Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
unerwünschte Weiterleitung bei Google

unerwünschte Weiterleitung bei Google


Log-Analyse und Auswertung: unerwünschte Weiterleitung bei Google

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 12.07.2009, 23:08   #1
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hallo liebe Kammerjäger,

ich habe folgendes Problem: bei goole werde ich manchmal auf unerwünschte Seiten weitergeleitet.
Habe hier im Forum und bei google geschaut, aber da ich wenig Ahnung von Computern habe, scheint es mir, als ob dieses Problem individuell gelöst werden muss?!?!
Habe jetzt gesehen, dass man ein Hijack This Log-File einstellen soll, damit einem geholfen werden kann. beim öffnen von Hijack this ist es zunächst erst zu Problemen gekommen (startete nicht) wobei ich dann hier in der Hilfe gelesen hab i solls in test.com umbenennen. Siehe da es hat funktioniert.

AVG Anti Virus und ad-aware lieferten beide keine ergebnisse

also hier mein Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:49:40, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\DOKUME~1\DANIMO~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-Service\XPrint-Client-Service.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\DaniMoritz\Desktop\test\test.com.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Firefox Preloader.lnk = C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: xprint-client.lnk = C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2DFEA2B-3AFB-437F-9458-5B2E08E787EF}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB4B77D2-B368-483E-A07E-D19EF66D0E47}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS3\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: XPrint-Client-Service - Schomäcker GmbH - C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-Service\XPrint-Client-Service.exe

Vielen herzlichen Dank im Vorraus für eure Hilfe

Alt 13.07.2009, 00:17   #2
Stoppp
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hallo ! Hast du das Problem schon gelöst ? Wenn nicht, verwende das Tool MaylwarebytesAntimalware und bereinige damit das System. Tipp: Sollte das Tool nicht installiert werden können, die Installationsdatei umbenennen z.b. von mbam.exe auf mogri.exe p.s. das Sicherste wäre aber die Platte zu formatieren !
__________________
Alt 13.07.2009, 06:38   #3
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hallo Stoppp,
also habe das Tool Malwarebytes installiert. Das funktionierte einwandfrei, jedoch kann ich das Programm nicht starten. Auch wenn i es umbenenne nicht.
Was kann ich noch tun? Bin schon total verzweifelt, da ich eigentlich vor paar Wochen erst formatiert habe.
Lg Mogri
__________________
Alt 13.07.2009, 07:33   #4
Chris4You
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hi,

-kurz reinspring-
Deine komplette Internetverbindung wird über die Ukraine geroutet, daher nichts mehr mit Passwörtern (eBanking, email, eBay etc.), ggf. sperren lassen.

Diese Einträge mit HJ fixen:
Fixen HJ:
Hijackthis, fixen:
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2DFEA2B-3AFB-437F-9458-5B2E08E787EF}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB4B77D2-B368-483E-A07E-D19EF66D0E47}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CS3\Services\Tcpip\..\{14BE9634-EDD6-4192-A870-370E39D6A619}: NameServer = 85.255.112.66,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.66,85.255.112.131
Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Denke da ist ein Rootkit am Werk, daher GMER:
Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris & rausspring
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 13.07.2009, 16:51   #5
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hi zusammen, especially chris4you (natürlich bin ich über Hilfen von allen anderen auch dankbar, aber der hat hald als letzter geantwortet :-)

hier mein bericht von gmer.
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-13 17:46:49
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT spya.sys ZwEnumerateKey [0xF742FCA4]
SSDT spya.sys ZwEnumerateValueKey [0xF7430032]

Code 85E46A78 ZwFlushInstructionCache
Code 863B31AE IofCallDriver
Code 8639B7BE IofCompleteRequest

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 867D71F8

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\MSIVXhopxudoymejxvalksrrwxwxomqfydkmq.sys (*** hidden *** ) [SYSTEM] MSIVXserv.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

soweit hat alles funktioniert. Habe auch e-banking sperren lassen. Der Typ in der Bank EDV Zentrale hat gesagt es könnte sein dass irgendwie sich der Schädling via rooter verbreitet und somit der PC von meiner Freundin auch befallen ist, der übers gleiche Netz ins Internet geht. Was meint ihr dazu???

vielen Dank für eure Bemuhungen, seit echt ne große hilfe

Geändert von mogri (13.07.2009 um 17:12 Uhr)

Alt 13.07.2009, 20:45   #6
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hi ich bins nochmal,
bin noch auf dem Stand des letzten Posts. Wollte jetzt fragen ob ich jetzt wieder clean bin, oder ob ich laut des untenstehenden GMER Reports noch was machen muss?

