redirect/jump in google

v. stadtfeld

Hallo Arne,

danke erstmal das du dir Zeit für mich nimmst. Hab grad eben nochmal einen Suchlauf mit Avira beendet, und es wurde gleich noch etwas gefunden.

Logs von Malwarebytes gibts auch noch.



LOG 1

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5007

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.10.2010 19:48:28
mbam-log-2010-10-31 (19-48-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 10326
Laufzeit: 2 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijacker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


LOG 2


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5772

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16.02.2011 09:53:04
mbam-log-2011-02-16 (09-53-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 143205
Laufzeit: 5 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RestorPoint\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.



Avira LOG

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 26. Februar 2011 19:17

Es wird nach 2437318 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PRODIGEE

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.1.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 06:54:31
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.3.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 06:54:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.1.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 08:24:16
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 21:59:42
VBASE002.VDF : 7.11.3.0 1950720 Bytes 9.2.2011 19:45:36
VBASE003.VDF : 7.11.3.1 2048 Bytes 9.2.2011 19:45:37
VBASE004.VDF : 7.11.3.2 2048 Bytes 9.2.2011 19:45:37
VBASE005.VDF : 7.11.3.3 2048 Bytes 9.2.2011 19:45:37
VBASE006.VDF : 7.11.3.4 2048 Bytes 9.2.2011 19:45:37
VBASE007.VDF : 7.11.3.5 2048 Bytes 9.2.2011 19:45:37
VBASE008.VDF : 7.11.3.6 2048 Bytes 9.2.2011 19:45:37
VBASE009.VDF : 7.11.3.7 2048 Bytes 9.2.2011 19:45:37
VBASE010.VDF : 7.11.3.8 2048 Bytes 9.2.2011 19:45:37
VBASE011.VDF : 7.11.3.9 2048 Bytes 9.2.2011 19:45:38
VBASE012.VDF : 7.11.3.10 2048 Bytes 9.2.2011 19:45:38
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.2.2011 08:23:04
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.2.2011 10:16:08
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.2.2011 10:30:42
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.2.2011 18:29:49
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.2.2011 15:12:57
VBASE018.VDF : 7.11.3.217 2048 Bytes 24.2.2011 15:12:57
VBASE019.VDF : 7.11.3.218 2048 Bytes 24.2.2011 15:12:57
VBASE020.VDF : 7.11.3.219 2048 Bytes 24.2.2011 15:12:57
VBASE021.VDF : 7.11.3.220 2048 Bytes 24.2.2011 15:12:57
VBASE022.VDF : 7.11.3.221 2048 Bytes 24.2.2011 15:12:57
VBASE023.VDF : 7.11.3.222 2048 Bytes 24.2.2011 15:12:58
VBASE024.VDF : 7.11.3.223 2048 Bytes 24.2.2011 15:12:58
VBASE025.VDF : 7.11.3.224 2048 Bytes 24.2.2011 15:12:58
VBASE026.VDF : 7.11.3.225 2048 Bytes 24.2.2011 15:12:58
VBASE027.VDF : 7.11.3.226 2048 Bytes 24.2.2011 15:12:58
VBASE028.VDF : 7.11.3.227 2048 Bytes 24.2.2011 15:12:58
VBASE029.VDF : 7.11.3.228 2048 Bytes 24.2.2011 15:12:58
VBASE030.VDF : 7.11.3.229 2048 Bytes 24.2.2011 15:12:58
VBASE031.VDF : 7.11.3.240 62976 Bytes 25.2.2011 15:12:59
Engineversion : 8.2.4.176
AEVDF.DLL : 8.1.2.1 106868 Bytes 1.9.2010 15:19:00
AESCRIPT.DLL : 8.1.3.55 1282426 Bytes 26.2.2011 15:13:10
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 15:58:11
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 15:58:13
AERDL.DLL : 8.1.9.2 635252 Bytes 23.9.2010 05:29:41
AEPACK.DLL : 8.2.4.10 520567 Bytes 26.2.2011 15:13:08
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 9.2.2011 19:47:05
AEHEUR.DLL : 8.1.2.81 3314038 Bytes 26.2.2011 15:13:06
AEHELP.DLL : 8.1.16.1 246134 Bytes 9.2.2011 19:45:56
AEGEN.DLL : 8.1.5.2 397683 Bytes 21.1.2011 17:43:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 15:58:02
AECORE.DLL : 8.1.19.2 196983 Bytes 21.1.2011 17:43:36
AEBB.DLL : 8.1.1.0 53618 Bytes 1.9.2010 15:18:46
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.1.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.1.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.2.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 10.11.2010 22:52:19
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 06:54:32
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 06:54:29
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.1.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.1.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.3.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.2.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.1.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 10.11.2010 22:52:10

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 26. Februar 2011 19:17

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\programme\java\jre6\bin\javaws.exe
c:\programme\java\jre6\bin\javaws.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ssmypics.scr' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'guardhlp.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcgcoms.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '215' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1736' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\system32\YCemSCi.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Beginne mit der Desinfektion:
C:\WINDOWS\system32\YCemSCi.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4497f80b.qua' verschoben!


Ende des Suchlaufs: Samstag, 26. Februar 2011 21:02
Benötigte Zeit: 1:28:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12861 Verzeichnisse wurden überprüft
263631 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
263630 Dateien ohne Befall
1455 Archive wurden durchsucht
0 Warnungen
1 Hinweise
502614 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden