Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Google redirect -> rootkit?

Google redirect -> rootkit?


Log-Analyse und Auswertung: Google redirect -> rootkit?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.12.2009, 17:46   #1
Dosenfisch
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


hi,
also virustotal ergab einen treffer von mc afee:

McAfee-GW-Edition 6.8.5 2009.12.06 Heuristic.LooksLike.Win32.NewMalware.H

sonst nichts, dennoch hier das komplette logfile:

Code:
ATTFilter
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.43 	2009.12.06 	-
AhnLab-V3 	5.0.0.2 	2009.12.06 	-
AntiVir 	7.9.1.92 	2009.12.06 	-
Antiy-AVL 	2.0.3.7 	2009.12.04 	-
Authentium 	5.2.0.5 	2009.12.02 	-
Avast 	4.8.1351.0 	2009.12.06 	-
AVG 	8.5.0.426 	2009.12.06 	-
BitDefender 	7.2 	2009.12.06 	-
CAT-QuickHeal 	10.00 	2009.12.05 	-
ClamAV 	0.94.1 	2009.12.06 	-
Comodo 	3103 	2009.12.01 	-
DrWeb 	5.0.0.12182 	2009.12.06 	-
eSafe 	7.0.17.0 	2009.12.06 	-
eTrust-Vet 	35.1.7159 	2009.12.04 	-
F-Prot 	4.5.1.85 	2009.12.06 	-
F-Secure 	9.0.15370.0 	2009.12.03 	-
Fortinet 	4.0.14.0 	2009.12.06 	-
GData 	19 	2009.12.06 	-
Ikarus 	T3.1.1.74.0 	2009.12.06 	-
Jiangmin 	13.0.900 	2009.12.02 	-
K7AntiVirus 	7.10.912 	2009.12.05 	-
Kaspersky 	7.0.0.125 	2009.12.06 	-
McAfee 	5824 	2009.12.06 	-
McAfee+Artemis 	5824 	2009.12.06 	-
McAfee-GW-Edition 	6.8.5 	2009.12.06 	Heuristic.LooksLike.Win32.NewMalware.H
Microsoft 	1.5302 	2009.12.06 	-
NOD32 	4665 	2009.12.06 	-
Norman 	6.03.02 	2009.12.05 	-
nProtect 	2009.1.8.0 	2009.12.06 	-
Panda 	10.0.2.2 	2009.12.06 	-
PCTools 	7.0.3.5 	2009.12.06 	-
Prevx 	3.0 	2009.12.06 	-
Rising 	22.24.06.04 	2009.12.06 	-
Sophos 	4.48.0 	2009.12.06 	-
Sunbelt 	3.2.1858.2 	2009.12.06 	-
Symantec 	1.4.4.12 	2009.12.06 	-
TheHacker 	6.5.0.2.086 	2009.12.05 	-
TrendMicro 	9.100.0.1001 	2009.12.06 	-
VBA32 	3.12.12.0 	2009.12.03 	-
ViRobot 	2009.12.4.2072 	2009.12.04 	-
VirusBuster 	5.0.21.0 	2009.12.06 	-
weitere Informationen
File size: 21584 bytes
MD5   : 338c86357871c167a96ab976519bf59e
SHA1  : e99e20970139fb1e67bbc54fa8a61c18a4fce36e
SHA256: f28cc534523d1701b0552f5d7e18e88369c4218bdb1f69110c3e31d395884ad6
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x603E
timedatestamp.....: 0x4A5BBF13 (Tue Jul 14 01:11:15 2009)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2472 0x2600 6.22 9b9f242740c0a1c2494b23ae50935e6d
.rdata 0x4000 0xAE 0x200 1.54 1833a5650ae0f8256ba78bf8ed79d6e1
.data 0x5000 0xC 0x200 0.18 7c80b151582aa6280e754b477343e54e
INIT 0x6000 0x38C 0x400 4.66 392ce67c807da67e018ad9cf892fde4c
.rsrc 0x7000 0x3F0 0x400 3.41 ecb60c1c006d2813169c8bcfe271a200
.reloc 0x8000 0xD2 0x200 2.47 035f51da8bf9893e51952ac185994f14

( 2 imports )

