gleiches Problem - Suchmaschinen - weiterleitung auf willkürliche Seiten

digger007 · 07.04.2011, 13:18

moin moin,
erst mal hallo im Forum. Ich hab jetzt auch das Problem, alle Browser machen was sie wollen. Über die Google suche wir man dann in das Nirvana geschickt.
Spybot findet nix
Macafee 8.7 Enterprise findet nix
in der Hostdatei steht nix.
hab ein Hijack log erstellt, ich hoffe ihr könnt mir weiterhelfen.
mfg digger

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:09:21, on 07.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINXP\System32\nvsvc32.exe
C:\Programme\RDS\RsiSvc.exe
C:\Programme\RDS\srscandr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINXP\System32\svchost.exe
C:\Programme\RDS\ddsschednt.exe
C:\WINXP\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\eclientn.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BnwinLocal\bnInfoCenter.exe
C:\Programme\Ascotel\BusinessCall\pcapp.exe
C:\Programme\BnwinLocal\bnNETTapi.exe
C:\Programme\bnwinlocal\bnwin.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe
C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\WINXP\system32\mfevtps.exe
C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
Z:\HiJackThis204.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ETapiSt] "C:\Programme\Ascotel\BusinessCall\etapist.exe" -autostart
O4 - HKLM\..\Run: [ETapiNotify] eclientn.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\r.golbeck\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - S-1-5-18 Startup: bnInfoCenter (2).lnk = C:\Programme\BnwinLocal\bnInfoCenter.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: BusinessCall for David.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: Telefonie.lnk = C:\Programme\BnwinLocal\bnNETTapi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: bnInfoCenter (2).lnk = C:\Programme\BnwinLocal\bnInfoCenter.exe (User 'Default user')
O4 - .DEFAULT Startup: BusinessCall for David.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: Telefonie.lnk = C:\Programme\BnwinLocal\bnNETTapi.exe (User 'Default user')
O4 - Startup: bnInfoCenter (2).lnk = C:\Programme\BnwinLocal\bnInfoCenter.exe
O4 - Startup: BusinessCall for David.lnk = ?
O4 - Startup: Telefonie.lnk = C:\Programme\BnwinLocal\bnNETTapi.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1302162129066
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bunse.int
O17 - HKLM\Software\..\Telephony: DomainName = bunse.int
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFA24C4A-6EC6-4430-A1D3-6C281DAD3794}: NameServer = 192.168.201.101,192.168.201.234
O17 - HKLM\System\CCS\Services\Tcpip\..\{D203A12B-485B-4A30-BD61-9105497AD86A}: NameServer = 192.168.201.105
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bunse.int
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Programme\RDS\ddsschednt.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINXP\system32\mfevtps.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINXP\System32\HPZipm12.exe (file missing)
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Programme\RDS\RsiSvc.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Programme\RDS\srscandr.exe
O23 - Service: SOption - RICOH Company Ltd. - C:\Programme\RDS\SOption.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8678 bytes

markusg · 07.04.2011, 14:02

poste alle Malwarebytes logs bitte. unter malwarerbytes, logdateien.

digger007 · 07.04.2011, 15:33

gesagt getan, er hat leider nix gefunden.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6299

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.04.2011 16:23:37
mbam-log-2011-04-07 (16-23-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 533700
Laufzeit: 5 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

markusg · 07.04.2011, 15:43

bitte Malwarebytes updaten und diesmal einen vollständigen scan machen, log posten.

digger007 · 07.04.2011, 19:38

sooo ich hab mich mal durchgearbeitet,
der kaspersky onlinescan hat nix gefunden,
cc cleaner auch nicht, dann noch der Malwarebytes fullscan log.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6302

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.04.2011 20:20:37
mbam-log-2011-04-07 (20-20-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 649449
Laufzeit: 31 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