Wünsch euch was nettes,
lg mogri

Alt 14.07.2009, 06:50   #7
Chris4You
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hi,

wenn Du das Rootkit nicht mit GMER entfernt hast, läuft es noch, daher:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Danach bitte MAM:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Poste alle Logs und ein neues HJ-Log...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 14.07.2009, 10:26   #8
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hallo.
Muss leider combofix report auf 2 posts aufteilen, weil zu lange:
hier also der 2. Teil:


(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-06-25 13:06 688640 ----a-w- c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-06-25 688640]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-06-02 24264488]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2006-06-23 225280]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-01-08 102491]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-01-08 692315]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-06-12 998400]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-12-18 76304]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-05-21 17881600]
"Tweak UI 1.33 deutsch"="TWEAKUI.CPL" - c:\windows\system32\TWEAKUI.CPL [2000-10-06 106544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Firefox Preloader.lnk - c:\programme\FirefoxPreloader\FirefoxPreloader.exe [2009-7-6 98304]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-6-27 809488]
xprint-client.lnk - c:\programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe [2009-7-6 1139712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"XPrint-Client-Service"=2 (0x2)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"OpenVPNService"=3 (0x3)
"NMSAccessU"=2 (0x2)
"MDM"=2 (0x2)
"LVPrcSrv"=2 (0x2)
"LBTServ"=3 (0x3)
"Lavasoft Ad-Aware Service"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"idsvc"=3 (0x3)
"avg8wd"=2 (0x2)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"AgereModemAudio"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" -autorun
"Firefox"=c:\programme\Mozilla Firefox\firefox.exe
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"uTorrent"="c:\programme\uTorrent\uTorrent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"AVG8_TRAY"=c:\progra~1\AVG\AVG8\avgtray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12.07.2009 18:08 64160]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [22.06.2009 19:56 10384]
R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [20.06.2009 15:26 1097728]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [19.11.2008 20:22 25216]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.06.2009 19:43 1684736]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [24.06.2009 21:16 13224]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [24.06.2009 17:36 86824]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [24.06.2009 17:36 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [24.06.2009 17:36 114600]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [24.06.2009 17:36 108328]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [24.06.2009 17:36 26024]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [24.06.2009 17:36 104616]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [24.06.2009 17:36 109736]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
S4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [12.07.2009 11:23 604416]
S4 XPrint-Client-Service;XPrint-Client-Service;c:\programme\Schomaecker\XPrint-Client\XPrint-Client-Service\XPrint-Client-Service.exe [06.07.2009 19:52 1144320]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-07-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]

2009-07-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Mozilla\Firefox\Profiles\41t01d1a.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: nglayout.initialpaint.delay - 10
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: browser.xul.error_pages.enabled - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 80
FF - user.js: network.http.max-connections-per-server - 8
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-14 11:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1796)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3852)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
c:\windows\system32\wscntfy.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-14 11:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-14 09:10

Vor Suchlauf: 9 Verzeichnis(se), 65.827.323.904 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 66.532.216.832 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect/noguiboot/usepmtimer

377 --- E O F --- 2009-06-25 18:20

Alt 14.07.2009, 10:27   #9
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hallo muss leider den combofix report aufteilen wiel zu lange:
Hier also der 1.TEIL:
ComboFix 09-07-13.01 - DaniMoritz 14.07.2009 11:02.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.649 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\DaniMoritz\Desktop\mogri.com.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\pdfforge Toolbar\SearchSettings.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-06-14 bis 2009-07-14 ))))))))))))))))))))))))))))))
.

2009-07-14 08:15 . 2009-07-14 08:21 -------- d-----w- c:\programme\RegCleaner
2009-07-14 07:19 . 2009-07-14 07:19 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Malwarebytes
2009-07-14 07:18 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-14 07:18 . 2009-07-14 07:18 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-14 07:18 . 2009-07-14 07:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-14 07:18 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-12 21:53 . 2009-07-12 21:54 -------- d--h--w- C:\$AVG8.VAULT$
2009-07-12 21:36 . 2009-07-12 21:36 -------- d-----w- c:\programme\Trend Micro
2009-07-12 21:01 . 2009-07-14 08:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-07-12 21:01 . 2009-07-12 21:01 -------- d-----w- c:\programme\AVG
2009-07-12 16:19 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-12 16:08 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-07-12 16:07 . 2009-07-12 16:07 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-12 16:07 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-12 16:07 . 2009-07-12 16:07 -------- d-----w- c:\programme\Lavasoft
2009-07-12 16:07 . 2009-07-12 16:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-12 09:23 . 2009-07-12 09:23 604416 ----a-w- c:\windows\system32\TUProgSt.exe
2009-07-12 09:23 . 2009-04-27 12:21 28928 ----a-w- c:\windows\system32\uxtuneup.dll
2009-07-12 09:23 . 2009-07-12 09:23 361216 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-12 09:23 . 2009-07-12 09:23 -------- d-----w- c:\programme\TuneUp Utilities 2009
2009-07-12 09:14 . 2009-07-12 09:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-10 14:38 . 2009-07-10 14:52 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\eMule
2009-07-07 20:09 . 2009-07-07 20:09 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\gtk-2.0
2009-07-07 19:56 . 2009-07-07 19:56 -------- d-----w- c:\programme\OrgPlus 8 Setup Files
2009-07-06 18:07 . 2009-07-06 18:07 -------- d-----w- c:\programme\FirefoxPreloader
2009-07-06 17:52 . 2009-07-06 17:52 -------- d-----w- c:\programme\Schomaecker
2009-07-05 18:52 . 1999-03-23 07:12 304128 ----a-w- c:\windows\unin0407.exe
2009-07-05 18:12 . 2009-07-05 18:17 -------- d-----w- c:\programme\Free PDF to Word Doc Converter
2009-07-05 17:59 . 2009-07-05 17:59 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Search Settings
2009-07-05 17:57 . 2009-07-05 17:57 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\pdfforge
2009-07-05 17:48 . 2009-07-14 09:05 -------- d-----w- c:\programme\pdfforge Toolbar
2009-07-05 17:48 . 2009-07-05 17:48 -------- d-----w- C:\Program Files
2009-07-05 17:47 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-07-05 17:47 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL
2009-07-05 17:47 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL
2009-07-05 17:47 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL
2009-07-05 17:47 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-07-05 17:47 . 2009-07-05 17:48 -------- d-----w- c:\programme\PDFCreator
2009-07-05 17:39 . 2009-07-05 17:53 -------- d-----w- c:\programme\Foxit Software
2009-07-05 17:39 . 2009-07-05 17:39 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Foxit
2009-07-05 13:10 . 2009-07-05 13:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-07-05 10:00 . 2009-07-05 10:00 -------- d-----w- c:\programme\uTorrent
2009-07-04 14:51 . 2009-07-04 14:51 -------- d-----w- c:\windows\Sun
2009-07-04 14:50 . 2009-07-04 14:50 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-04 14:50 . 2009-07-04 14:50 -------- d-----w- c:\programme\Java
2009-07-04 14:50 . 2009-07-04 14:50 152576 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-07-04 12:25 . 2009-07-04 12:25 3262 ----a-r- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\controlPanelIcon.exe
2009-07-04 12:25 . 2009-07-04 12:25 10134 ----a-r- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\SystemFolder_msiexec.exe
