| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht startenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.08.2009, 11:03
| #1 |
| |  Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Hallo Leute, ich weiß, dass dieses Thema schon mehrfach hier behandelt wurde, aber die dortigen Anleitungen zum Entfernen sind ja stets individuell und für mich nicht geeignet. Ich erhoffe mir hier Hilfe, da ich wirklich nicht mehr weiter komme... In den letzten Wochen wurde mein PC von verschiedenen Personen genutzt und es kam wie es kommen musste - er hat sich mit irgendeiner Malware oder so infiziert. Das äußert sich darin, dass Google falsch weiterleitet (z. B. zu ebay oder auf inhaltslose Seiten) und das System sehr sehr langsam läuft. Gängige Tools wie Spybot Search & Destroy, Malwarebytes Antimalware und auch HijackThis kann ich zwar installieren aber nicht starten. Spyware Terminator, Ad Aware und Antivir scannen zwar, finden aber nichts. Bei Spybot und Kaspersky ist ein Donwload der aktuellen Virendefinitionen nicht möglich, da die Internetverbindung jeweils gesperrt wird. Was kann ich also noch tun...? :-( |
|
18.08.2009, 11:17
| #2 |
  | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Kannst du Antivir aktualisieren, falls noetig auch manuell?
__________________Manual Update of AntiVir - AntiVir Personal für Windows - Avira Support Forum Mache bitte einmal einen Scan mit GMER und RSIT poste die entsprechenden Reporte, oder haenge sie hier an... Nachtrag. Bennene bitte C:\Programme\Malwarebytes' Anti-Malware\mbam.exe in z.B. C:\Programme\Malwarebytes' Anti-Malware\test.exe Versuche die Datei dann zu starten und zu aktualisieren..
__________________ |
|
18.08.2009, 12:52
| #3 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Hallo Ralf,
__________________AntiVir war bereits installiert und führt auch regelmäßig Updates durch. Habs nochmal manuell durchgeführt und gescannt - ohne Funde. Der Tip mit der Umbenennung von mbam.exe in test.exe hat funktioniert. Das Programm lief danach, allerdings konnte ich nicht updaten. Habe dann trotzdem mit der Version von März 09 einen Quick-Scan durchgeführt, der auch 12 Objekte zu Tage förderte, u. a. einen Trojaner DNS Changer. Der war woohl für das Umleiten von Google verantwortlich, das ist jetzt beseitigt. Nach dem Scan konnte ich Malwarebytes auch updaten, allerdings lief danach das Programm gar nicht mehr (auch nicht nach Neustart und erneuter Umbenennung in test.exe). Die anderen Programme laufen auch noch nicht. Die Scans von GMER hier: Code:
ATTFilter GMER 1.0.15.15077 [8b0vsc4h.exe] - http://www.gmer.net
Rootkit scan 2009-08-18 13:27:22
Windows 5.1.2600
---- System - GMER 1.0.15 ----
SSDT FA0ACA96 ZwCreateKey
SSDT FA0ACA8C ZwCreateThread
SSDT FA0ACA9B ZwDeleteKey
SSDT FA0ACAA5 ZwDeleteValueKey
SSDT FA0ACAAA ZwLoadKey
SSDT FA0ACA78 ZwOpenProcess
SSDT FA0ACA7D ZwOpenThread
SSDT FA0ACAB4 ZwReplaceKey
SSDT FA0ACAAF ZwRestoreKey
SSDT FA0ACAA0 ZwSetValueKey
SSDT FA0ACA87 ZwTerminateProcess
Code 813DD880 ZwEnumerateKey
Code 813DD848 ZwFlushInstructionCache
Code 816A4E86 IofCallDriver
Code 813FA91E IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte [06]
.text ntoskrnl.exe!IofCallDriver 804EC022 5 Bytes JMP 816A4E8B
.text ntoskrnl.exe!IofCompleteRequest 804EC051 5 Bytes JMP 813FA923
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 804FC6C8 4 Bytes [96, CA, 0A, FA] {XCHG ESI, EAX; RETF 0xfa0a}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1E0 804FC6F8 4 Bytes [8C, CA, 0A, FA] {MOV EDX, CS; OR BH, DL}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 208 804FC720 4 Bytes [9B, CA, 0A, FA] {WAIT ; RETF 0xfa0a}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 210 804FC728 4 Bytes [A5, CA, 0A, FA] {MOVSD ; RETF 0xfa0a}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 294 804FC7AC 4 Bytes [AA, CA, 0A, FA] {STOSB ; RETF 0xfa0a}
.text ...
