| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ungewollte Umleitung auf seltsame Internetseiten bei Google SuchtreffernWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.10.2010, 19:21
| #1 |
 |  Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Hallo an alle  folgendes Problem habe ich seit heute: Wenn ich Suchtreffer von Google anklicke gelange ich nicht auf die zu erwartende Seite, sondern werde auf seltsame - oft mit Werbung zugemüllte Seiten - umgeleitet. Häufig auch mit kryptische Schriftzeichen gefüllt. Dieses Problem ist übrigens gleichzeitig mit dem erscheinen der Rogue-Malware "Microsoft Security Essentials Alert" aufgetreten, die ich aber zum Glück durch eine Anleitung im FAQ entfernen konnte (Das Problem ist nicht mehr aufgetreten, und Scans mit MBAM haben nichts mehr angezeigt). Da ich nicht weiß ob da ein zusammenhang zwischen meinem vorherigen Problem und dem derzeitigen (Google-Problem) besteht, wollte ich das euch mal mitteilen. Ich habe verschiedene Scans durchgeführt: - Mbm Log als ich dabei war die Microsoft Security Essentials Alert- Malware zu beseitigen (Ich habe alle dort gezeigten Dateien gelöscht, wenn ich jetzt scanne zeigt er 0 Treffer an). - Hijackthis Log (Nach dem entfernen der Rogue-Malware durchgeführt). - OTL Log (Ebenfalls erst nach dem entfernen meines ersten Problems durchgeführt). Datein als Zip im Anhang, hoffe das geht so ok. Hoffe ihr könnt was damit anfangen denn ich kanns nicht Danke im Vorraus Mfg Rudi |
|
01.10.2010, 19:44
| #2 |
| /// Malware-holic   | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern • Starte bitte die OTL.exe.
__________________• Kopiere nun das Folgende in die Textbox. :OTL MOD - C:\WINDOWS\system32\drwatmac.dll () O36 - AppCertDlls: asr_tupn - (C:\WINDOWS\system32\drwatmac.dll) - C:\WINDOWS\system32\drwatmac.dll () :FILES C:\WINDOWS\system32\drwatmac.dll :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne den arbeitsplatz, dort bitte c: dann einen rechtsklick auf _OTL und wähle zu _OTL.rar oder zip hinzufügen. dieses archiv lädst du in unseren upload channel. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html machst du online banking oder ähnliches? |
|
01.10.2010, 20:39
| #3 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Hi und danke schomal für die Antwort
__________________Ich habe die Datei hochgeladen. Onlinebanking mache ich übrigens nicht an dem PC. |
|
01.10.2010, 20:47
| #4 |
| /// Malware-holic | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern hmm ich sehe kein upload, evtl noch mal versuchen. da sollte dann stehen, upload erfolgreich. dann weiter: bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
01.10.2010, 21:16
| #5 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Seltsam, da steht nix wie "wurde erfolgreich hochgeladen", da kommt nichts. Vielleicht liegt es an der größe, es sind 72 Mb. Ich probiere es nochmal.. Gruß |
|
02.10.2010, 11:17
| #6 |
| /// Malware-holic | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern das geht dann nicht. nutze mal File-Upload.net und sende mir den download link als private nachicht. |
|
02.10.2010, 13:31
| #7 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Die Nachricht mit dem Downloadlink des OTL Logs solltest du erhalten haben, hoffe diesmal klappts. Hier der Combofixlog: Code:
ATTFilter ComboFix 10-10-01.06 - XXX XXX 02.10.2010 14:12:32.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2979 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX XXX\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt
c:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\jsdfgs.bat
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\tsMuxeR.exe
c:\windows\system32\BReWErS.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\zip32.dll
c:\windows\system32\winlogon.exe . . . ist infiziert!!
c:\windows\explorer.exe . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-02 bis 2010-10-02 ))))))))))))))))))))))))))))))
.
