.dat.old
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\settings.dat
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\settings.dat.old
c:\dokumente und einstellungen\Yvi\Anwendungsdaten\uTorrent\utorrent.lng
c:\programme\DAEMON Tools Toolbar
c:\programme\DAEMON Tools Toolbar\_DTLite.xml
c:\programme\DAEMON Tools Toolbar\FirefoxDTT\chrome\dttoolbar.jar
c:\programme\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-05 bis 2009-06-05 ))))))))))))))))))))))))))))))
.

2009-06-05 19:41 . 2009-06-05 19:41 -------- d-----w- c:\programme\CCleaner
2009-06-05 19:33 . 2009-06-05 19:33 -------- d-sh--w- c:\dokumente und einstellungen\Yvi\IECompatCache
2009-06-05 19:32 . 2009-06-05 19:32 -------- d-sh--w- c:\dokumente und einstellungen\Yvi\PrivacIE
2009-06-05 19:31 . 2009-06-05 19:31 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-06-05 19:31 . 2009-06-05 19:31 -------- d-sh--w- c:\dokumente und einstellungen\Yvi\IETldCache
2009-06-05 19:29 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-06-05 19:25 . 2009-06-05 19:29 -------- d-----w- c:\windows\system32\XPSViewer
2009-06-05 19:25 . 2009-06-05 19:25 -------- d-----w- c:\programme\MSBuild
2009-06-05 19:25 . 2009-06-05 19:25 -------- d-----w- c:\programme\Reference Assemblies
2009-06-05 19:25 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-06-05 19:25 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-06-05 19:25 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-06-05 19:25 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-06-05 19:25 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-06-05 19:25 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-06-05 19:25 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-06-05 19:22 . 2009-06-05 19:22 -------- d-----w- c:\windows\ie8updates
2009-06-05 19:22 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-05 19:22 . 2009-06-05 19:22 -------- dc-h--w- c:\windows\ie8
2009-06-05 18:30 . 2009-06-05 18:30 -------- d-----w- c:\programme\CleanUp!
2009-06-05 18:01 . 2009-06-05 18:01 -------- d-----w- c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-05-30 23:04 . 2009-05-30 23:04 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\DivX
2009-05-29 11:54 . 2009-05-29 11:54 -------- d-----w- c:\programme\QuickTime Alternative
2009-05-29 11:35 . 2009-05-30 17:20 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\GrabPro
2009-05-29 11:35 . 2009-05-29 11:51 -------- d-----w- C:\downloads
2009-05-29 11:35 . 2009-06-05 18:24 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Orbit
2009-05-29 11:27 . 2009-05-29 11:27 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Xi
2009-05-20 23:48 . 2009-05-20 23:48 -------- d-----w- c:\programme\MSXML 4.0
2009-05-20 16:52 . 2009-05-20 02:32 52552 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMLauncher.exe
2009-05-19 21:15 . 2008-01-25 11:40 15453 ----a-w- c:\windows\system32\drivers\FlashUSB.sys
2009-05-19 20:58 . 2009-05-19 20:58 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Broad Intelligence
2009-05-19 20:57 . 2009-05-19 20:57 -------- d-----w- c:\programme\MediaCoder Mobile Phone Edition
2009-05-19 20:46 . 2009-05-19 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Keronsoft
2009-05-19 20:46 . 2009-05-19 20:46 -------- d-----w- c:\programme\Keronsoft
2009-05-19 20:03 . 2009-05-19 20:03 65536 ----a-w- c:\windows\IFinst27.exe
2009-05-19 19:53 . 2009-05-20 02:32 204112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\B2CAppUninstall.exe
2009-05-19 19:53 . 2009-05-20 02:32 1047888 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGUserCSTool.exe
2009-05-19 19:53 . 2009-05-19 06:13 86016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMobileDL.dll
2009-05-19 19:53 . 2009-05-18 04:26 52552 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\LGMLauncher.exe
2009-05-19 19:53 . 2009-05-17 21:19 450560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\LGMUpgradeDL.dll
2009-05-19 19:53 . 2008-06-17 06:38 179536 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
2009-05-19 19:53 . 2006-05-04 06:33 53248 ----a-w- c:\windows\system32\CommonDL.dll
2009-05-19 19:53 . 2006-05-04 06:33 53248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX\B2C_Client\CommonDL.dll
2009-05-19 19:53 . 2005-10-03 23:39 44544 ----a-w- c:\windows\system32\msxml4a.dll
2009-05-19 19:53 . 2009-05-19 19:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LGMOBILEAX
2009-05-19 19:39 . 2009-05-19 20:03 -------- d-----w- C:\GSMULTI
2009-05-19 18:53 . 2009-05-19 18:53 -------- d-----w- C:\Sounds
2009-05-19 18:52 . 2009-05-19 21:16 -------- d-----w- c:\programme\LG Electronics
2009-05-19 18:52 . 2008-11-11 11:42 24832 ----a-w- c:\windows\system32\drivers\lgusbmodem.sys
2009-05-19 18:52 . 2008-11-11 11:41 19968 ----a-w- c:\windows\system32\drivers\lgusbdiag.sys
2009-05-19 18:52 . 2008-11-11 11:41 13056 ----a-w- c:\windows\system32\drivers\lgusbbus.sys
2009-05-19 18:51 . 2007-11-08 14:26 1164728 ----a-w- c:\windows\system32\NMSDVDXU.dll
2009-05-19 18:51 . 2009-06-02 20:47 -------- d-----w- c:\programme\LG PC Suite II
2009-05-19 18:51 . 2009-06-02 20:39 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\LG Electronics
2009-05-17 10:17 . 2009-05-17 10:17 -------- d-----w- c:\dokumente und einstellungen\Yvi\Lokale Einstellungen\Anwendungsdaten\FRITZ!
2009-05-16 22:23 . 2009-05-29 10:52 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\dvdcss
2009-05-14 16:28 . 2009-05-14 16:28 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Supreme Auction
2009-05-14 16:24 . 2009-05-14 16:24 -------- d-----w- c:\programme\PointView
2009-05-14 16:24 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\VB5DB.DLL
2009-05-13 15:01 . 2009-05-13 15:01 -------- d-----w- c:\programme\Supreme Auction