PAGE ntoskrnl.exe!ZwEnumerateKey 8056A5DC 5 Bytes JMP 813DD884
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8057C60F 5 Bytes JMP 813DD84C
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\gxvxcpbnaaqpednoorvwqoedbwutekixdkrlo.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1208] 0x10000000
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcpbnaaqpednoorvwqoedbwutekixdkrlo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcvdlhmjxwawppjpesbmcfqjaycbgibigk.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcpbnaaqpednoorvwqoedbwutekixdkrlo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcvdlhmjxwawppjpesbmcfqjaycbgibigk.dll
---- EOF - GMER 1.0.15 ----
|
|
18.08.2009, 12:54
| #4 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Und RSIT: Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random)
Run by Mr. X at 2009-08-18 13:31:38
Microsoft Windows XP Professional
System drive C: has 18 GB (48%) free of 38 GB
Total RAM: 255 MB (41% free)
HijackThis download failed
======Scheduled tasks folder======
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
C:\Programme\Crawler\Toolbar\ctbr.dll [2009-08-10 1218560]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ADECBED6-0366-4377-A739-E69DFBA04663}]
Catcher Class - C:\Programme\Moyea\FLV Downloader\MoyeaCth.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-05 35840]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53}]
Google Gears Helper - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll [2009-07-17 2097152]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-05 73728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\System32\msdxm.ocx [2001-08-18 849436]
{4B3803EA-5230-4DC3-A7FC-33638F3D3542} - &Crawler Toolbar - C:\Programme\Crawler\Toolbar\ctbr.dll [2009-08-10 1218560]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-05 148888]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2005-04-26 180269]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2005-06-15 6803456]
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"PRISMSVR.EXE"=C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE [2004-04-26 295001]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-08-03 419088]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"=C:\Programme\DNA\btdna.exe [2008-12-19 342848]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2004-09-02 57344]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMC_AutoUpdate]
[]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gupdate1c9d009f64f6141"=2
"getPlus(R) Helper"=3
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=91000000
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\BitTorrent\bittorrent.exe"="C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
======List of files/folders created in the last 3 months======
2009-08-18 13:27:52 ----D---- C:\rsit
2009-08-18 13:18:31 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-18 12:33:19 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Malwarebytes
2009-08-18 11:39:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-08-18 11:39:22 ----D---- C:\WINDOWS\System32\Kaspersky Lab
2009-08-16 16:23:57 ----D---- C:\WINDOWS\ERUNT
2009-08-16 16:20:04 ----A---- C:\WINDOWS\ntbtlog.txt
2009-08-16 16:15:41 ----D---- C:\SDFix
2009-08-16 16:02:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autorun Eater
2009-08-16 15:59:20 ----D---- C:\WINDOWS\pss
2009-08-16 15:52:32 ----D---- C:\Programme\WinSpeedUp
2009-08-16 15:49:25 ----D---- C:\Programme\Autorun Eater
2009-08-16 15:42:00 ----D---- C:\Programme\CCleaner
2009-08-16 14:14:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-16 14:09:38 ----D---- C:\Programme\Spybot - Search & Destroy
2009-08-14 20:58:02 ----D---- C:\Programme\Crawler
2009-08-14 20:57:51 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Spyware Terminator
2009-08-14 20:57:34 ----D---- C:\Programme\Spyware Terminator
2009-08-14 20:57:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-08-14 20:38:26 ----D---- C:\Programme\Trend Micro
2009-08-09 15:01:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-08-09 14:36:32 ----A---- C:\WINDOWS\System32\fltlib.dll
2009-08-09 14:25:30 ----DC---- C:\WINDOWS\System32\DRVSTORE
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\javaws.exe
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\javaw.exe
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\java.exe
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\deploytk.dll
2009-06-12 22:04:00 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared
2009-05-24 17:41:29 ----D---- C:\Programme\Avira
2009-05-24 17:41:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-05-24 17:34:37 ----D---- C:\Programme\NOS
2009-05-24 17:34:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2009-05-24 02:56:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-05-24 02:46:44 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
2009-05-23 23:25:42 ----D---- C:\Programme\eMule
======List of files/folders modified in the last 3 months======
2009-08-18 13:26:58 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\DNA
2009-08-18 13:22:09 ----D---- C:\WINDOWS\System32\CatRoot2
2009-08-18 13:19:40 ----D---- C:\Programme\Mozilla Firefox
2009-08-18 13:18:34 ----D---- C:\WINDOWS\System32\drivers
2009-08-18 13:18:31 ----RD---- C:\Programme
2009-08-18 13:16:57 ----D---- C:\Programme\DNA
2009-08-18 13:16:11 ----D---- C:\WINDOWS\Temp
2009-08-18 13:15:36 ----D---- C:\WINDOWS\Debug
2009-08-18 13:14:14 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-18 12:53:35 ----D---- C:\WINDOWS
2009-08-18 12:51:47 ----D---- C:\WINDOWS\system32
2009-08-18 12:38:57 ----D---- C:\WINDOWS\Prefetch
2009-08-18 11:39:25 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-08-18 11:39:22 ----HD---- C:\WINDOWS\inf
2009-08-17 21:33:34 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Adobe
2009-08-17 13:47:51 ----SHD---- C:\System Volume Information
2009-08-16 16:01:54 ----SH---- C:\boot.ini
2009-08-16 16:01:54 ----A---- C:\WINDOWS\win.ini
2009-08-16 16:01:54 ----A---- C:\WINDOWS\system.ini
2009-08-16 15:43:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-16 15:42:42 ----D---- C:\WINDOWS\Minidump
2009-08-14 21:08:00 ----SHD---- C:\WINDOWS\Installer
2009-08-14 21:08:00 ----SHD---- C:\Config.Msi
2009-08-14 21:07:41 ----D---- C:\Programme\Lavasoft
2009-08-09 17:07:40 ----SHD---- C:\RECYCLER
2009-08-09 15:13:34 ----SD---- C:\WINDOWS\Tasks
2009-08-09 14:33:05 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Lavasoft
2009-08-09 14:33:04 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-08-06 22:10:05 ----A---- C:\WINDOWS\winamp.ini
2009-08-01 21:27:58 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-19 20:57:35 ----D---- C:\Programme\Google
2009-07-05 23:09:10 ----D---- C:\Programme\Java
2009-06-19 21:27:08 ----D---- C:\Programme\PokerStars.NET
2009-06-12 22:06:37 ----D---- C:\Programme\DivX
2009-06-12 22:01:38 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\DivX
2009-05-24 17:40:33 ----D---- C:\WINDOWS\WinSxS
2009-05-24 02:51:57 ----D---- C:\Programme\Adobe
2009-05-24 02:48:02 ----RSHDC---- C:\WINDOWS\System32\dllcache
2009-05-23 23:49:28 ----D---- C:\My Downloads
2009-05-23 23:23:17 ----D---- C:\Programme\BearShare
2009-05-23 22:59:32 ----D---- C:\Programme\K-Lite
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-02-13 45416]
R1 avipbb;avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 Cdr4_XP;Cdr4_XP; C:\WINDOWS\System32\drivers\Cdr4_XP.sys [2008-11-21 9336]
R1 Cdralw2k;Cdralw2k; C:\WINDOWS\System32\drivers\Cdralw2k.sys [2008-11-21 9464]
R1 NETDSL;AVM PPP over Ethernet; C:\WINDOWS\System32\DRIVERS\netdsl.sys [2004-04-28 11264]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\System32\drivers\sp_rsdrv2.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R1 StarOpen;StarOpen; C:\WINDOWS\System32\drivers\StarOpen.sys [2009-02-08 5632]
R2 aadev;AVM ADSL Adapter Device; C:\WINDOWS\System32\DRIVERS\aadev.sys [2004-04-28 27648]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2005-04-21 10624]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\System32\DRIVERS\mdc8021x.sys [2008-09-28 15781]
R3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\System32\DRIVERS\bridge.sys [2001-08-18 53376]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2004-08-31 26240]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NETFWDSL;AVM FRITZ!web DSL PPP; C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2004-04-28 374272]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2005-06-15 3200256]
R3 PDDSLADP;ProDyne DSL Adapter; C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2001-08-18 50688]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2001-08-18 18944]
R3 VIAudio;VIA AC'97 Enhanced Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2001-01-17 44852]
S3 aujasnkj;aujasnkj; \??\C:\DOKUME~1\Mr.~1\LOKALE~1\Temp\aujasnkj.sys []
S3 BRIDGE;MAC-Brücke; C:\WINDOWS\System32\DRIVERS\bridge.sys [2001-08-18 53376]
S3 catchme;catchme; \??\C:\DOKUME~1\Mr.~1\LOKALE~1\Temp\catchme.sys []