2010-10-01 18:59 . 2010-10-01 18:59 -------- d-----w- C:\_OTL
2010-10-01 14:43 . 2010-10-01 15:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 11:50 . 2010-10-01 11:50 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 11:50 . 2010-10-01 11:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-30 22:39 . 2010-09-30 22:39 2855 ----a-w- c:\windows\system32\rundll32.PIF
2010-09-30 22:34 . 2010-09-30 22:35 2855 ----a-w- c:\windows\system32\rundll.PIF
2010-09-30 21:57 . 2010-09-30 21:57 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
2010-09-30 21:08 . 2009-11-23 15:37 14856 ----a-w- c:\windows\system32\drivers\LGVirHid.sys
2010-09-30 21:08 . 2009-07-01 09:51 23432 ----a-w- c:\windows\system32\drivers\LGPBTDD.sys
2010-09-30 21:08 . 2010-09-30 21:08 -------- d-----w- c:\programme\Logitech
2010-09-30 19:23 . 2010-09-30 22:03 0 ----a-w- c:\windows\Nnefujolij.bin
2010-09-30 19:23 . 2010-09-30 21:24 120 ----a-w- c:\windows\Dweyihirewapan.dat
2010-09-27 20:11 . 2010-09-27 20:11 220 --sh--w- c:\windows\dwin.sys
2010-09-24 15:43 . 2010-09-24 15:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-09-24 15:43 . 2010-09-24 15:43 -------- d-----r- c:\programme\Skype
2010-09-20 15:32 . 2010-06-08 16:10 790528 ----a-w- c:\windows\system32\xvidcore.dll
2010-09-20 15:32 . 2010-06-08 16:10 134144 ----a-w- c:\windows\system32\xvidvfw.dll
2010-09-20 15:32 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-09-20 15:32 . 2010-09-14 08:00 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-09-20 15:02 . 2010-09-20 15:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\programme\Apple Software Update
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple Computer
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 11:53 . 2009-08-07 14:14 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\U3
2010-10-02 11:26 . 2004-08-04 12:00 84516 ----a-w- c:\windows\system32\perfc007.dat
2010-10-02 11:26 . 2004-08-04 12:00 458806 ----a-w- c:\windows\system32\perfh007.dat
2010-10-01 15:26 . 2010-01-25 19:26 -------- d-----w- c:\programme\Java
2010-10-01 13:04 . 2009-10-28 20:56 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Winamp
2010-10-01 13:04 . 2009-09-02 16:38 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Media Player Classic
2010-09-30 22:09 . 2009-08-07 22:45 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Xfire
2010-09-30 21:08 . 2009-12-24 17:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-30 20:38 . 2010-05-31 14:30 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-09-29 23:21 . 2009-08-09 00:53 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\vlc
2010-09-28 17:59 . 2009-08-20 14:18 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Skype
2010-09-27 18:27 . 2009-09-01 20:57 -------- d-----w- c:\programme\World of Warcraft Public Test
2010-09-27 18:26 . 2009-08-05 17:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-09-27 16:04 . 2009-08-20 14:21 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\skypePM
2010-09-24 15:43 . 2009-08-20 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-09-12 15:46 . 2009-08-20 16:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-08-28 09:26 . 2010-05-04 16:44 47360 ----a-w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44 47360 ----a-w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Vso
2010-08-24 01:30 . 2010-07-27 20:30 220008 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-23 00:17 . 2009-08-05 09:00 24040 ----a-w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 00:14 . 2010-03-10 14:42 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-08-17 13:17 . 2008-04-14 05:53 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-12 19:26 . 2010-03-10 14:43 30528 ----a-w- c:\windows\system32\TURegOpt.exe
2010-08-12 19:19 . 2010-08-23 00:14 30016 ----a-w- c:\windows\system32\uxtuneup.dll
2010-08-06 18:06 . 2010-08-06 18:06 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\AnvSoft
2010-08-05 20:48 . 2009-08-21 23:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-31 12:47 . 2009-08-04 15:05 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2010-07-31 12:47 . 2009-08-04 15:05 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2010-07-22 15:48 . 2008-04-14 05:52 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2009-08-05 07:40 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-18 18:39 . 2009-08-07 14:28 322744 ----a-w- c:\windows\War3Unin.dat
2010-07-13 20:38 . 2010-07-13 19:58 217180 ----a-w- c:\windows\system32\nvdrsdb1.bin
2010-07-13 20:38 . 2010-07-13 19:58 1 ----a-w- c:\windows\system32\nvdrssel.bin
2010-07-13 19:58 . 2010-07-13 19:58 217180 ----a-w- c:\windows\system32\nvdrsdb0.bin
2010-07-09 19:04 . 2010-07-09 19:04 41872 ----a-w- c:\windows\system32\xfcodec.dll
.