2009-07-04 12:25 . 2009-07-04 12:25 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\No23 Recorder
2009-07-04 11:30 . 2002-01-05 13:37 344064 ----a-w- c:\windows\system32\msvcr70.dll
2009-07-04 11:30 . 2009-07-05 09:42 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-07-04 11:30 . 2009-07-04 11:30 -------- d-----w- c:\programme\DVDVideoSoft
2009-07-04 10:39 . 2009-07-04 10:54 -------- d-----w- c:\windows\system32\Adobe
2009-07-04 10:24 . 2009-07-04 10:30 -------- d-----w- C:\CLIC
2009-07-04 10:24 . 1995-11-24 22:00 398416 ----a-w- c:\windows\system\VBRUN300.DLL
2009-07-04 10:24 . 1993-05-19 22:00 710752 ----a-w- c:\windows\system\MSAJT110.DLL
2009-07-04 10:24 . 1993-04-27 22:00 95200 ----a-w- c:\windows\system\vbdb300.dll
2009-07-04 10:24 . 1993-04-27 22:00 72192 ----a-w- c:\windows\system\GSWDLL.DLL
2009-07-04 10:24 . 1993-04-27 22:00 33280 ----a-w- c:\windows\system\MSAES110.DLL
2009-07-04 10:24 . 1993-04-27 22:00 286720 ----a-w- c:\windows\system\GSW.EXE
2009-07-04 09:56 . 2009-07-04 10:02 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Arbeitsblatt Profi
2009-07-04 09:39 . 2009-07-04 09:39 -------- d-----w- c:\programme\Firebird
2009-07-04 09:38 . 2009-07-04 09:44 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Arbeitsblatt-Manager
2009-07-02 18:59 . 2009-07-12 15:52 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\uTorrent
2009-07-02 17:49 . 2009-07-02 17:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\page
2009-07-02 17:36 . 2009-07-02 17:36 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\.freeciv
2009-07-02 17:36 . 2009-07-02 17:38 -------- d-----w- c:\programme\Freeciv-2.1.9-gtk2
2009-07-02 15:57 . 2009-07-12 15:53 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-02 15:57 . 2009-07-12 15:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-02 15:29 . 2009-07-02 15:29 -------- d-----w- c:\windows\system32\wbem\Repository
2009-07-02 15:03 . 2009-07-02 15:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo
2009-07-02 15:03 . 2009-07-02 15:03 82080 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-07-02 15:03 . 2009-07-02 15:03 24096 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-07-02 15:03 . 2009-07-02 15:03 168208 ----a-w- c:\windows\system32\guard32.dll
2009-07-02 15:03 . 2009-07-02 15:03 132640 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-07-02 15:03 . 2009-07-02 15:03 -------- d-----w- c:\programme\COMODO
2009-07-01 18:04 . 2009-07-01 18:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-07-01 17:51 . 2009-07-01 17:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-07-01 17:51 . 2009-07-01 17:59 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-07-01 17:51 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
2009-07-01 17:49 . 2009-07-01 18:14 -------- d-----w- c:\windows\Internet Logs
2009-07-01 17:14 . 2009-07-01 18:14 -------- d-----w- c:\programme\Spyware Doctor
2009-07-01 17:08 . 2009-07-01 17:08 -------- d-----w- c:\programme\iXi Tools
2009-06-28 10:57 . 2009-06-28 11:03 -------- d-----w- c:\programme\OpenVPN
2009-06-28 09:53 . 2008-03-13 01:25 2530176 ----a-w- c:\windows\system32\drivers\NETw4x32.sys
2009-06-28 09:53 . 2007-08-08 13:29 2772992 ----a-w- c:\windows\system32\NETw4r32.dll
2009-06-28 09:53 . 2007-08-08 13:28 684032 ----a-w- c:\windows\system32\NETw4c32.dll
2009-06-27 18:57 . 2009-06-27 18:57 -------- d-----w- c:\windows\tiinst
2009-06-27 18:55 . 2009-06-27 18:55 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Intel
2009-06-27 18:55 . 2009-06-27 18:55 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel
2009-06-27 18:55 . 2009-06-27 18:55 -------- d-----w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Intel
2009-06-27 18:31 . 2009-06-27 18:31 0 ----a-w- c:\windows\ativpsrm.bin
2009-06-27 17:59 . 2009-02-25 13:15 593920 ------w- c:\windows\system32\ati2sgag.exe
2009-06-27 17:54 . 2009-06-16 10:05 53248 ----a-w- c:\windows\system32\CSVer.dll