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\System32\DRIVERS\NMnt.sys [2001-08-18 37760]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2004-05-14 32896]
S3 nv4;nv4; C:\WINDOWS\System32\DRIVERS\nv4.sys [2001-08-17 731648]
S3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys []
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2001-08-17 23070]
S3 SE4501D;Gigaset USB Adapter 54 Driver; C:\WINDOWS\System32\DRIVERS\SE4501D.sys [2004-06-02 379232]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\System32\DRIVERS\sscdbus.sys [2005-12-22 80272]
S3 sscdmdfl;SAMSUNG CDMA Modem Filter; C:\WINDOWS\System32\DRIVERS\sscdmdfl.sys [2005-12-22 10864]
S3 sscdmdm;SAMSUNG CDMA Modem Drivers; C:\WINDOWS\System32\DRIVERS\sscdmdm.sys [2005-12-22 137884]
S3 tbhsd;Tunebite High-Speed Dubbing; C:\WINDOWS\system32\drivers\tbhsd.sys [2006-09-18 16640]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 21760]
S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-05 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2005-06-15 127043]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Programme\Spyware Terminator\sp_rsser.exe [2009-08-14 487424]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2004-08-10 38912]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2005-04-15 68096]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2004-04-28 196666]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe -d -f C:\Programme\WinPcap\rpcapd.ini []
S4 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2009-03-03 33176]
S4 gupdate1c9d009f64f6141;Google Update Service (gupdate1c9d009f64f6141); C:\Programme\Google\Update\GoogleUpdate.exe [2009-05-08 133104]
-----------------EOF-----------------
|
|
18.08.2009, 12:59
| #5 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Und Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600
18.08.2009 12:49:38
mbam-log-2009-08-18 (12-49-27).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 63037
Laufzeit: 9 minute(s), 58 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02dca195-602b-4b1f-83ff-381b7e804bdb} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{02dca195-602b-4b1f-83ff-381b7e804bdb} (Trojan.BHO.H) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{93d8df86-e6ba-4e56-8abb-5932afb7fdfe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ac24c0e3-5533-46e7-8fd7-ab2e2fa3d470}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{93d8df86-e6ba-4e56-8abb-5932afb7fdfe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ac24c0e3-5533-46e7-8fd7-ab2e2fa3d470}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{93d8df86-e6ba-4e56-8abb-5932afb7fdfe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ac24c0e3-5533-46e7-8fd7-ab2e2fa3d470}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\HDBHO.dll (Trojan.BHO.H) -> No action taken.
|
|
18.08.2009, 13:14
| #6 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Also, alleine der DNS Changer und dein absolut ungepatchtes Windows wuerde reichen, den Rechner neu aufsetzen zu lassen. Solltest du dies nicht wollen, mache Backups deiner wichtigsten Daten und nutze Combofix: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.
__________________ --> Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten |
|
18.08.2009, 20:05
| #7 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Arrrrghhh...  Ich glaube, ich werde das System neu aufsetzen. Da die Kiste ja auch schon so alt ist, wird der Rechner dann vllt. auch wieder ein bisschen schneller laufen. Vielen Dank für die Unterstützung! Gruß, Daniel |
|
18.08.2009, 20:20
| #8 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Das ist eine gute Entscheidung. Verabschiede dich dann auch gleich von Software wie Bittorrent und anderer Software aus unsicherer Quelle! Ueberlege 2 mal, ob du die Software wirklich brauchst, bevor du sie installierst!
__________________ MfG Ralf |
|
19.08.2009, 10:41
| #9 |
| | Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten Ja, aus Erfahrung lernt man. Bei diesen Tools kommt häufig auch nichts gutes mit... Nochmal Danke! |
|
| Themen zu Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten |
| ad aware, antimalware, antivir, ebay, entfernen, falsch, gesperrt, google, hijack, hijackthis, infiziert., internetverbindung, kaspersky, langsam, leitet, malware, malwarebytes, nicht möglich, nicht starten, personen, programme, scan, sehr langsam, seite, seiten, spybot, spyware, spyware terminator, starten, starten., system, verbindung |
Linear-Darstellung
