Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Googleergebnisse auf windowsclick umgeleitet

Googleergebnisse auf windowsclick umgeleitet


Plagegeister aller Art und deren Bekämpfung: Googleergebnisse auf windowsclick umgeleitet

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.08.2009, 17:43   #1
wgh52
 
Googleergebnisse auf windowsclick umgeleitet - Standard

Googleergebnisse auf windowsclick umgeleitet


Hallo Trojanerjäger,

ich habe exakt das gleiche Problem wie JayJayS hier hatte:
http://www.trojaner-board.de/70996-s...tml#post458505

Ein netter Mitforist hat mir geraten einen neuen Thread aufzumachen.

Mein Problem besteht seit heute vormittag, wobei Spybot mich nicht gewarnt hat, ich aber Systeminstabilitäten verzeichne. Und es scheinen Dateien beschädigt zu sein, denn ich werde aufgefordert CHKDSK laufen zu lassen, das funktioniert aber auch nicht so richtig. Mein altes Outlook macht auch Mucken. Erstmal habe ich alle meine Daten in Eigene Dateien auf eine andere (USB-)Platte gerettet, diese dann abgetrennt.

Dann stiess ich auf obigen Thread und las ihn und habe bis gezeigten Schritte von Anfang bis Post 14 gemacht und entsprechende GMER.txt und Avenger.txt Dateien aufgehoben, die wohl Zeigen können wo wir stehen.

Jetzt traue mich wegen der Warnungen zu Combofix ohne Anleitung nicht weiter. Also bitte ich um Hilfe!

Wie gehe ich vor?

Vielen Dank für Eure Hilfe!!

Gruss,
Winfried


Zitat:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-08-22 17:02:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code 862DFC10 ZwEnumerateKey
Code 862DFDF8 ZwFlushInstructionCache
Code 862DAAF6 IofCallDriver
Code 862DA1DE IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 862DAAFB
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 862DA1E3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 862DFDFC
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 862DFC14

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 412D1F8F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 412D1F10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 412D1F54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 412D1E9C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 412D1ED6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 412D1FCA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 411817EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 412D218C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 100129A0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!connect 71A14A07 5 Bytes JMP 100127E0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!send 71A14C27 5 Bytes JMP 100127C0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3928] WS2_32.dll!recv 71A1676F 5 Bytes JMP 100127A0 \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [324] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1044] 0x02D40000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1136] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1240] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1344] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1452] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2268] 0x10000000
Library \\?\globalroot\systemroot\system32\UACsvulrtvogr.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [3928] 0x10000000

---- EOF - GMER 1.0.14 ----
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "UACd.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\UACgmhjovph.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\UACgmhjovph.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACneiknnkb.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACneiknnkb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACydsdcmrm.dat" not found!
Deletion of file "C:\WINDOWS\system32\UACydsdcmrm.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACegeifhxy.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACegeifhxy.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACypgrfjml.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACypgrfjml.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACvhsbyagl.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACvhsbyagl.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UAChlmegkqc.db" not found!
Deletion of file "C:\WINDOWS\system32\UAChlmegkqc.db" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACdlstridw.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACdlstridw.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACmehptlax.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACmehptlax.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACdphargvm.log" not found!
Deletion of file "C:\WINDOWS\system32\UACdphargvm.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACtxybmgve.log" not found!
Deletion of file "C:\WINDOWS\system32\UACtxybmgve.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACbnbhjqoi.log" not found!
Deletion of file "C:\WINDOWS\system32\UACbnbhjqoi.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Zitat:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-08-22 17:14:43
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code 86370608 ZwEnumerateKey
Code 862CC190 ZwFlushInstructionCache
Code 863EDE56 IofCallDriver
Code 863EC4C6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 863EDE5B
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 863EC4CB
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 862CC194
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 8637060C
? system32\drivers\njdxtta.sys Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\UACwecfgwyvvw.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1048] 0x02D80000

---- EOF - GMER 1.0.14 ----

Alt 22.08.2009, 18:04   #2
john.doe
 
Googleergebnisse auf windowsclick umgeleitet - Standard

Googleergebnisse auf windowsclick umgeleitet


Hallo und

Du hast die alte Gmerversion benutzt. Deinstalliere die zuerst:

Start => Ausführen => c:\windows\gmer_uninstall.cmd => OK

Lade dir das neue Gmer, poste das Log und benutze nie wieder Skripte, die für genau einen User bestimmt sind.

ciao, andreas
__________________

__________________
Alt 22.08.2009, 19:10   #3
wgh52
 
Googleergebnisse auf windowsclick umgeleitet - Icon17

Googleergebnisse auf windowsclick umgeleitet


Danke für das Willkommen! Da keimt Hoffnung auf!

Also, ich habe das alte GMER nach Anleitung deinstalliert, das neue vom Link geladen, dann laufen lassen und verlies den PC für ein paar Minuten, weil der vollständige Scan (nach dem ich gefragt wurde) eine ganze Weile zu brauchen schien. Der Scan lieferte auch rot markierte Ergebnisse, ich wollte den PC in Ruhe lassen bis der Scan fertig ist....

Ich weiss nicht was passiert ist, aber als ich zurückkam, führte der PC CHKDSK aus und war bei Schritt 4 von 5, hatte mehrere "vewaiste Dateien" wiederhergestellt usw. Momentan schreibe ich von einem anderen PC aus, denn CHKDSK läuft immernoch und untersucht Dateien...

Ich hoffe nur dass das OK ist und nicht schlecht... Verwirrung...