2009-06-27 17:54 . 2009-06-27 17:54 -------- d-----w- C:\Intel
2009-06-27 17:43 . 2008-10-23 15:42 290816 ----a-w- c:\windows\vncutil.exe
2009-06-27 17:43 . 2007-11-20 16:15 1826816 ----a-w- c:\windows\SkyTel.exe
2009-06-27 17:43 . 2009-05-14 13:21 36864 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2009-06-27 17:43 . 2009-03-17 12:07 122880 ----a-w- c:\windows\RtkAudioService.exe
2009-06-27 17:43 . 2008-08-05 18:10 1684736 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
2009-06-27 17:43 . 2006-01-04 13:41 1389056 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2009-06-27 17:35 . 2009-03-25 12:29 130432 ----a-w- c:\windows\system32\drivers\Rtnicxp.sys
2009-06-27 17:35 . 2009-03-03 18:18 73728 ----a-w- c:\windows\system32\RtNicProp32.dll
2009-06-27 17:34 . 2006-10-05 10:10 9216 ----a-w- c:\windows\system32\agrsmsvc.exe
2009-06-27 17:34 . 2006-09-11 12:34 13312 ----a-w- c:\windows\system32\agrscoin.dll
2009-06-27 17:20 . 2004-06-14 12:56 427864 ----a-w- c:\windows\system32\XceedZip.dll
2009-06-27 16:42 . 2009-06-27 16:42 -------- d-----w- c:\programme\SomePDF
2009-06-26 16:25 . 2009-06-26 16:25 -------- d--h--w- c:\windows\PIF
2009-06-26 16:24 . 2009-06-26 16:24 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\WINDOWS
2009-06-26 12:33 . 2009-06-26 12:33 -------- d-----w- c:\programme\RegCompact.NET
2009-06-25 17:54 . 2009-06-25 17:54 737280 ----a-w- c:\windows\iun6002.exe
2009-06-25 17:54 . 2009-06-25 17:57 -------- d-----w- c:\programme\Tweak-XP Pro 4
2009-06-25 16:03 . 2009-06-25 16:03 -------- d-----w- c:\programme\Paint.NET
2009-06-25 16:03 . 2009-07-07 19:07 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-06-25 15:27 . 2009-06-25 15:27 -------- d-sh--w- c:\dokumente und einstellungen\DaniMoritz\IECompatCache
2009-06-25 15:13 . 2009-06-25 15:13 -------- d-sh--w- c:\dokumente und einstellungen\DaniMoritz\PrivacIE
2009-06-24 19:21 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2009-06-24 19:16 . 2009-06-24 19:16 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys
2009-06-24 19:16 . 2009-06-24 19:16 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys
2009-06-24 19:16 . 2009-06-24 19:16 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2009-06-24 15:37 . 2009-06-24 15:37 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\Sony Ericsson
2009-06-24 15:35 . 2009-06-24 19:07 -------- d-----w- c:\programme\Sony Ericsson
2009-06-24 15:35 . 2009-06-24 15:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2009-06-24 15:35 . 2009-06-24 15:35 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\InstallShield
2009-06-24 10:23 . 2009-06-24 10:23 1078 ----a-r- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 09:08 . 2009-06-20 14:21 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Skype
2009-07-14 06:27 . 2009-06-20 14:22 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\skypePM
2009-07-07 19:49 . 2009-06-20 13:59 1 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-05 18:51 . 2009-06-20 13:30 29264 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-01 17:29 . 2006-06-01 19:06 85082 ----a-w- c:\windows\system32\perfc007.dat
2009-07-01 17:29 . 2006-06-01 19:06 459844 ----a-w- c:\windows\system32\perfh007.dat
2009-07-01 17:00 . 2009-07-01 16:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-06-29 17:41 . 2009-06-20 13:07 -------- d-----w- c:\programme\Intel
2009-06-27 18:57 . 2009-06-20 13:09 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-27 18:01 . 2009-06-20 13:19 -------- d-----w- c:\programme\ATI Technologies
2009-06-27 17:43 . 2009-06-20 13:11 -------- d-----w- c:\programme\Realtek
2009-06-24 19:21 . 2009-06-24 19:21 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2009-06-24 19:21 . 2009-06-24 19:21 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-06-24 15:36 . 2009-06-24 15:36 -------- d-----w- c:\programme\Avanquest update
