Weiterleitung google auf Gomeo // ständige Trojaner/etc meldungen von Avira

Milzbrandt · 09.03.2011, 20:28

Hallo,

habe unter anderem das Problem wie in diesem Thread http://www.trojaner-board.de/93720-s...omeo-usw.html. Dort steht das man das Problem auch mit einer Formatierung und Neuinstallation vom Windows wieder in den Griff bekommt. Stimmt das so?

Und wenn ja, muss ich bei der Datensicherung auf irgendwas besonderes achten?

markusg · 09.03.2011, 20:29

welches betriebssystem verwendest du?

Milzbrandt · 09.03.2011, 20:30

Ich verwende XP.

markusg · 09.03.2011, 20:32

ich möchte vorher schnell nen blick aufs system werfen, damit ich ne bessere einschetzung geben kann.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Milzbrandt · 09.03.2011, 23:15

Tut mir leid, hat ein wenig gedauert bis das Programm endlich mal konplett durchgelaufen war ohne das entweder der Computer oder das Prog abgestürzt ist.

Vielen Dank schonmal für deine Hilfe.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-03-08.09 - *BENUTZER* 09.03.2011  22:33:51.3.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3001.2686 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*BENUTZER*\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\pokiojkjnkj\pokiojkjnkj.exe
C:\Recycle.Bin
c:\recycle.bin\Recycle.Bin.exe
.
---- Vorheriger Suchlauf -------
.
c:\pokiojkjnkj\pokiojkjnkj.exe
c:\recycle.bin\config.bin
c:\recycle.bin\Recycle.Bin.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-09 bis 2011-03-09  ))))))))))))))))))))))))))))))
.
.
2011-03-09 18:42 . 2011-03-09 20:39	--------	d-----w-	c:\programme\tmp
2011-03-09 18:42 . 2011-03-09 21:47	--------	d-----w-	c:\programme\aphhdlpc
2011-03-09 18:41 . 2011-03-09 18:41	171417	----a-w-	c:\windows\system32\YCemSCi.exe
2011-03-05 17:11 . 2011-03-05 17:11	--------	d-----w-	c:\dokumente und einstellungen\*BENUTZER*\Anwendungsdaten\Malwarebytes
2011-03-05 17:11 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-05 17:11 . 2011-03-05 17:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-05 17:10 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-05 17:10 . 2011-03-05 17:11	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-02-28 19:00 . 2011-02-28 19:08	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-02-08 19:57 . 2011-02-08 19:57	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-03-09_21.24.25   )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-18 39408]
"ICQ"="c:\programme\ICQ7.2\ICQ.exe" [2011-01-05 133432]
"pokiojkjnkj.exe"="c:\pokiojkjnkj\pokiojkjnkj.exe" [BU]
"Recycle.Bin.exe"="c:\recycle.bin\Recycle.Bin.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-05 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-05 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-05 141848]
"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.Exe" [2008-06-09 82224]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-18 178712]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-03-27 1040384]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]
"WatchDog"="c:\programme\InterVideo\DVD Check\DVDCheck.exe" [2008-05-23 197904]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2008-04-30 1347584]
"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2008-04-30 1191936]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-14 149280]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Recycle.Bin.exe"="c:\recycle.bin\Recycle.Bin.exe" [BU]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
DVD Check.lnk - c:\programme\InterVideo\DVD Check\DVDCheck.exe [2009-2-27 197904]
LUMIX Simple Viewer.lnk - c:\programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2009-8-16 57344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\aphhdlpc\ivytqlyp.exe"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Ubisoft\\Demo\\James Cameron's AVATAR - DAS SPIEL (Demo)\\bin\\AvatarDemo.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Dokumente und Einstellungen\\*BENUTZER*\\Eigene Dateien\\Downloads\\SweetImSetup.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
.
.
R2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [2010-07-27 135664]
R3 RoxMediaDB10;RoxMediaDB10;c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [2008-04-08 1112560]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;c:\windows\system32\DRIVERS\SCR3XX2K.sys [2007-06-21 56448]
S0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [2008-03-28 24064]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-01-04 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-07 135336]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]
S3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]
.
2011-03-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-27 18:10]
.
2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-27 18:10]
.
2011-03-09 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-03-28 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\*BENUTZER*\Anwendungsdaten\Mozilla\Firefox\Profiles\g57ydrfk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-09 22:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\windows\System32\TUProgSt.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Internet Explorer\iexplore.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Internet Explorer\iexplore.exe
c:\programme\Internet Explorer\iexplore.exe
c:\programme\Avira\AntiVir Desktop\avscan.exe
c:\windows\System32\vssvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\msdtc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-09  22:58:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-09 21:58
.
Vor Suchlauf: 12 Verzeichnis(se), 34.116.005.888 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 30.278.602.752 Bytes frei
.
- - End Of File - - 552187E888E7259124149FB0A6481BCB

--- --- ---

markusg · 10.03.2011, 14:10

öffne mal den arbietsplatz c: dort rechtsklick auf qoobox, mit winrar oder zip packen, hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Milzbrandt · 10.03.2011, 17:06

Mach ich sobald ich wieder an den Rechner komme, is der Laptop von einer Bekannten. Kann ich das ganze auch aus dem "Abgesicherten Modus mit Netwerkunterstützung" machen? Beim normalen starten kann man nähmlich nich mehr viel machen, weil Avira einen mit Virenmeldungen bombadiert und ich langsam angst um die Daten bekomme.

markusg · 10.03.2011, 17:08

klar.
danach machen wir uns auch ans neu aufsetzen.

Milzbrandt · 12.03.2011, 20:06

Habs hochgeladen.

09.03.2011, 20:29	#2
markusg /// Malware-holic	Weiterleitung google auf Gomeo // ständige Trojaner/etc meldungen von Avira welches betriebssystem verwendest du? __________________ __________________

10.03.2011, 14:10	#6
markusg /// Malware-holic	Weiterleitung google auf Gomeo // ständige Trojaner/etc meldungen von Avira öffne mal den arbietsplatz c: dort rechtsklick auf qoobox, mit winrar oder zip packen, hochladen. http://www.trojaner-board.de/54791-a...ner-board.html __________________ --> Weiterleitung google auf Gomeo // ständige Trojaner/etc meldungen von Avira

Weiterleitung google auf Gomeo // ständige Trojaner/etc meldungen von Avira

Plagegeister aller Art und deren Bekämpfung: Weiterleitung google auf Gomeo // ständige Trojaner/etc meldungen von Avira