Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


Plagegeister aller Art und deren Bekämpfung: Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.02.2010, 21:47   #1
Blackbird71
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


Hi,

ich hatte vor ca. 3 Wochen eine Schadsoftware auf meinem Laptop die direkt erstmal das Sicherheitscenter deaktiviert hat und auch sonst ziemlich hartnäckig war. Habe diese dann jedoch mit einigen Tools entfernen können. Im Nachhinein ist mir dann aufgefallen das folgende Fehler im Internetexplorer auftraten:
  • Popups öffnen ständig
  • Links führen zum Teil zu anderen Seiten
  • Wenn man in Google eine Seite öffnet und dann das Zurück Button betätigt wird Google mit einem falschen Zeichensatz angezeigt

Kann leider nicht mehr sagen was es für ein Virus war.

Habe bereits alles mögliche versucht inklusive Neuinstallation des IE, wobei ich glaube das es nicht nur auf IE beschränkt ist, und es hat zu nichts geführt.

Anbei mal der HijackThis Log in der Hoffnung das jemand weiter weis, schonmal danke.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:58, on 11.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bing.com/?FORM=Z9FD1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PSPR Control Service (PSPRSERV) - Unknown owner - D:\PC\KCAH\Elcomsoft_Password_Recovery_Bundle_2007\Elcomsoft Password Recovery Bundle 2007\PSPR v5.0.0.613\psprserv.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

--
End of file - 6622 bytes

Alt 12.02.2010, 09:12   #2
Kiyoshi
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


Name des Befalls sowie des Tools würde uns weiterhelfen.

Ansonsten noch folgendes nacheinander aufsühren
http://www.trojaner-board.de/51464-a...-ccleaner.html
und
http://www.trojaner-board.de/51187-a...i-malware.html

Poste bitte das Logfile von Malwarebytes hier hinein.

Bin auf der Arbeit, melde mich heute Nachmittag wieder!
__________________
Alt 12.02.2010, 09:57   #3
Blackbird71
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


Name des Befalls weis ich leider nicht, ansonsten CCleaner schon verwendet, Malwarebytes, F-Secure Blacklight, Spybot und Combofix, das läuft jedoch nicht zu ende sondern lässt irgendwann den pc abstürzen.

Das war der letzte Scan mit mbam:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3701
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18882

10.02.2010 20:13:17
mbam-log-2010-02-10 (20-13-17).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 132413
Laufzeit: 5 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________
Alt 12.02.2010, 11:04   #4
Kiyoshi
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


Hey,
mit Malwarebytes bitte einen komplett Scan ausführen! Wie in der Anleitung (http://www.trojaner-board.de/51187-a...i-malware.html) beschrieben.

Bitte beachte das Combofix nicht für den alltäglichen Gebrauch sein sollte & nicht von unerfahrenen Personen angewendet sollte!
Geändert von Kiyoshi (12.02.2010 um 11:13 Uhr)

Alt 13.02.2010, 22:58   #5
Blackbird71
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


So, bin erst heute Abend dazu gekommen Anti-Malware laufen zu lassen, hier die Logdatei:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3701
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

13.02.2010 22:55:23
mbam-log-2010-02-13 (22-55-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 795313
Laufzeit: 5 hour(s), 31 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\FS\Xtreme\DVD\2. DVD\Gauges\s3_stal_warn_lamp.gau (Trojan.Agent) -> No action taken.
D:\PC\Software\Tools\setupxv.exe (Rogue.Installer) -> No action taken.
D:\PC\Internet\Cryptload_1.1.8\cl1.1.8\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
D:\PC\Internet\Cryptload_1.1.8\cl1.1.8\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
D:\DL\Nutzy\CryptLoad_1.0.5\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
D:\DL\Nutzy\CryptLoad_1.0.5\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.


Alt 16.02.2010, 13:40   #6
Blackbird71
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


Keiner der noch eine Idee hat?
Übrigens mein Laptop hat im internet ein neues Sicherheitsupdate gefunden und installiert und ist danach dann nicht mehr hochgefahren sondern hat beim Beginn des Windows Bootvorgangs einen Bluescreen gezeigt. Es wurde aber kein bestimmter Fehler angegeben. Erst nach einer Systemwiederherstellung lief Windows wieder. Nachdem ich Windows wieder am laufen hatte wollte ich erstmal das automatische Updaten und Installieren deaktivieren bis ich das Problem gelöst hab und dabei ist mir aufgefallen das der Windows-Defender deaktiviert ist und sich nicht wieder aktivieren lässt.