2009-06-24 15:36 . 2009-06-24 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-06-22 19:01 . 2006-06-23 08:39 505128 ----a-w- c:\windows\system32\msvcp71.dll
2009-06-22 19:01 . 2006-06-23 08:39 353576 ----a-w- c:\windows\system32\msvcr71.dll
2009-06-22 17:56 . 2009-06-22 17:56 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2009-06-22 17:56 . 2009-06-22 17:56 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2009-06-22 17:45 . 2009-06-22 17:45 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2009-06-22 17:45 . 2009-06-22 17:45 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-06-20 19:17 . 2009-06-20 19:17 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Winamp
2009-06-20 19:17 . 2009-06-20 19:17 -------- d-----w- c:\programme\Winamp
2009-06-20 17:52 . 2009-06-20 14:38 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\DAEMON Tools Lite
2009-06-20 14:38 . 2009-06-20 14:38 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-06-20 14:22 . 2009-06-20 14:22 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-06-20 14:20 . 2009-06-20 14:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-06-20 14:20 . 2009-06-20 14:20 -------- d-----r- c:\programme\Skype
2009-06-20 14:20 . 2009-06-20 14:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-06-20 14:02 . 2009-06-20 14:02 -------- d-----w- c:\programme\xp-AntiSpy
2009-06-20 13:59 . 2009-06-20 13:59 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\OpenOffice.org
2009-06-20 13:55 . 2009-06-20 13:55 -------- d-----w- c:\programme\OpenOffice.org 3
2009-06-20 13:41 . 2009-06-20 13:41 0 ----a-w- c:\windows\nsreg.dat
2009-06-20 13:29 . 2009-06-20 13:29 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\ATI
2009-06-20 13:29 . 2009-06-20 13:29 143 ----a-w- c:\dokumente und einstellungen\DaniMoritz\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-06-20 13:27 . 2009-06-20 13:27 -------- d-----w- c:\programme\Synaptics
2009-06-20 13:26 . 2009-06-20 13:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Logitech
2009-06-20 13:26 . 2009-06-20 13:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acer
2009-06-20 13:23 . 2009-06-20 13:23 -------- d-----w- c:\programme\Acer Inc
2009-06-20 13:21 . 2009-06-20 13:09 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-20 13:09 . 2009-06-20 13:09 -------- d-----w- c:\programme\Atheros
2009-06-20 13:07 . 2009-06-20 13:07 -------- d-----w- c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Intel
2009-06-20 13:07 . 2009-06-20 13:07 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2009-06-20 13:07 . 2009-06-20 13:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2009-06-20 13:02 . 2009-06-20 13:02 -------- d-----w- c:\programme\HighMAT CD Writing Wizard
2009-06-20 12:55 . 2009-06-20 12:55 -------- d-----w- c:\programme\microsoft frontpage
2009-06-20 12:49 . 2009-06-20 12:48 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-20 12:48 . 2009-06-20 12:48 -------- d-----w- c:\programme\Online-Dienste
2009-06-20 12:47 . 2009-06-20 12:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-06-20 12:46 . 2009-06-20 12:46 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-06-02 16:02 . 2009-06-20 13:11 5085184 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-05-21 12:01 . 2009-06-20 13:11 17881600 ----a-w- c:\windows\RTHDCPL.EXE
2009-05-13 05:02 . 2006-06-01 19:06 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:32 . 2006-06-01 19:06 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll
2009-04-29 04:33 . 2009-04-29 04:33 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-23 09:45 . 2009-06-24 11:11 43772 ----a-w- c:\windows\Fonts\Brigitte.ttf
2009-04-19 19:46 . 2006-06-01 19:06 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-16 15:23 . 2009-06-20 13:11 540672 ----a-w- c:\windows\RtlExUpd.dll
2009-04-15 14:51 . 2006-06-01 19:06 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-06-03 04:10 . 2009-06-20 13:40 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll

Alt 14.07.2009, 10:58   #10
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


so nun hier der Report von malwarebyts:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2424
Windows 5.1.2600 Service Pack 3

14.07.2009 11:49:33
mbam-log-2009-07-14 (11-49-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 128076
Laufzeit: 20 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\danimoritz\Desktop\test\avenger.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 14.07.2009, 11:01   #11
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


und hier das aktuelle logfile von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:51, on 14.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\DOKUME~1\DANIMO~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\DaniMoritz\Desktop\test\test.com.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Firefox Preloader.lnk = C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: xprint-client.lnk = C:\Programme\Schomaecker\XPrint-Client\XPrint-Client-GUI\XPrint-Client-GUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

--
End of file - 4532 bytes

Alt 14.07.2009, 14:53   #12
Chris4You
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
c:\dokumente und einstellungen\DaniMoritz\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforgeToolbar\pdfforgeToolbarIE.dll
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Alle Logs und ein neues HJ-Log posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )
Geändert von Chris4You (14.07.2009 um 15:17 Uhr)

Alt 14.07.2009, 15:37   #13
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


so, hallo.

virustotalcheck hat folgendes ergeben
Datei lzma.dll empfangen 2009.07.14 14:11:33 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Code:
ATTFilter
File size: 152576 bytes
MD5...: 17490934c2644b3c488a4f9f5db4f360
SHA1..: cabc7d669c983a7e16f56adee101f914ee233c69
SHA256: 4e8bb25860476bd1a4b30a7c35ab5ae8bf0aaef46d4f3246483de12b2f5bed21
ssdeep: 3072:Y4gmoAZplSUS5IIiqbukO/3msvJv7DDpNePhFpnVlcC2:ZgmoADlSUSWIlb
uks3mGvnDpNohz8C
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x19862
timedatestamp.....: 0x4a300158 (Wed Jun 10 18:54:16 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f17f 0x1f200 6.22 5d5566b61159024f2146339cd97a4fb0
.rdata 0x21000 0x35d0 0x3600 5.05 882fb04c9f3548b5f8183f36f21fb76a
.data 0x25000 0x516c 0xe00 2.38 e6b422e3c09a8edad2d6f871d9bf1580
.reloc 0x2b000 0x1874 0x1a00 4.83 4b03d16ec78644d7aa8769ebe0ae3dc5

( 2 imports )
> USER32.dll: CharToOemA, CharLowerW, CharLowerA, CharUpperW, CharUpperA
> KERNEL32.dll: TlsFree, VirtualProtect, GetTickCount, GetProcessTimes, GetCurrentProcess, MultiByteToWideChar, WideCharToMultiByte, GetLastError, GetSystemInfo, GlobalMemoryStatus, GetProcAddress, GetModuleHandleA, VirtualAlloc, VirtualFree, CloseHandle, WaitForSingleObject, CreateEventA, SetEvent, ResetEvent, CreateSemaphoreA, ReleaseSemaphore, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, ReadFile, GetStdHandle, WriteFile, CreateFileA, CreateFileW, AreFileApisANSI, GetFileSize, SetFilePointer, GetFileInformationByHandle, SetFileTime, SetEndOfFile, GetVersionExA, RtlUnwind, RaiseException, HeapAlloc, HeapFree, ExitThread, GetCurrentThreadId, CreateThread, GetCommandLineA, TlsAlloc, SetLastError, TlsSetValue, TlsGetValue, SetUnhandledExceptionFilter, HeapDestroy, HeapCreate, HeapReAlloc, IsBadWritePtr, ExitProcess, TerminateProcess, UnhandledExceptionFilter, InterlockedExchange, VirtualQuery, SetHandleCount, GetFileType, GetStartupInfoA, SetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, IsBadReadPtr, IsBadCodePtr, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, LoadLibraryA, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapSize

( 1 exports )
ExtraCompressionMain
PDFiD.: -
RDS...: NSRL Reference Data Set
-
die andere ist noch in warteschleife.