------- Sigcheck -------
[-] 2008-04-14 . E12CB5D54A2AC8949DD8FF6155EB9A2A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . 64A0C6910942E5DA289D39F7DDA7513B . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-09-30 20:38 2735200 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 358472]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 1809992]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 3649096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-08-09 24064]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - e:\software\SetPoint\SetPoint.exe [2010-1-5 813584]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-06-07 15:35 13902440 ----a-w- c:\windows\system32\nvcpl.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"e:\\Software\\Xfire\\Xfire.exe"=
"c:\\Dokumente und Einstellungen\\XXX XXX\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\Launcher.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"e:\\Software\\Utorrent\\utorrent185.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"e:\\Software\\HoN\\hon.exe"=
"e:\\Software\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Software\\Sacred 2\\system\\s2gs.exe"=
"e:\\Software\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4
R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [29.08.2009 16:38 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [29.08.2009 16:38 405504]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12.08.2010 21:23 1051968]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [29.08.2009 16:39 487168]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [23.11.2009 17:37 19720]
R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [30.09.2010 23:08 23432]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [30.09.2010 23:08 14856]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys --> c:\windows\system32\drivers\nvhda32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.11.2009 12:37 691696]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\zr6thxpl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - plugin: e:\software\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - HiddenExtension: XULRunner: {E183EA50-20F4-45C0-96C5-D28A815FEE4F} - c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-02 14:14
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiAcpi]
"ImagePath"="system32\DRIVERS\wmiacpi.sy@"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1482476501-1292428093-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:9e,18,ca,ff,e9,88,4e,9d,47,28,44,77,d9,c0,ce,1e,81,9f,ad,60,ca,
d5,8c,8f,32,f5,21,fc,a7,64,f2,f2,e4,3c,6c,f7,59,90,9d,dc,f3,31,d0,e4,57,9b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9,87,61,78,b2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\dwlgina2.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-10-02 14:15:01
ComboFix-quarantined-files.txt 2010-10-02 12:14
Vor Suchlauf: 9 Verzeichnis(se), 35.904.180.224 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 35.928.375.296 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /TUTag=IOIJTT /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=IOIJTT-BAK
- - End Of File - - 5054A18EA5A30C684AE030F5FC749F90
Gruß |
|
02.10.2010, 14:15
| #8 |
| /// Malware-holic | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern prüfe: c:\windows\system32\winlogon.exe c:\windows\explorer.exe bei VirusTotal - Free Online Virus, Malware and URL Scanner falls dateien bereits analysiert, klicke erneut prüfen. poste die links der scan ergebnisse, also wenn dort steht, status beendet. |
|
02.10.2010, 14:57
| #9 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Hier die Virustotal Ergebnisse: hxxp://www.virustotal.com/file-scan/report.html?id=090132da3cf594c6560b7461753b98a36b2ee2dbe14cd57cfc7867803f9f64b5-1286026760 hxxp://www.virustotal.com/file-scan/report.html?id=77833e72871ac47b458cb234bc8a095582ee51e66f117b8260c7bac8f940453b-1286027300 |
|
02.10.2010, 15:01
| #10 |
| /// Malware-holic | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Lade http://filepony.de/download-defogger/ herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten. • Es öffnet sich das Programm-Fenster des Tools. • Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren. • Klicke Ja, um fortzufahren. • Wenn die Nachricht 'Finished!' erscheint, • klicke OK. • DeFogger wird nun einen Reboot erfragen - klicke OK • Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird. Start programme zubehör editor, kopiere rein: Killall:: Mia:: c:\windows\system32\winlogon.exe c:\windows\explorer.exe Datei speichern unter, typ alle, ort dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
|
02.10.2010, 15:26
| #11 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Hier die Logs: Combofix Code:
ATTFilter ComboFix 10-10-01.06 - XXX XXX 02.10.2010 16:16:47.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2934 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX XXX\Desktop\cfscript.txt
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\winlogon.exe . . . ist infiziert!!
c:\windows\explorer.exe . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-02 bis 2010-10-02 ))))))))))))))))))))))))))))))
.