Alt 17.02.2010, 16:28   #7
Blackbird71
 
Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Standard

Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


So, ich habe jetzt mal noch mit GMER gescanned, jedoch ohne Dateiscan da mir das Programm heute nacht nach bestimmt 10 Stunden Scannen mit einem Bluescreen den Dienst quittiert hat. Beim erneuten Scannen ist das Programm teilweise direkt abgestürzt oder es gab wieder Bluescreens. Das kam jedoch dabei raus und scheint ja meine Vermutung einer infizierten atapi zu bestätigen:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-17 15:58:18
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\***\AppData\Local\Temp\uwlyqpoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x83529000]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdiplusShutdown] [74367817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCloneImage] [743BA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDrawImageRectI] [7436BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipSetInterpolationMode] [7435F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdiplusStartup] [743675E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateFromHDC] [7435E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74398395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateBitmapFromStream] [7436DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipGetImageHeight] [7435FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipGetImageWidth] [7435FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDisposeImage] [743571CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipLoadImageFromFileICM] [743ECAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipLoadImageFromFile] [7438C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDeleteGraphics] [7435D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipFree] [74356853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipAlloc] [7435687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.exe[300] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipSetCompositingMode] [74362AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74367817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [743BA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7436BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7435F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [743675E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7435E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74398395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [7436DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [7435FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [7435FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [743571CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [743ECAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [7438C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7435D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74356853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [7435687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1324] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74362AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 VMkbd.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\atapi \Device\Ide\IdePort0 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\atapi \Device\Ide\IdePort1 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\atapi \Device\Ide\IdePort2 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\atapi \Device\Ide\IdePort3 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-6 [835259B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5E 0x69 0x8B 0x5C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x15 0x89 0x13 0xCE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x42 0xD1 0x44 0x41 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x05 0x43 0x46 0x74 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x25 0x95 0x05 0x52 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x25 0x95 0x05 0x52 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x25 0x95 0x05 0x52 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5E 0x69 0x8B 0x5C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x15 0x89 0x13 0xCE ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x42 0xD1 0x44 0x41 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x05 0x43 0x46 0x74 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x25 0x95 0x05 0x52 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x25 0x95 0x05 0x52 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x25 0x95 0x05 0x52 ...

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----



Ich hoffe mal das mir jetzt evtl. irgendjemand weiterhelfen kann!?

Antwort

Themen zu Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz
adobe, bho, defender, dll, download, entfernen, explorer, fehler, google, hijack, hijackthis, hijackthis log, internet explorer, internetexplorer, launch, log, log in, nvidia, object, pdf, popup, popups, rundll, symantec, system, virus, vista, weiterleitung, weiterleitungen, windows, wmp, zeichensatz, öffnet


« Computer stürzt alle 10-14 Minuten ab | echtes Problem und keiner weiß weiter! USB-Virus? »


Ähnliche Themen: Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz


  1. Windows 7 Webseiten mit Werbefenstern / Popups
    Plagegeister aller Art und deren Bekämpfung - 14.09.2015 (25)
  2. Trotz allgemeiner Handlungsschritte immer noch Werbung, PopUps und Weiterleitungen
    Log-Analyse und Auswertung - 09.09.2015 (14)
  3. Windows 7: Popups, unerwünschte Seiten, unerwünschte Weiterleitungen bei Internetnutzung
    Log-Analyse und Auswertung - 11.04.2014 (13)
  4. windows 7 - programme schließen nicht, surfen unmöglich wegen ständigen Popups und Weiterleitungen, lange Ladezeiten der Programme -Virus?
    Plagegeister aller Art und deren Bekämpfung - 22.12.2013 (9)
  5. Windows 7: Webseiten werden auf andere Seiten umgeleitet.
    Plagegeister aller Art und deren Bekämpfung - 05.10.2013 (23)
  6. Windows 7: Umleiten auf andere Webseiten
    Log-Analyse und Auswertung - 10.09.2013 (9)
  7. Chitka Popups/ falsche Weiterleitungen
    Log-Analyse und Auswertung - 16.04.2013 (9)
  8. Öffnen falscher Webseiten nach Klicken auf einen Link
    Log-Analyse und Auswertung - 28.03.2013 (44)
  9. Firefox leitet auf andere Webseiten um
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (48)
  10. ad.yieldmanager.com - lästige, sporadische werbe popups + weiterleitung auf falsche webseiten
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (23)
  11. Weiterleitungen und ,,Recommended for you"-Popups
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (3)
  12. Google leitet mich auf andere Webseiten um.
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (2)
  13. Google leitet auf andere webseiten um
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (43)
  14. Hijacker - Weiterleitung auf andere Webseiten hört nicht auf
    Log-Analyse und Auswertung - 26.02.2011 (3)
  15. Komme von buch.de nicht mehr auf andere Webseiten
    Log-Analyse und Auswertung - 16.03.2010 (22)
  16. Weiterleitungen und Popups Im IE
    Log-Analyse und Auswertung - 18.02.2009 (3)
  17. ad.firstsolution popups +andere Popups+ langsamer seitenaufbau
    Log-Analyse und Auswertung - 28.11.2006 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz - Hi, ich hatte vor ca. 3 Wochen eine Schadsoftware auf meinem Laptop die direkt erstmal das Sicherheitscenter deaktiviert hat und auch sonst ziemlich hartnäckig war. Habe diese dann jedoch mit - Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz...
Archiv
Du betrachtest: Popups, Weiterleitungen auf andere Webseiten, falscher Zeichensatz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131