Komme nicht auf Seiten mit Antispywareprogrammen/Verdacht auf Befall

CrashMasta · 13.11.2010, 19:22

Guten Abend,

mein Problem besteht darin,
das ich nicht auf Seiten mit Antispywareprogrammen komme bzw. nichts herunterladen kann. Denke daher das ich mir was eingefangen habe.
Nun bitte ich um eure Hilfe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:11, on 13.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
E:\Gamez\Steam\Steam.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 168.110.153.144 msnfix.changelog.fr
O1 - Hosts: 168.110.153.144 www.incodesolutions.com
O1 - Hosts: 168.110.153.144 virusinfo.prevx.com
O1 - Hosts: 168.110.153.144 download.bleepingcomputer.com
O1 - Hosts: 168.110.153.144 www.dazhizhu.cn
O1 - Hosts: 168.110.153.144 foro.noticias3d.com
O1 - Hosts: 168.110.153.144 www.spybotupdates.com
O1 - Hosts: 168.110.153.144 club.myce.com
O1 - Hosts: 168.110.153.144 www.k7computing.com
O1 - Hosts: 168.110.153.144 softwaresecuritysolutions.com
O1 - Hosts: 168.110.153.144 www.nabble.com
O1 - Hosts: 168.110.153.144 lurker.clamav.net
O1 - Hosts: 168.110.153.144 lexikon.ikarus.at
O1 - Hosts: 168.110.153.144 research.sunbelt-software.com
O1 - Hosts: 168.110.153.144 www.virusdoctor.jp
O1 - Hosts: 168.110.153.144 www.elitepvpers.de
O1 - Hosts: 168.110.153.144 guru.avg.com
O1 - Hosts: 168.110.153.144 downloads.sophos.com
O1 - Hosts: 168.110.153.144 share.skype.com
O1 - Hosts: 168.110.153.144 myantispyware.com
O1 - Hosts: 168.110.153.144 www.computerhilfen.de
O1 - Hosts: 168.110.153.144 www.superuser.co.kr
O1 - Hosts: 168.110.153.144 ntfaq.co.kr
O1 - Hosts: 168.110.153.144 v.dreamwiz.com
O1 - Hosts: 168.110.153.144 cit.kookmin.ac.kr
O1 - Hosts: 168.110.153.144 forums.whatthetech.com
O1 - Hosts: 168.110.153.144 forum.hijackthis.de
O1 - Hosts: 168.110.153.144 avg.vo.llnwd.net
O1 - Hosts: 168.110.153.144 ftp.drweb.com
O1 - Hosts: 168.110.153.144 www.zonealarm.com
O1 - Hosts: 168.110.153.144 smadaver.com
O1 - Hosts: 168.110.153.144 support.emsisoft.com
O1 - Hosts: 168.110.153.144 www.huaifai.go.th
O1 - Hosts: 168.110.153.144 www.mostz.com
O1 - Hosts: 168.110.153.144 www.krupunmai.com
O1 - Hosts: 168.110.153.144 www.cddchiangmai.net
O1 - Hosts: 168.110.153.144 forum.malekal.com
O1 - Hosts: 168.110.153.144 tech.pantip.com
O1 - Hosts: 168.110.153.144 sapcupgrades.com
O1 - Hosts: 168.110.153.144 www.elguruinformatico.com
O1 - Hosts: 168.110.153.144 forums.avg.com
O1 - Hosts: 168.110.153.144 zastita.com
O1 - Hosts: 168.110.153.144 www.247fixes.com
O1 - Hosts: 168.110.153.144 forum.sysinternals.com
O1 - Hosts: 168.110.153.144 forum.telecharger.01net.com
O1 - Hosts: 168.110.153.144 sophos.com
O1 - Hosts: 168.110.153.144 foros.softonic.com
O1 - Hosts: 168.110.153.144 avast-home.uptodown.com
O1 - Hosts: 168.110.153.144 dr-web-cureit.softonic.com
O1 - Hosts: 168.110.153.144 heavenward.ru
O1 - Hosts: 168.110.153.144 forum.smadav.net
O1 - Hosts: 168.110.153.144 www.f-secure.com
O1 - Hosts: 168.110.153.144 www.chkrootkit.org
O1 - Hosts: 168.110.153.144 diamondcs.com.au
O1 - Hosts: 168.110.153.144 www.rootkit.nl
O1 - Hosts: 168.110.153.144 www.sysinternals.com
O1 - Hosts: 168.110.153.144 z-oleg.com
O1 - Hosts: 168.110.153.144 espanol.dir.groups.yahoo.com
O1 - Hosts: 168.110.153.144 ftp01net.telechargement.fr
O1 - Hosts: 168.110.153.144 modelayu.com
O1 - Hosts: 168.110.153.144 vaksin.com
O1 - Hosts: 168.110.153.144 www.castlecrops.com
O1 - Hosts: 168.110.153.144 www.misec.net
O1 - Hosts: 168.110.153.144 safecomputing.umn.edu
O1 - Hosts: 168.110.153.144 www.antirootkit.com
O1 - Hosts: 168.110.153.144 www.greatis.com
O1 - Hosts: 168.110.153.144 ar.answers.yahoo.com
O1 - Hosts: 168.110.153.144 www.elhacker.org
O1 - Hosts: 168.110.153.144 research.pandasecurity.com
O1 - Hosts: 168.110.153.144 www.tpu.ro
O1 - Hosts: 168.110.153.144 www.pinoyden.com
O1 - Hosts: 168.110.153.144 forum.avira.de
O1 - Hosts: 168.110.153.144 www.rootkit.com
O1 - Hosts: 168.110.153.144 www.pctools.com
O1 - Hosts: 168.110.153.144 www.pcsupportadvisor.com
O1 - Hosts: 168.110.153.144 www.resplendence.com
O1 - Hosts: 168.110.153.144 www.personal.psu.edu
O1 - Hosts: 168.110.153.144 foro.ethek.com
O1 - Hosts: 168.110.153.144 foro.elhacker.net
O1 - Hosts: 168.110.153.144 download.zonealarm.com
O1 - Hosts: 168.110.153.144 spywarehammer.com
O1 - Hosts: 168.110.153.144 www.codelain.com
O1 - Hosts: 168.110.153.144 www.thaicert.org
O1 - Hosts: 168.110.153.144 vil.nail.com
O1 - Hosts: 168.110.153.144 search.mcafee.com
O1 - Hosts: 168.110.153.144 wwww.mcafee.com
O1 - Hosts: 168.110.153.144 download.nai.com
O1 - Hosts: 168.110.153.144 wwww.experts-exchange.com
O1 - Hosts: 168.110.153.144 www.bakunos.com
O1 - Hosts: 168.110.153.144 www.darkclockers.com
O1 - Hosts: 168.110.153.144 www2.gmer.net
O1 - Hosts: 168.110.153.144 ariefew.com
O1 - Hosts: 168.110.153.144 www.emsisoft.com
O1 - Hosts: 168.110.153.144 forum.romeonet.ro
O1 - Hosts: 168.110.153.144 www.Merijn.org
O1 - Hosts: 168.110.153.144 www.spywareinfo.com
O1 - Hosts: 168.110.153.144 www.spybot.info
O1 - Hosts: 168.110.153.144 www.viruslist.com
O1 - Hosts: 168.110.153.144 www.hijackthis.de
O1 - Hosts: 168.110.153.144 ftp.f-secure.com
O1 - Hosts: 168.110.153.144 es.trendmicro-europe.com
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "E:\Gamez\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GammaTray.lnk = ?
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Masta\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Security Suite CBE 09 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - I:\STUDIO\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 11046 bytes

