| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google leitet auf dubiose Seiten weiterWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.12.2009, 09:14
| #12 |
 |  Google leitet auf dubiose Seiten weiter Hallo cosinus, sry, dass es so lange gedauert hat. Hatte noch ne wichtige Prüfung an der Uni und über Weihnachten war ich weg. Habe ComboFix ausgeführt, wie du geschrieben hast. Hier die Logfile. ComboFix 09-12-27.02 - *** 28.12.2009 8:43.1.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.288 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk.dat c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_nav.dat c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_navps.dat c:\programme\Mozilla Firefox\searchplugins\search.xml c:\windows\system\oeminfo.ini c:\windows\system32\ewfoblkl.ini c:\windows\system32\foyiydtl.ini c:\windows\system32\gagjeftj.ini c:\windows\system32\gegmqdhr.ini c:\windows\system32\golhbdng.ini c:\windows\system32\iuekdxtb.ini c:\windows\system32\kjjisqto.ini c:\windows\system32\kRBJkUtv.ini c:\windows\system32\kRBJkUtv.ini2 c:\windows\system32\kxqnhjwc.ini c:\windows\system32\lbrwmqpm.ini c:\windows\system32\motoymrh.ini c:\windows\system32\nljvjwek.ini c:\windows\system32\odygflfn.ini c:\windows\system32\ohoyrljo.ini c:\windows\system32\opygwrql.ini c:\windows\system32\piaicagw.ini c:\windows\system32\psyjqjgm.ini c:\windows\system32\qlbkddpi.ini c:\windows\system32\rkofcmrm.ini c:\windows\system32\tilnhxcj.ini c:\windows\system32\tqhirske.ini c:\windows\system32\ycswmtig.ini . original MBR restored successfully ! . ((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 )))))))))))))))))))))))))))))) . 2009-12-21 05:23 . 2009-12-21 05:23 -------- d--h--w- c:\windows\$hf_mig$ 2009-12-20 16:13 . 2009-12-20 16:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-12-20 16:12 . 2009-12-20 16:12 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-12-20 16:12 . 2009-12-20 16:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2009-12-17 13:06 . 2009-12-17 13:06 -------- d-----w- c:\programme\trend micro 2009-12-17 13:06 . 2009-12-17 13:06 -------- d-----w- C:\rsit 2009-12-16 20:29 . 2009-12-16 20:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-16 20:28 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-16 20:28 . 2009-12-16 20:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-16 20:28 . 2009-12-16 20:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-16 20:28 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-16 20:02 . 2009-12-16 20:02 -------- d-----w- c:\programme\CCleaner 2009-12-16 19:22 . 2009-12-16 19:22 -------- d-----w- c:\programme\TrendMicro 2009-12-15 21:19 . 2001-08-17 12:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys 2009-12-15 21:19 . 2001-08-17 12:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys 2009-12-15 21:19 . 2001-08-17 12:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys 2009-12-15 21:18 . 2001-08-17 12:47 6272 ----a-w- c:\windows\system32\dllcache\apmbatt.sys 2009-12-15 21:18 . 2002-08-28 21:59 36224 ----a-w- c:\windows\system32\dllcache\an983.sys 2009-12-15 21:18 . 2001-08-17 12:52 12032 ----a-w- c:\windows\system32\dllcache\amsint.sys 2009-12-15 21:18 . 2001-08-17 12:51 5248 ----a-w- c:\windows\system32\dllcache\aliide.sys 2009-12-15 21:18 . 2001-08-17 11:11 16969 ----a-w- c:\windows\system32\dllcache\amb8002.sys 2009-12-15 21:18 . 2001-08-17 12:49 26624 ----a-w- c:\windows\system32\dllcache\alifir.sys 2009-12-15 21:18 . 2001-08-17 11:11 27678 ----a-w- c:\windows\system32\dllcache\ali5261.sys 2009-12-15 21:18 . 2001-08-17 13:07 56960 ----a-w- c:\windows\system32\dllcache\aic78xx.sys 2009-12-15 21:18 . 2001-08-17 13:07 55168 ----a-w- c:\windows\system32\dllcache\aic78u2.sys 2009-12-15 21:18 . 2001-08-17 12:52 12800 ----a-w- c:\windows\system32\dllcache\aha154x.sys 2009-12-15 21:14 . 2001-08-18 03:52 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll 2009-12-15 20:47 . 2009-12-15 20:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2009-12-15 20:47 . 2009-12-15 20:47 -------- d-----w- c:\programme\Security Task Manager 2009-12-15 20:45 . 2009-12-15 20:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-20 20:27 . 2009-12-20 16:14 52224 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll 2009-12-20 16:14 . 2009-12-20 16:14 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-12-16 19:22 . 2009-12-16 19:22 388096 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2009-12-15 20:48 . 2009-12-15 20:48 256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_9040580900063D11C8EF10054038389C.dll 2009-12-15 20:47 . 2009-12-15 20:47 1084 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109E60070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109C20070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 74 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109B10070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 180 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109A10070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 60 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109910070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 108 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109810070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 92 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109610070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 423 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109020090400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 107 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109510070400000000000F01FEC.dll 2009-12-15 20:47 . 