Gruss,
Winfried
__________________
Alt 22.08.2009, 19:42   #4
john.doe
 
Googleergebnisse auf windowsclick umgeleitet - Standard

Googleergebnisse auf windowsclick umgeleitet


Was du da hast ist die Pest. Ich möchte dir nichts vormachen. Ich empfehle dir auf jeden Fall die schnelle und sichere Alternative => http://www.trojaner-board.de/51262-a...sicherung.html.

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 22.08.2009, 20:40   #5
wgh52
 
Googleergebnisse auf windowsclick umgeleitet - Standard

Googleergebnisse auf windowsclick umgeleitet


Danke für die "Pest". Na ja, schaun wir mal was geht...

Nachdem CHKDSK fertig war und das System gebootet, fand Avira Antivir

TR/Alureon.BF.2
und
TR/Patched.HB.3

-> Zugriff jeweils verweigert

Ich habe CCleaner nach Anleitung laufen lassen und währenddessen tauchten beide Trojaner wieder auf, ich habe "löschen" angegeben.

Dann habe ich Cofi.exe nach Anleitung laufen lassen. Antivir konnte ich leider nicht ganz ausschalten nur AV-Guard abschalten... Cofi lief wohl normal, Restorepoint wurde angelegt, und die Scans liefen durch.

Beim Anlegen des Logs meldete sich Avira wieder mit den o.g. TRs ich habe wieder "löschen" gewählt. Während des laufes ist ein anderes hintergrundbild geladen worden (dieser Felsbogen); ist das OK?

Inhalt der Log.txt kommt gleich...

Gruss,
Winfried


Alt 22.08.2009, 20:45   #6
john.doe
 
Googleergebnisse auf windowsclick umgeleitet - Standard

Googleergebnisse auf windowsclick umgeleitet


Zitat:
ist das OK?
Ja, ComboFix stellt viele Einstellungen, die von Schädlingen geändert wurden, wieder auf Windows-Standard zurück. Besonders gründlich ändert er alle Verbindungseinstellungen, deshalb kann es vorkommen, das du nach ComboFix deine Netzwerkeinstellungen reparieren musst.

ciao, andreas
__________________
--> Googleergebnisse auf windowsclick umgeleitet

Alt 22.08.2009, 20:46   #7
wgh52
 
Googleergebnisse auf windowsclick umgeleitet - Standard

Googleergebnisse auf windowsclick umgeleitet


Hier der gerade erstelle CombiFix Log:

Antwort

Themen zu Googleergebnisse auf windowsclick umgeleitet
.dll, 0xc0000034, anfang, chkdsk, combofix, dateien, dateien beschädigt, explorer, failed, funktioniert, ics, ieframe.dll, iexplore.exe, internet, internet explorer, kb.dll, logfile, neue, object, problem, programme, registry, registry key, rootkits, scan, services, spybot, svchost.exe, system32, umgeleitet


« Windowsclick.com Trojaner hat meinen PC befallen | braviax.exe geht nicht weg ;-( »


Ähnliche Themen: Googleergebnisse auf windowsclick umgeleitet


  1. Bluescreen mit Fehlermeldung , verwirrt durch andere Googleergebnisse
    Plagegeister aller Art und deren Bekämpfung - 02.01.2014 (5)
  2. Googleergebnisse funktionieren nicht! Und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 04.11.2013 (9)
  3. Brauche Hilfe bei TR/Dropper.gen + windowsclick (google links funktionieren nicht)
    Plagegeister aller Art und deren Bekämpfung - 17.02.2010 (21)
  4. Googleergebnisse werden falsch weitergeleitet
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  5. Umleitung auf windowsclick.com , Programme funktionieren nicht etc.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2009 (31)
  6. Windowsclick.com Trojaner auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 25.08.2009 (7)
  7. Windowsclick.com Trojaner hat meinen PC befallen
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (26)
  8. Suchmaschinen leiten auf windowsclick...
    Plagegeister aller Art und deren Bekämpfung - 22.08.2009 (42)
  9. Windowsclick/pc friert ein
    Plagegeister aller Art und deren Bekämpfung - 20.08.2009 (1)
  10. Googleergebnisse werden umgeleitet - Hijackthis funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 12.07.2009 (18)
  11. Google leitet immmer auf windowsclick.com / Trojaner TR/FakeAV.IA
    Plagegeister aller Art und deren Bekämpfung - 28.03.2009 (1)
  12. Google leite auf windowsclick weiter, Pc unendlich langsam
    Plagegeister aller Art und deren Bekämpfung - 22.03.2009 (8)
  13. "windowsclick" - iexplorer, firefox, google spinnen
    Plagegeister aller Art und deren Bekämpfung - 14.03.2009 (3)
  14. Google leitet IMMER auf windowsclick.com. Programme lassen sich teils nicht install.
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (6)
  15. url wird umgeleitet
    Log-Analyse und Auswertung - 20.11.2008 (0)
  16. Googleergebnisse führen werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (2)
  17. Internet umgeleitet???
    Log-Analyse und Auswertung - 05.11.2007 (17)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Googleergebnisse auf windowsclick umgeleitet - Hallo Trojanerjäger, ich habe exakt das gleiche Problem wie JayJayS hier hatte: http://www.trojaner-board.de/70996-s...tml#post458505 Ein netter Mitforist hat mir geraten einen neuen Thread aufzumachen. Mein Problem besteht seit heute vormittag, wobei - Googleergebnisse auf windowsclick umgeleitet...
Archiv
Du betrachtest: Googleergebnisse auf windowsclick umgeleitet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55