Swisstreasure · 13.11.2010, 20:41

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Hosts reparieren

Lade Dir bitte HostsXpert herunter.
Entpacke die Zipdatei und starte das Tool.
Klicke nun auf Restore MS Hosts File--> Ok--> Exit Programm.
Solltest Du kein Zip-Programm haben kannst Du Dir die Testversion von Winzip herunterladen.

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.

Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

ATTFilter

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

CrashMasta · 13.11.2010, 21:27

Vielen Dank für Deine ausführliche Hilfe.
Ich merke aber gerade, das glaub ich hier schon Schluss ist.
Denn ich kann weder HostXpert noch GMER herunterladen.
Es ist glaub ich wirklich das beste alles Platt zu machen.
Ich wünsche ein Dir schönes Wochenende.

Swisstreasure · 14.11.2010, 00:41

Es liegt natürlich an Dir

Aber schau ob OTL funktioniert. Du kannst es auch im abgesicherten Modus machen.

14.11.2010, 00:41	#4
Swisstreasure /// Malwareteam	Komme nicht auf Seiten mit Antispywareprogrammen/Verdacht auf Befall Es liegt natürlich an Dir Aber schau ob OTL funktioniert. Du kannst es auch im abgesicherten Modus machen.

Komme nicht auf Seiten mit Antispywareprogrammen/Verdacht auf Befall

Log-Analyse und Auswertung: Komme nicht auf Seiten mit Antispywareprogrammen/Verdacht auf Befall