> ataport.sys: AtaPortNotification, AtaPortQuerySystemTime, AtaPortReadPortUchar, AtaPortStallExecution, AtaPortWritePortUchar, AtaPortWritePortUlong, AtaPortGetPhysicalAddress, AtaPortConvertPhysicalAddressToUlong, AtaPortGetScatterGatherList, AtaPortGetParentBusType, AtaPortRequestCallback, AtaPortWritePortBufferUshort, AtaPortGetUnCachedExtension, AtaPortCompleteRequest, AtaPortCopyMemory, AtaPortEtwTraceLog, AtaPortCompleteAllActiveRequests, AtaPortReleaseRequestSenseIrb, AtaPortBuildRequestSenseIrb, AtaPortReadPortBufferUshort, AtaPortInitialize, AtaPortGetDeviceBase, AtaPortDeviceStateChange
> ntoskrnl.exe: KeTickCount

( 0 exports )
TrID  : File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 384:SN+KUt2BtUXbyTHoCtGRZjNVAsRMNSChq3BLWErUwW9Qu5VpBjbOjBMmhyMD:adUtytUXbyTICtGjNMNbcxHJudkMmwMD
PEiD  : -
RDS   : NSRL Reference Data Set
-
dr.web lass ich morgen früh drüber laufen, dann werd ich mich wieder melden.
danke!

Alt 08.12.2009, 18:26   #2
Chris4You
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


Hi,

könnte auch Fehlalarm sein, obwohl das Ding nach GMER schon so einiges "tut"...
Poste das Log von Dr. Web morgen, nicht zu lange im INet bleiben, wenn noch ein TrojanDownloader drauf sein sollte, wird die Kiste immer weiter verseucht...

chris
__________________

__________________
Alt 09.12.2009, 13:35   #3
Dosenfisch
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


ein paar funde, aber das meißte von spybot und nem bot ordner, beides halte ich für sauber. der letzte eintrag ist etwas merkwürdig (mirc). eintrag 4-8 sagt mir auch nichts.
es kam auch eine benachrichtigung, irgendwas mit einer hosts datei, dumm wie ich bin, hab ichs mir natürlich nich gemerkt bzw. wieder vergessen...
er sagte sie sei korrupt, dann konnte ich die orginal datei wiederherstellen lassen, was ich auch getan habe, die alte ist nun im quarantaine verzeichnis.
hier die log von dr. web:

Code:
ATTFilter
regLocal.reg;C:\Documents and Settings\All Users\Anwendungsdaten\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Documents and Settings\All Users\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
3440aba-19707a7b\myf/y/AppletX.class;C:\Documents and Settings\Jonas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\3440aba-19707a7b;Exploit.CVE2008.5353;;
3440aba-19707a7b\myf/y/LoaderX.class;C:\Documents and Settings\Jonas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\3440aba-19707a7b;Exploit.CVE2008.5353;;
3440aba-19707a7b\myf/y/PayloadX.class;C:\Documents and Settings\Jonas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\3440aba-19707a7b;Exploit.CVE2008.5353;;
3440aba-19707a7b;C:\Documents and Settings\Jonas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58;Archiv enthält infizierte Objekte;Verschoben.;
Process.exe;C:\Documents and Settings\Jonas\Desktop\Neuer Ordner\Kopie von vh_clan nila all keys\Bot\Config\System;Tool.Prockill;;
3440aba-19707a7b\myf/y/AppletX.class;C:\Documents and Settings\Jonas\DoctorWeb\Quarantine\3440aba-19707a7b;Exploit.CVE2008.5353;;
3440aba-19707a7b\myf/y/LoaderX.class;C:\Documents and Settings\Jonas\DoctorWeb\Quarantine\3440aba-19707a7b;Exploit.CVE2008.5353;;
3440aba-19707a7b\myf/y/PayloadX.class;C:\Documents and Settings\Jonas\DoctorWeb\Quarantine\3440aba-19707a7b;Exploit.CVE2008.5353;;
3440aba-19707a7b;C:\Documents and Settings\Jonas\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
regLocal.reg;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Dokumente und Einstellungen\All Users\Application Data\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Dokumente und Einstellungen\All Users\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
Process.exe;C:\Dokumente und Einstellungen\Jonas\Desktop\Neuer Ordner\Kopie von vh_clan nila all keys\Bot\Config\System;Tool.Prockill;;
3440aba-19707a70\myf/y/AppletX.class;C:\Dokumente und Einstellungen\Jonas\DoctorWeb\Quarantine\3440aba-19707a70;Exploit.CVE2008.5353;;
3440aba-19707a70\myf/y/LoaderX.class;C:\Dokumente und Einstellungen\Jonas\DoctorWeb\Quarantine\3440aba-19707a70;Exploit.CVE2008.5353;;
3440aba-19707a70\myf/y/PayloadX.class;C:\Dokumente und Einstellungen\Jonas\DoctorWeb\Quarantine\3440aba-19707a70;Exploit.CVE2008.5353;;
3440aba-19707a70;C:\Dokumente und Einstellungen\Jonas\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
regLocal.reg;C:\ProgramData\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Users\All Users\Anwendungsdaten\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Users\All Users\Application Data\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
regLocal.reg;C:\Users\All Users\Spybot - Search & Destroy\Backups;Wahrscheinlich SCRIPT.Virus;;
Process.exe;C:\Users\Jonas\Desktop\Neuer Ordner\Kopie von vh_clan nila all keys\Bot\Config\System;Tool.Prockill;;
mirc.exe;K:\C\Programme\mIRC;Program.mIRC.623;;
__________________
Alt 09.12.2009, 13:46   #4
Chris4You
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


Hi,

deinstalliere folgende Anwendunge:
- Alcohol
- daemon-Tools

danach noch mal bitte ein GMER-Log neu erstellen (Rootkitscann)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.12.2009, 16:45   #5
Dosenfisch
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


also deamontools hab ich deinstalliert aber alcohol hat weder einen eintrag in der systemsteuerung noch im startmenu.
könnte das der übeltäter sein?


Alt 09.12.2009, 17:04   #6
Chris4You
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


Hi,

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

Ist nicht richtig deinstalliert, daher:
http://www.trojaner-board.de/51464-a...-ccleaner.html
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.

Danach bitte noch ein neues GMER-Log (Rootkitscann)...

chris
__________________
--> Google redirect -> rootkit?

Alt 09.12.2009, 18:00   #7
Dosenfisch
 
Google redirect -> rootkit? - Standard

Google redirect -> rootkit?


also CCleaner hab ich wieder machen lassen, soweit so gut. gmer hat allerdings probleme bereitet. ist immer gecrasht bei folgender datei. device\harddisc\VolumeSahdowCopy1
wenn ich versuche GMER danach wieder zu starten bekomme ich einen bluescreen und mein rechner startet neu...

Antwort

Themen zu Google redirect -> rootkit?
adobe, avg, avg security toolbar, bho, browser, dll, downloader, explorer, firefox, firewall, google, hijack, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, nvidia, plug-in, realtek, rootkit, rootkit?, rundll, security, seiten, senden, software, system, windows


« Verdacht auf Viren | Windows Live Messenger Probleme »


Ähnliche Themen: Google redirect -> rootkit?


  1. Google Redirect - Malware - Google leitet falsch um
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (21)
  2. Google Redirect
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (27)
  3. Google redirect?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (14)
  4. Redirect Google
    Log-Analyse und Auswertung - 05.11.2012 (27)
  5. Redirect auf Google, GMER hat Rootkit-Aktivität festgestellt
    Log-Analyse und Auswertung - 22.10.2012 (19)
  6. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  7. Google Redirect Virus bzw. Google Hijack + PC Langsam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (2)
  8. Google Redirect
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (3)
  9. 95p.com und Mediashifting.com Redirect Rootkit/Backdoor
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (29)
  10. google redirect ?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (26)
  11. Google redirect
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (13)
  12. Google Redirect
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (13)
  13. Google Redirect / Umleitung bei jeder Suche - Rootkit?
    Log-Analyse und Auswertung - 18.01.2010 (4)
  14. Google Redirect...
    Log-Analyse und Auswertung - 14.06.2009 (20)
  15. Redirect von Google
    Log-Analyse und Auswertung - 18.03.2009 (0)
  16. Google redirect
    Log-Analyse und Auswertung - 12.01.2009 (0)
  17. Redirect von Google
    Plagegeister aller Art und deren Bekämpfung - 14.04.2006 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Google redirect -> rootkit? - hi, also virustotal ergab einen treffer von mc afee: McAfee-GW-Edition 6.8.5 2009.12.06 Heuristic.LooksLike.Win32.NewMalware.H sonst nichts, dennoch hier das komplette logfile: Code: Alles auswählen Aufklappen ATTFilter Antivirus Version letzte aktualisierung Ergebnis - Google redirect -> rootkit?...
Archiv
Du betrachtest: Google redirect -> rootkit? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131