Alt 14.07.2009, 15:43   #14
Chris4You
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


Hi,

das ist gut, weil ein Wurm unter dem gleichen Namen firmiert...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 14.07.2009, 15:47   #15
mogri
 
unerwünschte Weiterleitung bei Google - Standard

unerwünschte Weiterleitung bei Google


so und hier das ergebnis der 2. Dateiüberprüfung
Datei _4ae13d6c.exe empfangen 2009.07.14 14:33:47 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)

Code:
ATTFilter
File size: 1078 bytes
MD5...: 4a51c88a71806b8fbe36922f4aa23a17
SHA1..: 75e34e8ab41b52a9087b4069214147ccd42dec85
SHA256: e35938e84c69b41aa84d6b8c9878040ba3e722caadb21fae093ad1f81e01994c
ssdeep: 24:qQeiwuKaKcKLKCK8yqiyqiyqiyqiyqiyqyqoi138Hk:nJLsBbBiBiBiBiBiBB
d38E
PEiD..: -
TrID..: File type identification
Windows Icon (50.0%)
MPEG Video (37.4%)
MacBinary 2 header (12.5%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

Antwort
Seite 1 von 2 1 2

Themen zu unerwünschte Weiterleitung bei Google
.com, ad-aware, agere systems, avg free, avg security toolbar, bho, cdburnerxp, computer, computern, desktop, einstellungen, excel, google, herzlichen dank, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, object, pdfforge toolbar, plug-in, problem, rundll, security, software, system, tuneup.defrag, virus, wenig ahnung, windows, windows xp


« ld11.exe (Worm.Koobface) bitte um logauswertung | bin.clearspring.com beim öffnen von diversen Seiten »


Ähnliche Themen: unerwünschte Weiterleitung bei Google


  1. Google Weiterleitung auf unerwünschte Seiten, Microsoft Security Essentials und Windows Defender funktionieren nicht
    Plagegeister aller Art und deren Bekämpfung - 11.05.2013 (10)
  2. Unerwünschte Weiterleitung bei Google-Suche Firefox
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (37)
  3. unerwünschte Weiterleitung im Firefox beim Anklicken von Google-Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 19.02.2012 (78)
  4. Google: unerwünschte Weiterleitung
    Log-Analyse und Auswertung - 13.12.2011 (71)
  5. Google (unerwünschte) Weiterleitung
    Log-Analyse und Auswertung - 10.12.2011 (2)
  6. Google-Weiterleitung auf unerwünschte Seiten
    Log-Analyse und Auswertung - 07.06.2011 (33)
  7. Weiterleitung zu Epoclick, Gomeo, google analytics, google websites, google anderer länder
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (6)
  8. Unerwünschte Weiterleitung bei Google im Firefox
    Plagegeister aller Art und deren Bekämpfung - 21.02.2011 (8)
  9. Unerwünschte Weiterleitung bei Google-Suche Firefox
    Plagegeister aller Art und deren Bekämpfung - 23.12.2010 (5)
  10. Google Suchergebnis unerwünschte Weiterleitung- bis jetzt hat garnichts geklappt
    Plagegeister aller Art und deren Bekämpfung - 24.11.2010 (6)
  11. Unerwünschte Weiterleitung bei Google-Suche
    Plagegeister aller Art und deren Bekämpfung - 07.11.2010 (14)
  12. Unerwünschte Weiterleitung bei Google Suche (Ask.com)
    Plagegeister aller Art und deren Bekämpfung - 30.10.2010 (24)
  13. unerwünschte Weiterleitung bei Googel
    Log-Analyse und Auswertung - 22.08.2010 (13)
  14. Unerwünschte Weiterleitung von Google Suchergebnissen
    Log-Analyse und Auswertung - 12.08.2009 (2)
  15. Unerwünschte Werbung + Weiterleitung durch Google
    Log-Analyse und Auswertung - 20.07.2009 (5)
  16. Unerwünschte Weiterleitung bei google
    Log-Analyse und Auswertung - 21.06.2009 (2)
  17. unerwünschte Weiterleitung Browser
    Log-Analyse und Auswertung - 07.12.2007 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema unerwünschte Weiterleitung bei Google - Hallo liebe Kammerjäger, ich habe folgendes Problem: bei goole werde ich manchmal auf unerwünschte Seiten weitergeleitet. Habe hier im Forum und bei google geschaut, aber da ich wenig Ahnung von - unerwünschte Weiterleitung bei Google...
Archiv
Du betrachtest: unerwünschte Weiterleitung bei Google auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55