Google ist langsam & leitet um

rmL · 15.07.2009, 13:24

Ich weiss das es einige Threads bezüglich des Problems schon gibt.
Doch ist mir eine persönliche Analyse lieber, Ich hoffe Ihr könnt mir helfen.

Wenn Ich per Google etwas suche dauert es meißt zu lange & sogut wie immer werde Ich auf irgendwelche Seiten umgeleitet wo Ich mir z.B. wenn Ich "Baum" eingeben eine leere Seite mit "Download Baum.exe now!" bekomme - Ziemlich billig gemacht.

Anstatt der Webseitenbeschreibung bei Google steht unter der Website Zeug wie 'class="f">10 posts - Last post: 21 Feb'

Malwarebytes' Anti-Malware installiert bei mir nicht ganz zu Ende, daher keine Logfile.
HiJackThis! startet bei mir nicht, ist aber in den Prozessen aktiv.

Tralala Logfile

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-07-15 14:03:04
Windows 5.1.2600 Service Pack 3, v.3244


---- System - GMER 1.0.14 ----

Code     862F6EAE                                                                                                                               ZwEnumerateKey
Code     862F7D16                                                                                                                               ZwFlushInstructionCache
Code     860EDB4D                                                                                                                               IofCallDriver
Code     8636A645                                                                                                                               IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text    ntkrnlpa.exe!IofCallDriver                                                                                                             804EE120 5 Bytes  JMP 860EDB52 
.text    ntkrnlpa.exe!IofCompleteRequest                                                                                                        804EE1B0 5 Bytes  JMP 8636A64A 
.text    ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel + 816                                                                          8053D33A 4 Bytes  [ 93, FE, A5, 05 ]
PAGE     ntkrnlpa.exe!ZwFlushInstructionCache                                                                                                   805ABE30 5 Bytes  JMP 862F7D1A 
PAGE     ntkrnlpa.exe!ZwEnumerateKey                                                                                                            8061AAC2 5 Bytes  JMP 862F6EB2 
?        00000855                                                                                                                               Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text    C:\WINDOWS\system32\RUNDLL32.EXE[248] ntdll.dll!LdrLoadDll                                                                             7C9263A3 5 Bytes  JMP 00CD000A 
.text    C:\WINDOWS\system32\ctfmon.exe[320] ntdll.dll!LdrLoadDll                                                                               7C9263A3 5 Bytes  JMP 00BE000A 
.text    C:\WINDOWS\system32\winlogon.exe[640] ntdll.dll!LdrLoadDll                                                                             7C9263A3 5 Bytes  JMP 0062000A 
.text    C:\WINDOWS\system32\services.exe[688] ntdll.dll!LdrLoadDll                                                                             7C9263A3 5 Bytes  JMP 003A000A 
.text    C:\WINDOWS\system32\nvsvc32.exe[860] ntdll.dll!LdrLoadDll                                                                              7C9263A3 5 Bytes  JMP 006A000A 
.text    ...                                                                                                                                    
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetCloseHandle                                                                          771BE85D 5 Bytes  JMP 13509A58 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!HttpOpenRequestA                                                                             771C160A 5 Bytes  JMP 135082BC 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetConnectA                                                                             771C1C6A 5 Bytes  JMP 13508164 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetReadFile                                                                             771C5BAA 5 Bytes  JMP 13509858 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!HttpSendRequestA                                                                             771C7519 5 Bytes  JMP 13508C5C 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetOpenA                                                                                771CA6DD 5 Bytes  JMP 13508114 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetQueryDataAvailable                                                                   771D14D7 5 Bytes  JMP 13509648 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!HttpSendRequestW                                                                             771DDB8E 5 Bytes  JMP 13509058 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetReadFileExW                                                                          771E26AD 5 Bytes  JMP 13509A08 
.text    C:\WINDOWS\Explorer.EXE[1912] WININET.dll!InternetReadFileExA                                                                          771E26E5 5 Bytes  JMP 135099B8 
.text    C:\Dokumente und Einstellungen\_\Desktop\Tralala.exe[2552] ntdll.dll!LdrLoadDll                                                        7C9263A3 5 Bytes  JMP 00CC000A 
.text    C:\Programme\Mozilla Firefox\firefox.exe[3480] WS2_32.dll!gethostbyname                                                                71A15355 5 Bytes  JMP 1350A9AC 

---- Devices - GMER 1.0.14 ----

Device   \Driver\qpzqlgvxf \Device\{9DD6AFA1-8646-4720-836B-EDCB1085864A}                                                                       00000855
---- Processes - GMER 1.0.14 ----

Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\RUNDLL32.EXE [248]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Programme\Java\jre6\bin\jusched.exe [312]                 0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [320]                         0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [640]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [688]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [700]                          0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\nvsvc32.exe [860]                        0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [992]                        0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1116]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1216]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1380]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [1532]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Programme\Bonjour\mDNSResponder.exe [1660]                0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Programme\Java\jre6\bin\jqs.exe [1724]                    0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1796]                       0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\System32\TUProgSt.exe [1852]                      0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Programme\ICQLite\ICQLite.exe [1900]                      0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1912]                               0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Programme\Steam\Steam.exe [2320]                          0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\_\Desktop\Tralala.exe [2552]  0x10000000                                            
Library  \\?\globalroot\systemroot\system32\SKYNETljnegncn.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3480]              0x00E60000                                           

---- EOF - GMER 1.0.14 ----

kira · 15.07.2009, 23:23

Hallo rmL

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
- Lade dir RSIT - filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Kaos · 16.07.2009, 01:15

*kurz einspring*

@rmL

Du hast die alte Version von GMER (1.0.14.14536) geladen, achte bitte darauf, das du die aktuelle Version nutzt.

Sollte es nicht möglich sein gmer.net aufzurufen, dann nutze diese gmer.exe (Heisst ebenfalls Tralala.exe).

Halte dich aber weiterhin an die Anleitung von Coverflow

mfg, Kaos

*rausspring*

rmL · 16.07.2009, 05:35

Alles klar. Getan.
Da mein Post sonst zu lang wäre habe Ich die Insgesamt 5 Logfiles geuploadet.
Ich hoffe das macht nicht allzuviel Probleme?

Wenn doch bitte sagen ob Ich alle 5 Logs hier manuell reinposten soll

rmL_Logfiles_tb.rar

Kaos · 16.07.2009, 05:59

Das sieht echt übel aus.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE852914-E966-4A4F-AB70-B67B47E474A7}: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.159,85.255.112.16

Du wirst über die Ukraine umgeleitet, es ist sehr wahrscheinlich, dass bereits einige sensible Daten in fremde Hände geraten sind.

Ändere alle deine Passwörter, von einem sauberen Rechner aus.
Wenn du Onlinebanking betreibst, informiere deine Bank darüber.

Ich würde dir eine Neuinstallation empfehlen. Du hast da einiges an Malware laufen, aber du kannst damit natürlich warten, was Coverflow dazu sagt.

btw.: Aus dem HijackThis-log:

Zitat:

O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org
O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org
O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org

und

Rsit-Info

Zitat:

Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{29F05234-DCBB-4FE0-88DC-5160C9250312}
Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}

und dann noch

Zitat:

Sony Vegas Pro 8.0-->MsiExec.exe /X{B7E2A724-2774-4AC2-9F0A-B58C7319B6E6}

Mal ehrlich.... Hast du wirklich die Kohle für die Programme ausgegeben oder doch den bequemen weg über P2P-Software. Es würde erklären, woher 2 der Rootkits kommen.

mfg, Kaos

rmL · 16.07.2009, 12:31

Danke für die Antwort Kaos & Ja, Ich hab Photoshop aus zweiter Hand erworben. Ein "Freund" hat es mir geuppt ...

Kann es also dadurch entstanden sein?
Coverflow, was sagst du dazu?

kira · 16.07.2009, 15:15

hi

Kaos hat vollkommen recht. Da Dein Rechner hochgradig verseucht ist, Du wirst wohl doch nicht ohne um eine komplette Neuinstallation rum kommen, nur so kannst Du sicher sein, dass Dein Speicher sauber ist. Wenn ein Rechner befallen ("offen") war, kann man davon ausgehen dass der Rechner und ALLE Passwörter die auf und an dem System eingegeben wurden kompromittiert sind.► Technische Kompromittierung/wikipedia.org Formatieren und Neuaufsetzten geht schneller als das System sauber zu bekommen

Mag sein,eine komplette Neuinstallation `zu aufwändig` ist (wer macht das gerne?!), aber dies hat viele Vorteile gegenüber den üblichen `Systemreinigung`:

1.
Du kannst danach gleich von einem sauberen Windows, ohne Viren ein Image erstellen. Dazu brauchst du nur ein geeignetes Programm, wie z.B Acronis True Image
2.
Kannst Du Surfen im Web dann, ohne ständig dieses mulmige Gefühl im Bauch zu spüren und mit deinem Rechner sorglos arbeiten

rmL · 16.07.2009, 15:40

Mh... Dann werd Ich das wohl tun müssen.

Danke an alle Beteiligten !

Google ist langsam & leitet um

Log-Analyse und Auswertung: Google ist langsam & leitet um