2010-10-01 18:59 . 2010-10-01 18:59 -------- d-----w- C:\_OTL
2010-10-01 14:43 . 2010-10-01 15:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 11:50 . 2010-10-01 11:50 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 11:50 . 2010-10-01 11:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-30 22:39 . 2010-09-30 22:39 2855 ----a-w- c:\windows\system32\rundll32.PIF
2010-09-30 22:34 . 2010-09-30 22:35 2855 ----a-w- c:\windows\system32\rundll.PIF
2010-09-30 21:57 . 2010-09-30 21:57 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
2010-09-30 21:08 . 2009-11-23 15:37 14856 ----a-w- c:\windows\system32\drivers\LGVirHid.sys
2010-09-30 21:08 . 2009-07-01 09:51 23432 ----a-w- c:\windows\system32\drivers\LGPBTDD.sys
2010-09-30 21:08 . 2010-09-30 21:08 -------- d-----w- c:\programme\Logitech
2010-09-30 19:23 . 2010-09-30 22:03 0 ----a-w- c:\windows\Nnefujolij.bin
2010-09-30 19:23 . 2010-09-30 21:24 120 ----a-w- c:\windows\Dweyihirewapan.dat
2010-09-27 20:11 . 2010-09-27 20:11 220 --sh--w- c:\windows\dwin.sys
2010-09-24 15:43 . 2010-09-24 15:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-09-24 15:43 . 2010-09-24 15:43 -------- d-----r- c:\programme\Skype
2010-09-20 15:32 . 2010-06-08 16:10 790528 ----a-w- c:\windows\system32\xvidcore.dll
2010-09-20 15:32 . 2010-06-08 16:10 134144 ----a-w- c:\windows\system32\xvidvfw.dll
2010-09-20 15:32 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-09-20 15:32 . 2010-09-14 08:00 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-09-20 15:02 . 2010-09-20 15:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\programme\Apple Software Update
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple Computer
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 14:13 . 2004-08-04 12:00 84516 ----a-w- c:\windows\system32\perfc007.dat
2010-10-02 14:13 . 2004-08-04 12:00 458806 ----a-w- c:\windows\system32\perfh007.dat
2010-10-02 11:53 . 2009-08-07 14:14 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\U3
2010-10-01 15:26 . 2010-01-25 19:26 -------- d-----w- c:\programme\Java
2010-10-01 13:04 . 2009-10-28 20:56 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Winamp
2010-10-01 13:04 . 2009-09-02 16:38 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Media Player Classic
2010-09-30 22:09 . 2009-08-07 22:45 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Xfire
2010-09-30 21:08 . 2009-12-24 17:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-30 20:38 . 2010-05-31 14:30 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-09-29 23:21 . 2009-08-09 00:53 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\vlc
2010-09-28 17:59 . 2009-08-20 14:18 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Skype
2010-09-27 18:27 . 2009-09-01 20:57 -------- d-----w- c:\programme\World of Warcraft Public Test
2010-09-27 18:26 . 2009-08-05 17:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-09-27 16:04 . 2009-08-20 14:21 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\skypePM
2010-09-24 15:43 . 2009-08-20 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-09-12 15:46 . 2009-08-20 16:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-08-28 09:26 . 2010-05-04 16:44 47360 ----a-w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44 47360 ----a-w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Vso
2010-08-24 01:30 . 2010-07-27 20:30 220008 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-23 00:17 . 2009-08-05 09:00 24040 ----a-w- c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 00:14 . 2010-03-10 14:42 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-08-17 13:17 . 2008-04-14 05:53 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-12 19:26 . 2010-03-10 14:43 30528 ----a-w- c:\windows\system32\TURegOpt.exe
2010-08-12 19:19 . 2010-08-23 00:14 30016 ----a-w- c:\windows\system32\uxtuneup.dll
2010-08-06 18:06 . 2010-08-06 18:06 -------- d-----w- c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\AnvSoft
2010-08-05 20:48 . 2009-08-21 23:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-31 12:47 . 2009-08-04 15:05 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2010-07-31 12:47 . 2009-08-04 15:05 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2010-07-22 15:48 . 2008-04-14 05:52 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2009-08-05 07:40 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-18 18:39 . 2009-08-07 14:28 322744 ----a-w- c:\windows\War3Unin.dat
2010-07-13 20:38 . 2010-07-13 19:58 217180 ----a-w- c:\windows\system32\nvdrsdb1.bin
2010-07-13 20:38 . 2010-07-13 19:58 1 ----a-w- c:\windows\system32\nvdrssel.bin
2010-07-13 19:58 . 2010-07-13 19:58 217180 ----a-w- c:\windows\system32\nvdrsdb0.bin
2010-07-09 19:04 . 2010-07-09 19:04 41872 ----a-w- c:\windows\system32\xfcodec.dll
.
