![]() |
|
Log-Analyse und Auswertung: Google-Umleitung, Systemwiederherstellung,Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Google-Umleitung, Systemwiederherstellung, Hallo, habe mir anscheinend einen trojaner runtergeladen, den ich trotz pctools antispyware nicht mehr wegbekomme. Die Auswirkungen sind: Bei Google oder Firefox werden die Anfragen mit falschen Seiten beantwortet, Die Systemwiederherstellung funktioniert nicht, obwohl sie aktiviert ist. Spybot wird nicht gestartet obwohl es frisch heruntergeladen wurde, die exe-datei öffnet Spybot nicht. Ich bi ziemlich verweifelt, da mein PCtools nichts findet und im Hintergrund doch noch irgend ein Programm läuft. Ich habe hjk angehängt, es wäre schön wenn mir jeman d weiterhelfen könnte, Danke Tobir13 |
![]() | #2 |
![]() | ![]() Google-Umleitung, Systemwiederherstellung, Habe noch die Hjt - datei als pdf angehängt. kann vieeleicht mal jemand drüberschauen und mir eine nTipp geben. danke |
![]() | #3 |
![]() | ![]() Google-Umleitung, Systemwiederherstellung, Hallo liebe Mitstreiter
__________________nachdem ich nun versucht habe mal das Malwarebytes Antimalware-Programm herunterzuladen und laufen zu lassen, musste ich feststellen, dass obwohl das Programm instaliert ist, es nicht startet. Bei Klicken auf das Malware-bytes Icon findet keine Reaktion statt. Dies ist genauso wenn ich Spybot Search and Destrpoy starten möchte. Was kann ich tun?? Danke Tobir 13 |
![]() | #4 |
![]() | ![]() Google-Umleitung, Systemwiederherstellung, Hier nochmals mein logfile, vielleicht kann mir ja doch jemand helfen und kennt sich aus, wo der Wurm steckt! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:56:05, on 12.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\csrss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\Programme\Ahead\InCD\InCDsrv.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\system32\spoolsv.exe H:\WINDOWS\system32\svchost.exe H:\Programme\Gemeinsame Dateien\AAV\aavus.exe H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe H:\WINDOWS\system32\drivers\CDAC11BA.EXE H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\Explorer.EXE H:\WINDOWS\system32\ctfmon.exe H:\WINDOWS\fonts\services.exe H:\Programme\Canon\MyPrinter\BJMyPrt.exe H:\Programme\Spyware Doctor\pctsTray.exe H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe H:\Programme\Spybot - Search & Destroy\TeaTimer.exe H:\Programme\Registry Mechanic\RegMech.exe H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe H:\Programme\ATI Technologies\ATI.ACE\CLI.exe H:\Programme\MSI\Common\RaUI.exe H:\Programme\MicroStar\WLANUtility\WlanUtility.exe H:\WINDOWS\system32\rundll32.exe H:\Programme\ATI Technologies\ATI.ACE\cli.exe H:\Programme\Spyware Doctor\pctsAuxs.exe H:\Programme\Spyware Doctor\pctsSvc.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\system32\wbem\wmiprvse.exe H:\Programme\Spyware Doctor\TFEngine\TFService.exe H:\Programme\Mozilla Firefox\firefox.exe H:\WINDOWS\system32\WISPTIS.EXE H:\Dokumente und Einstellungen\Mueller\Eigene Dateien\Downloads\HiJackThis(5).exe H:\WINDOWS\system32\wbem\wmiprvse.exe F3 - REG:win.ini: load=H:\WINDOWS\system32\msregnpl.exe F3 - REG:win.ini: run=H:\WINDOWS\system32\msveiii.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: MessengerUpdate - {5948A52A-BA3A-49A8-BCAF-D578502BDA9D} - H:\Dokumente und Einstellungen\Mueller\Anwendungsdaten\Messenger\Drivers\MsgUpdate.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - H:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - H:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [CanonMyPrinter] H:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [ArcSoft Connection Service] H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe O4 - HKLM\..\Run: [ISTray] "H:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [AnyDVD] H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [RegistryMechanic] H:\Programme\Registry Mechanic\RegMech.exe /H O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msmugpn.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1935655697-1547161642-725345543-1006\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe (User 'AnnaMarina') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Canon IJ Status Monitor Canon iP4500 series.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: MSI Wireless Utility.lnk = H:\Programme\MSI\Common\RaUI.exe O4 - Global Startup: WlanUtility.lnk = H:\Programme\MicroStar\WLANUtility\WlanUtility.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138985749609 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169999382703 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll O23 - Service: AAV UpdateService - Unknown owner - H:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing) O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\sched.exe (file missing) O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avguard.exe (file missing) O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avesvc.exe (file missing) O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - H:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Google Software Updater (gusvc) - Google - H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - H:\Programme\iPod\bin\iPodService.exe O23 - Service: MSI_WLAN_Service - Unknown owner - H:\Programme\MicroStar\WLANUtility\WLAN_Service.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - H:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - H:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: ThreatFire - PC Tools - H:\Programme\Spyware Doctor\TFEngine\TFService.exe -- End of file - 11172 bytes Vielen dank für die Unterstützung Tobir13 |
![]() | #5 |
![]() ![]() ![]() ![]() | ![]() Google-Umleitung, Systemwiederherstellung, Hallo und ![]() Du bist total verseucht. ![]() 1.) Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter F3 - REG:win.ini: load=H:\WINDOWS\system32\msregnpl.exe F3 - REG:win.ini: run=H:\WINDOWS\system32\msveiii.exe O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msmugpn.exe 2.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete: H:\WINDOWS\fonts\services.exe H:\WINDOWS\system32\msregnpl.exe H:\WINDOWS\system32\msveiii.exe H:\WINDOWS\system32\msmugpn.exe ![]()
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. ![]() Anleitungen Virenscanner Kompromittierung unvermeidbar? |
![]() | #6 |
![]() | ![]() Google-Umleitung, Systemwiederherstellung, Hallo, vielen Dank erstmal für die Hilfe. Habe die Anweisungen befolgt, hier ist die txt-Datei avenger.txt: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at H:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open file "H:\windows\fonds\services.exe" Deletion of file "H:\windows\fonds\services.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist File "H:\Windows\system32\msregnpl.exe" deleted successfully. File "H:\windows\system32\msveiii.exe" deleted successfully. File "H:\Windows\system32\msmugpn.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. Was ist weiter zu tun? Was ist mit dem file services.exe? Danke |
![]() |
Themen zu Google-Umleitung, Systemwiederherstellung, |
aktiviert, antispyware, auswirkungen, exe-datei, falsche, firefox, frage, fragen, funktioniert, funktioniert nicht, gen, gestartet, google, google-umleitung, hintergrund, nicht mehr, nichts, programm, seite, seiten, spybot, systemwiederherstellung, trojaner, trotz, worte, öffnet |