2009-12-15 20:47 108 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109010070400000000000F01FEC.dll 2009-12-10 06:44 . 2002-11-21 09:59 85214 ----a-w- c:\windows\system32\perfc007.dat 2009-12-10 06:44 . 2002-11-21 09:59 460658 ----a-w- c:\windows\system32\perfh007.dat 2009-12-08 06:45 . 2009-05-15 16:54 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-04 22:06 . 2009-11-04 22:06 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2 2009-11-04 22:02 . 2009-11-04 22:02 -------- d-----w- c:\programme\Teamspeak2_RC2 2009-10-29 07:40 . 2002-08-29 11:00 916480 ----a-w- c:\windows\system32\wininet.dll 2009-10-24 08:29 . 2005-03-15 15:33 28256 ----a-w- c:\windows\system32\drivers\MxlW2k.sys 2009-10-22 05:05 . 2007-10-06 09:01 92968 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-21 05:38 . 2009-02-04 18:20 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2009-02-04 18:20 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2009-02-04 18:21 265728 ------w- c:\windows\system32\drivers\http.sys 2009-10-15 17:16 . 2009-10-15 17:16 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-10-13 10:32 . 2002-08-29 11:00 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2002-08-29 11:00 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2002-08-29 11:00 150528 ----a-w- c:\windows\system32\rastls.dll 2009-09-30 20:59 . 2009-09-30 20:59 152576 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll 2009-05-01 22:02 . 2009-05-01 22:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 22:02 . 2009-05-01 22:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672] "AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-28 1454080] "Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672] "SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-10-08 1783808] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2009-09-04 11:08 935288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-01-05 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] 2003-01-15 11:58 26112 ----a-w- c:\programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-07-25 04:23 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ACE Mega CoDecS Pack\\Media Player Classic\\mplayerc.exe"= "c:\\Programme\\ACE Mega CoDecS Pack\\UtilitieS\\WMDiag.exe"= "c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:Remote Desktop "19897:TCP"= 19897:TCP:BitComet 19897 TCP "19897:UDP"= 19897:UDP:BitComet 19897 UDP "65533:TCP"= 65533:TCP:Services "52344:TCP"= 52344:TCP:Services "8127:TCP"= 8127:TCP:Services "8112:TCP"= 8112:TCP:Services R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [08.10.2008 18:50 141312] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 17:54 108289] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.09.2008 17:17 265088] S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?] S1 sbpcint4;SB AudioPCI 128;c:\windows\system32\DRIVERS\sbpcint4.sys --> c:\windows\system32\DRIVERS\sbpcint4.sys [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [25.09.2008 17:17 4352] S3 FileObjInfo;STFileDriver;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys [08.10.2008 18:50 5632] S4 uscsc108;uscsc108;c:\windows\system32\DRIVERS\uscsc108.sys --> c:\windows\system32\DRIVERS\uscsc108.sys [?] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uSearchMigratedDefaultURL = hxxp://w*w.Google.com/ mSearchMigratedDefaultURL = hxxp://w*w.Google.com/ uInternet Settings,ProxyOverride = localhost mSearchURL = hxxp://w*w.Google.com/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-Croc - c:\programme\Fox\Croc\Uninst.isu ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net Rootkit scan 2009-12-28 08:52 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????I? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2188) c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\avmwlanstick\WlanNetService.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\programme\Spyware Terminator\sp_rsser.exe c:\windows\wanmpsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-12-28 08:58:09 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-28 07:58 Vor Suchlauf: 22 Verzeichnis(se), 25.313.017.856 Bytes frei Nach Suchlauf: 27 Verzeichnis(se), 25.355.976.704 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn - - End Of File - - CB7AEFA943F88DD7BEC75768697B803F Vielen Dank für die Geduld und die Unterstützung. Gruß engeltom Geändert von engeltom (28.12.2009 um 09:15 Uhr) Grund: Name leider nicht verdeckt |
| Themen zu Google leitet auf dubiose Seiten weiter |
| acroiehelper.dll, adobe, antivir, antivir guard, aufrufe, avira, bho, browseui preloader, desktop, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, hängt, internet, internet explorer, monitor, mozilla, plug-in, problem, seiten, software, spyware, spyware terminator, stick, system, werbung, windows, windows xp |
Baum-Darstellung