------- Sigcheck -------
[-] 2008-04-14 . E12CB5D54A2AC8949DD8FF6155EB9A2A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . 64A0C6910942E5DA289D39F7DDA7513B . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-10-02_12.14.19 )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00 . 2010-10-02 11:26 71138 c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-10-02 14:13 71138 c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-10-02 14:13 440820 c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2010-10-02 11:26 440820 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-09-30 20:38 2735200 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 358472]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 1809992]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 3649096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-08-09 24064]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - e:\software\SetPoint\SetPoint.exe [2010-1-5 813584]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-06-07 15:35 13902440 ----a-w- c:\windows\system32\nvcpl.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"e:\\Software\\Xfire\\Xfire.exe"=
"c:\\Dokumente und Einstellungen\\XXX XXX\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\Launcher.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"e:\\Software\\Utorrent\\utorrent185.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"e:\\Software\\HoN\\hon.exe"=
"e:\\Software\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Software\\Sacred 2\\system\\s2gs.exe"=
"e:\\Software\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4
R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [29.08.2009 16:38 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [29.08.2009 16:38 405504]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12.08.2010 21:23 1051968]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [29.08.2009 16:39 487168]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [23.11.2009 17:37 19720]
R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [30.09.2010 23:08 23432]
R3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [30.09.2010 23:08 14856]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys --> c:\windows\system32\drivers\nvhda32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.11.2009 12:37 691696]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\zr6thxpl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - plugin: e:\software\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - HiddenExtension: XULRunner: {E183EA50-20F4-45C0-96C5-D28A815FEE4F} - c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-02 16:20
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiAcpi]
"ImagePath"="system32\DRIVERS\wmiacpi.sy@"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1482476501-1292428093-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:9e,18,ca,ff,e9,88,4e,9d,47,28,44,77,d9,c0,ce,1e,81,9f,ad,60,ca,
d5,8c,8f,32,f5,21,fc,a7,64,f2,f2,e4,3c,6c,f7,59,90,9d,dc,f3,31,d0,e4,57,9b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9,87,61,78,b2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(944)
c:\windows\system32\dwlgina2.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
- - - - - - - > 'explorer.exe'(3692)
e:\software\SetPoint\GameHook.dll
e:\software\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDRSS.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\Applets\ColorOnly\LCDWebCam.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe
c:\programme\McAfee\VirusScan Enterprise\Mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-02 16:22:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-02 14:22
ComboFix2.txt 2010-10-02 12:15
Vor Suchlauf: 10 Verzeichnis(se), 35.925.594.112 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 35.911.122.944 Bytes frei
- - End Of File - - 69AB76E5FBB9D1CE567132CACE8C9B66
Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:07 on 02/10/2010 (XXX XXX)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
SPTD -> Already disabled
-=E.O.F=-
|
|
02.10.2010, 16:05
| #12 |
| /// Malware-holic | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern bitte sichere sicherheitshalber alle daten. erstelle ein neues otl script. :OTL C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace C:\WINDOWS\system32\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] poste das otl slog nach neustart |
|
02.10.2010, 16:26
| #13 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern OTL Logfile: Code:
ATTFilter All processes killed
========== OTL ==========
========== COMMANDS ==========
[EMPTYFLASH]
User: All Users
User: Default User
User: XXX XXX
->Flash cache emptied: 456 bytes
User: LocalService
User: NetworkService
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: XXX XXX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16541359 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 16,00 mb
OTL by OldTimer - Version 3.2.14.1 log created on 10022010_171903
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
02.10.2010, 17:07
| #14 |
| /// Malware-holic | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern sorry fehler, neues otl script :OTL :FILES C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace C:\WINDOWS\system32\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] poste das otl log nach neustart |
|
02.10.2010, 17:38
| #15 |
| | Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern Neuer OTL Log HTML-Code: All processes killed ========== OTL ========== ========== FILES ========== File C:\WINDOWS\ServicePackFiles\i386\winlogon.exe not found. File C:\WINDOWS\ServicePackFiles\i386\explorer.exe not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: XXX XXX ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: XXX XXX ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 84339 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 1792 bytes Total Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 10022010_182902 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
| Themen zu Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern |
| alert, anleitung, dateien, dateien gelöscht, ebenfalls, entfernen, gelöscht, gleichzeitig, google, hijack, hijackthis, internetseite, klicke, log, mbam, microsoft, microsoft security, microsoft security essentials, nicht mehr, nichts, otl log, problem, security, seite, seiten, seltsame, umleitung, ungewollte, werbung |
Linear-Darstellung
