hallo,

leider hats mich gestern erwischt und ich werde nicht mehr herr der lage.
beim nächtlichen surfen hat sich plötzlich der windows dialog (ein echter) geöffnet, ob ich sicher bin rundll32 auszuführen. da ich mal wieder 10 dinge gleichzeitig gemacht habe (diverse programme liefen) und total im klickwahn war, klickte ich bereits akzeptieren, bevor ich überhaupt registriert hatte, was ich da klicke. im gleichen moment schwante mir schon böses.

was soll ich sagen...
die infektion war mit ansage!

folgende symptome:
ein blick in den taskmanager zeigte direkt prozesse wie javah.exe, javaw.exe, mehrere instanzen von rundll32.exe (vorher hatte ich keine einzige).
permanent öffnet sich ein IE fenster mit werbung oder einer google suchanfrage "111211url.cptgt.com".
in firefox werden google suchergebnisse auf 7search oder andere seiten umgeleitet.
mehrere firefox addons haben sich installiert mit den namen: "java console 6.0.12" bis "java console 6.0.22"
der rechner ist spürbar langsamer.

hijackthis hab ich bereits laufen lassen und einige auffällige prozesse entfernt, allerdings bleibt das problem.
anschliessend habe ich auch malwarebytes Anti-Malware laufen lassen, das ebenfalls 9 infektionen gefunden und (angeblich) erfolgreich entfernt hat.

leider besteht das problem weiter.

eine mögliche ursache ist das java nicht up-to-date war. ein besuch auf der java webseite sagt mir zwar, dass ich den neuesten client habe, das ist aber definitiv unwahr!

im anhang hänge ich 2 logs von HijackThis und Anti-Malware an.


vielen dank für jegliche hilfe!

1. immer genaue beschreibungen.
2. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend.
3. reiche alle evtl vorhandenen scan logs nach. ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

hier die scan logs...

danke!

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

und hier das combofix log

VirusTotal - Free Online Virus, Malware and URL Scanner
dort prüfe:
c:\windows\system32\authsrv32.dll
falls datei bereits analysiert, klicke erneut prüfen, poste den ergebniss link

die datei existiert nicht.
ich lasse alle dateien anzeigen, auch die systemdateien. also sie ist definitiv nicht da.

ich habe direkt nach der infektion HijackThis ausgeführt und diesen eintrag fixen lassen. vermutlich wurde sie gelöscht!?

welche probleme gibts noch genau?

vielen dank erstmal ausdrücklich für die superschnelle helpline hier!!!


also ich beschreibe nochmal genau die syptome:

erstmal: manchmal passiert für 5 - 10 minuten nichts. alles scheint ganz normal.

dann öffnen sich schlagartig IE fenster im ca. 60 sekundentakt die entweder auf google suchergebnisse dieser url verweisen: "111211url.cptgt.com" (das lustige ist, an dritter stelle ist dieser(!!!) thread hier)
oder auf diverse werbungs seiten.
wenn ich die fenster schliesse, läuft trotzdem der sound der werbungen weiter im hintergrund. nur durch killen des IE aus der prozessliste bekomme ich wieder ruhe.

ein paar minuten passiert wieder nichts, dann geht das spektakel von vorne los.

im firefox (IE benutze ich eigentlich nie) werden google suchergebnisse beim anklicken auf eine seite namens 7search.com umgeleitet, die von mir will, dass ich dort einen fragebogen ausfülle. gelegentlich werden suchergebnisse auch auf andere werbungsseiten umgelenkt. wenn ich den link einer seite aber manuell in die firefox adresseiste eingebe findet keine umleitung statt.

firefox wird manchmal sehr, sehr langsam und fast unbenutzbar träge. währenddessen rödelt die platte wie wild.

/edit sorry hab den link nicht den regeln entsprechend bearbeitet. also das ist der link der mit 50% wahrscheinlich im IE fenster angezeigt wird:
"hXXp://www.google.com/search?q=111211url.cptgt.com"

nutze bitte gmer
http://www.trojaner-board.de/74908-a...t-scanner.html
log posten

ein erster scan hat den rechner einfrieren lassen, nur ein kaltstart half.
ich lasse den scan jetzt gerade im abgesicherten modus laufen...

wow...

wird immer selbstsamer. im abgesicherten modus hat der rechner sich offenbar wegen überhitzung selbst abgeschaltet. ich muss ihn jetzt erstmal abkühlen lassen...

ok. bis später.

ok, hier das GMER log.

allerdings aus dem abgesicherten modus. im normalmodus hatte das log sehr viel mehr einträge...

wo ist das log aus dem normalen modus.