| |
| |||||||
Log-Analyse und Auswertung: Google-Links führen zu WerbeseitenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.11.2010, 22:07
| #31 |
 |  Google-Links führen zu WerbeseitenCode:
ATTFilter All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Starting removal of ActiveX control {7530BFB8-7293-4D34-9923-61A11451AFC5}
C:\WINDOWS\Downloaded Program Files\OnlineScanner.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ not found.
Starting removal of ActiveX control {9191F686-7F0A-441D-8A98-2FE3AC1BD913}
C:\WINDOWS\Downloaded Program Files\as2stubie.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ not found.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer| /E : value set successfully!
========== COMMANDS ==========
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 121541385 bytes
->Temporary Internet Files folder emptied: 123841813 bytes
->Java cache emptied: 128094 bytes
->Flash cache emptied: 988 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: ******
->Temp folder emptied: 382133 bytes
->Temporary Internet Files folder emptied: 543472257 bytes
->Java cache emptied: 1987622 bytes
->Flash cache emptied: 5938 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1225817 bytes
%systemroot%\System32 .tmp files removed: 1567623 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 133098 bytes
Total Files Cleaned = 758,00 mb
OTL by OldTimer - Version 3.2.17.3 log created on 11212010_215731
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
21.11.2010, 22:47
| #32 |
| /// Malwareteam   | Google-Links führen zu Werbeseiten Und, wirst Du noch umgeleitet?
__________________ |
|
22.11.2010, 12:23
| #33 |
| | Google-Links führen zu Werbeseiten Ja, leider immer noch!
__________________ |
|
22.11.2010, 14:33
| #34 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Gehst Du über einen Router? Falls ja, dann resete diesen bitte einmal. |
|
22.11.2010, 14:52
| #35 |
| | Google-Links führen zu Werbeseiten Ja, wir benutzen einen Router. Ich kann vielleicht die Angaben noch etwas präzisieren: Auf unserem zweiten Rechner treten die Symptome seit ein paar Tagen auch auf und gestern ist sogar auf meinem iPod touch ein Werbe-Pop-Up aufgegangen, was evtl. dafür sprechen würde, dass der Router und nicht der Rechner verantwortlich ist (oder gibt es Viren für den iPod touch?). Ich probiere mal ihn zu resetten. |
|
22.11.2010, 14:54
| #36 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Ja genau aus diesem Grund sollst Du einmal den router reseten und dringend das Passwort ändern. |
|
22.11.2010, 16:15
| #37 |
| | Google-Links führen zu Werbeseiten Hörte sich vielversprechend an, hat aber nichts bewirkt. |
|
22.11.2010, 16:24
| #38 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Schritt 1 MBR mit MBRCheck prüfen Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen. Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread. Schritt 2 Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
|
|
22.11.2010, 16:39
| #39 |
| | Google-Links führen zu WerbeseitenCode:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c
Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA338000 pavboot.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xBA340000 PxHelp20.sys
0xB9EC1000 KSecDD.sys
0xB9E34000 Ntfs.sys
0xB9E07000 NDIS.sys
0xB9DED000 Mup.sys
0xBA318000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9C22000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB9C0E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9BE6000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA420000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB9BC2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA428000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA118000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA128000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA138000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9B9F000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA430000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB9B8C000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xB9B47000 \SystemRoot\system32\DRIVERS\rtl8185.sys
0xBA148000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA594000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB9B33000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA158000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA438000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA736000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA168000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA598000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9B1C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA178000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA188000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA448000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9B0B000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA198000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA450000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA458000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9ADB000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5E0000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9A55000 \SystemRoot\system32\DRIVERS\update.sys
0xB9DBD000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA1B8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA9888000 \SystemRoot\system32\drivers\t3.sys
0xA9864000 \SystemRoot\system32\drivers\portcls.sys
0xBA1E8000 \SystemRoot\system32\drivers\drmk.sys