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-19 21:16 . 2008-11-30 01:55 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-17 10:17 . 2009-04-15 19:19 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\FRITZ!
2009-04-27 10:36 . 2009-03-27 10:57 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-27 10:36 . 2009-03-27 10:57 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-04-15 19:18 . 2009-04-15 19:17 -------- d-----w- c:\programme\FRITZ!DSL
2009-04-15 19:17 . 2009-04-15 19:17 -------- d-----w- c:\programme\Gemeinsame Dateien\AVM
2009-04-15 19:17 . 2009-04-15 19:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-10 17:10 . 2009-04-10 17:08 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Wimpomat2
2009-04-07 19:25 . 2009-03-23 20:40 -------- d-----w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\teamspeak2
2009-04-06 22:03 . 2009-04-06 22:03 -------- d-----w- c:\programme\a-squared HiJackFree
2009-04-03 21:03 . 2009-04-03 21:03 3086296 ----a-w- c:\dokumente und einstellungen\Yvi\Anwendungsdaten\ProtectDisc\pd17be16fa.dll
2009-03-27 11:15 . 2009-03-27 11:15 81920 ----a-w- c:\windows\system32\OpenAL32.dll
2009-03-27 11:15 . 2009-03-27 11:15 233472 ----a-w- c:\windows\system32\wrap_oal.dll
2009-03-08 02:34 . 2006-02-28 12:00 914944 ----a-w- c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2006-02-28 12:00 43008 ----a-w- c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2006-02-28 12:00 18944 ----a-w- c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2006-02-28 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2006-02-28 12:00 72704 ----a-w- c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2006-02-28 12:00 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2006-02-28 12:00 34816 ----a-w- c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2006-02-28 12:00 48128 ----a-w- c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2006-02-28 12:00 45568 ----a-w- c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2006-02-28 12:00 156160 ----a-w- c:\windows\system32\msls31.dll
2008-12-15 13:23 . 2008-12-15 13:23 14852 ----a-w- c:\programme\settings.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-06-05_19.53.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-05 21:15 . 2009-06-05 21:15 16384 c:\windows\temp\Perflib_Perfdata_7dc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"pdfFactory Pro Dispatcher v3"="c:\windows\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2008-03-05 516096]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2009-4-15 29184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.03.2009 12:57 108289]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
S3 CrystalSysInfo;CrystalSysInfo;c:\programme\MediaCoder Mobile Phone Edition\SysInfo.sys [25.09.2007 16:59 15152]
S3 FlashUSB;Flash Loader utility driver;c:\windows\system32\drivers\FlashUSB.sys [19.05.2009 23:15 15453]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.orbitdownloader.com
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Yvi\Anwendungsdaten\Mozilla\Firefox\Profiles\156k929r.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-05 23:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1692)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-05 23:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-05 21:17
ComboFix2.txt 2009-06-05 20:47
ComboFix3.txt 2009-06-05 19:54

Vor Suchlauf: 14 Verzeichnis(se), 19.672.252.416 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 19.660.111.872 Bytes frei

206 --- E O F --- 2009-05-20 23:48

john.doe · 05.06.2009, 22:26

1.) Start => Ausführen => combofix /u => OK

2.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Erstelle ein Filelisting.

Lade die Datei listing0.bat auf deinen Desktop
Doppelklicke auf listing0.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

4.) http://www.trojaner-board.de/51187-a...i-malware.html

5.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

ciao, andreas

Google verlinkt falsch

Log-Analyse und Auswertung: Google verlinkt falsch