0xA96AB000 \SystemRoot\system32\drivers\t3filt.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5E4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA5E6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA6FA000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5E8000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA478000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA480000 \SystemRoot\System32\drivers\vga.sys
0xBA5EA000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5EC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA488000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA490000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA55C000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA9678000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA961F000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA95F7000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA95D1000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA95AF000 \SystemRoot\System32\drivers\afd.sys
0xBA218000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA228000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA498000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA9584000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA9514000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA238000 \SystemRoot\System32\Drivers\Fips.SYS
0xA94C9000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5F4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xBA288000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA94B1000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA5FE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB9A20000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA3A8000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6EB000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF055000 \SystemRoot\System32\ati2cqag.dll
0xBF094000 \SystemRoot\System32\atikvmag.dll
0xBF0CA000 \SystemRoot\System32\ati3duag.dll
0xBF355000 \SystemRoot\System32\ativvaxx.dll
0xA735C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA734C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA7037000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA6FFA000 \SystemRoot\system32\drivers\wdmaud.sys
0xA7174000 \SystemRoot\system32\drivers\sysaudio.sys
0xA6EDE000 \SystemRoot\system32\drivers\ctusfsyn.sys
0xA6EAC000 \SystemRoot\system32\DRIVERS\ctoss2k.sys
0xA6E85000 \SystemRoot\system32\DRIVERS\ctsfm2k.sys
0xBA5D8000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA680E000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
0xA67B6000 \SystemRoot\system32\DRIVERS\srv.sys
0xA5FE0000 \SystemRoot\System32\Drivers\HTTP.sys
0xA5F94000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xBA646000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
0xA56AD000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 51):
0 System Idle Process
4 System
732 C:\WINDOWS\system32\smss.exe
788 csrss.exe
816 C:\WINDOWS\system32\winlogon.exe
860 C:\WINDOWS\system32\services.exe
872 C:\WINDOWS\system32\lsass.exe
1060 C:\WINDOWS\system32\ati2evxx.exe
1076 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1196 C:\WINDOWS\system32\svchost.exe
1316 svchost.exe
1344 svchost.exe
1664 C:\WINDOWS\system32\spoolsv.exe
1716 C:\Programme\Creative\Shared Files\CTAudSvc.exe
1728 C:\Programme\Avira\AntiVir Desktop\sched.exe
1784 svchost.exe
232 C:\Programme\Avira\AntiVir Desktop\avguard.exe
352 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
776 C:\Programme\Bonjour\mDNSResponder.exe
536 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1464 C:\WINDOWS\ehome\ehRecvr.exe
1580 C:\WINDOWS\ehome\ehSched.exe
1796 C:\Programme\Java\jre6\bin\jqs.exe
2564 C:\WINDOWS\system32\svchost.exe
2624 C:\WINDOWS\system32\searchindexer.exe
3248 C:\Programme\iPod\bin\iPodService.exe
3512 C:\WINDOWS\system32\dllhost.exe
3560 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3964 alg.exe
3488 C:\WINDOWS\system32\ati2evxx.exe
2104 wmiprvse.exe
2580 C:\WINDOWS\explorer.exe
3544 C:\WINDOWS\ehome\ehtray.exe
2164 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
1824 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2768 C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe
3832 C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
2512 C:\WINDOWS\system32\rundll32.exe
4032 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
1996 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2480 C:\Programme\iTunes\iTunesHelper.exe
1828 C:\WINDOWS\system32\ctfmon.exe
2948 C:\WINDOWS\ehome\ehmsas.exe
1696 C:\Programme\Windows Desktop Search\WindowsSearch.exe
2280 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2660 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
3880 C:\WINDOWS\system32\searchprotocolhost.exe
3056 searchfilterhost.exe
3984 C:\WINDOWS\system32\searchprotocolhost.exe
3456 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-41
Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
Done!
|
|
22.11.2010, 16:42
| #40 |
| | Google-Links führen zu WerbeseitenCode:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP2504C rev.VT100-41 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x89DB3AB8]
3 CLASSPNP[0xBA0E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000061[0x89E08F18]
5 ACPI[0xB9F7E620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP2T0L0-7[0x89DEBD98]
kernel: MBR read successfully
user & kernel MBR OK
|
|
22.11.2010, 16:58
| #41 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Ich muss was abklären. Werde mich wieder melden. |
|
22.11.2010, 20:13
| #43 |
| /// Malwareteam | Google-Links führen zu Werbeseiten Test test test |
|
22.11.2010, 21:47
| #44 |
| | Google-Links führen zu Werbeseiten Kommt gleich richtig |
|
22.11.2010, 21:47
| #45 |
| | Google-Links führen zu Werbeseiten Sorry habe noch Namen drin gelassen |
|
Linear-Darstellung