dann hab ich noch den combofix log
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-04-06.03 - r.golbeck 07.04.2011  17:20:51.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.914 [GMT 2:00]
ausgeführt von:: c:\rootkit\CoFi.exe
AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\top5.BUNSE2007.000\DynGate_Setup_de.exe
c:\dokumente und einstellungen\top5\DynGate_Setup_de.exe
c:\winxp\system32\UNWISE.EXE
.
Infizierte Kopie von c:\winxp\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\winxp\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\winxp\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\winxp\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-07 bis 2011-04-07  ))))))))))))))))))))))))))))))
.
.
2011-04-07 14:59 . 2011-04-07 15:19	--------	d-----w-	C:\rootkit
2011-04-07 09:24 . 2011-03-30 11:05	25088	----a-w-	c:\winxp\system32\drivers\teamviewervpn.sys
2011-04-07 08:37 . 2011-04-07 08:37	--------	d-----w-	C:\QUARANTINE
2011-04-07 08:28 . 2011-04-07 08:28	--------	d-----w-	c:\dokumente und einstellungen\r.golbeck\Anwendungsdaten\Malwarebytes
2011-04-07 08:27 . 2010-12-20 16:09	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2011-04-07 08:27 . 2011-04-07 08:27	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2011-04-07 08:27 . 2010-12-20 16:08	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2011-04-07 08:27 . 2011-04-07 08:28	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-07 07:48 . 2009-04-09 18:07	65224	----a-w-	c:\winxp\system32\drivers\mferkdet.sys
2011-04-07 07:48 . 2009-04-09 18:07	43288	----a-w-	c:\winxp\system32\drivers\mfebopk.sys
2011-04-07 07:48 . 2009-04-09 18:07	23864	----a-w-	c:\programme\Mozilla Firefox\components\Scriptff.dll
2011-04-07 07:48 . 2009-04-09 18:07	91640	----a-w-	c:\winxp\system32\drivers\mfeavfk.sys
2011-04-07 07:48 . 2009-04-09 18:07	75704	----a-w-	c:\winxp\system32\drivers\mfeapfk.sys
2011-04-07 07:48 . 2009-04-09 18:07	63696	----a-w-	c:\winxp\system32\drivers\mfetdik.sys
2011-04-07 07:48 . 2009-04-09 18:07	342128	----a-w-	c:\winxp\system32\drivers\mfehidk.sys
2011-04-07 07:48 . 2009-04-09 18:07	70216	----a-w-	c:\winxp\system32\mfevtps.exe
2011-04-07 07:47 . 2011-04-07 07:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\Cisco Systems
2011-04-07 07:47 . 2011-04-07 07:47	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\McAfee
2011-04-07 07:47 . 2011-04-07 07:47	--------	d-----w-	c:\programme\McAfee
2011-04-07 07:47 . 2011-04-07 07:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\McAfee
2011-04-07 07:43 . 2009-08-06 17:24	15584	----a-w-	c:\winxp\system32\wuapi.dll.mui
2011-04-07 07:35 . 2011-04-07 07:35	781272	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-04-07 07:35 . 2011-04-07 07:35	728024	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2011-04-07 07:35 . 2011-04-07 07:35	1874904	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2011-04-07 07:35 . 2011-04-07 07:35	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2011-04-07 07:35 . 2011-04-07 07:35	142296	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2011-04-07 07:35 . 2011-04-07 07:35	1975768	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-04-07 07:35 . 2011-04-07 07:35	1893336	----a-w-	c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-04-07 07:35 . 2011-04-07 07:35	142296	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-03-24 08:24 . 2011-03-24 08:24	--------	d-----w-	c:\dokumente und einstellungen\Administrator.BUNSE.000\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-03-24 08:23 . 2011-03-29 06:32	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Spybot - Search & Destroy
2011-03-24 08:23 . 2011-03-24 08:25	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2011-03-21 14:19 . 2011-03-21 14:19	--------	d-----w-	c:\dokumente und einstellungen\m.sommerfeld\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2011-03-15 10:00 . 2011-03-15 10:00	--------	d-----w-	c:\dokumente und einstellungen\m.sommerfeld\Lokale Einstellungen\Anwendungsdaten\Help
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2005-08-08 05:33 . 2005-08-08 05:32	7034608	----a-w-	c:\programme\psa2011se_ger.exe
2005-08-08 05:32 . 2005-08-08 05:32	494704	----a-w-	c:\programme\ytb01_efgsip.exe
2011-04-07 07:35 . 2011-04-07 07:35	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2009-04-09 18:07 . 2011-04-07 07:48	23864	----a-w-	c:\programme\mozilla firefox\components\Scriptff.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\r.golbeck\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2011-04-07 136176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"JMB36X Configure"="c:\winxp\System32\JMRaidTool.exe" [2006-08-14 352256]
"NvCplDaemon"="c:\winxp\System32\NvCpl.dll" [2006-08-11 7630848]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"NvMediaCenter"="c:\winxp\System32\NvMcTray.dll" [2006-08-11 86016]
"ETapiSt"="c:\programme\Ascotel\BusinessCall\etapist.exe" [2006-06-02 253952]
"ETapiNotify"="eclientn.exe" [2008-03-27 188416]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-11-05 741376]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-10-30 77824]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2008-03-14 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2009-04-09 124240]
.
c:\dokumente und einstellungen\r.golbeck\Startmen\Programme\Autostart\
bnInfoCenter (2).lnk - c:\programme\BnwinLocal\bnInfoCenter.exe [2010-9-1 1241088]
BusinessCall for David.lnk - c:\winxp\Installer\{7899428A-A05B-4508-A8E1-75C7DDEEFAE7}\IconB61A2CB7.exe [2008-3-27 5120]
Telefonie.lnk - c:\programme\BnwinLocal\bnNETTapi.exe [2010-9-1 1273856]
.
c:\dokumente und einstellungen\d.schulz\Startmen\Programme\Autostart\
bnInfoCenter.lnk - c:\programme\BnwinLocal\bnInfoCenter.exe [2010-9-1 1241088]
.
c:\dokumente und einstellungen\r.golbeck\Startmen\Programme\Autostart\
bnInfoCenter (2).lnk - c:\programme\BnwinLocal\bnInfoCenter.exe [2010-9-1 1241088]
BusinessCall for David.lnk - c:\winxp\Installer\{7899428A-A05B-4508-A8E1-75C7DDEEFAE7}\IconB61A2CB7.exe [2008-3-27 5120]
Telefonie.lnk - c:\programme\BnwinLocal\bnNETTapi.exe [2010-9-1 1273856]
.
c:\dokumente und einstellungen\r.golbeck\Startmen\Programme\Autostart\
bnInfoCenter (2).lnk - c:\programme\BnwinLocal\bnInfoCenter.exe [2010-9-1 1241088]
BusinessCall for David.lnk - c:\winxp\Installer\{7899428A-A05B-4508-A8E1-75C7DDEEFAE7}\IconB61A2CB7.exe [2008-3-27 5120]
Telefonie.lnk - c:\programme\BnwinLocal\bnNETTapi.exe [2010-9-1 1273856]
.
c:\dokumente und einstellungen\r.golbeck\Startmen\Programme\Autostart\
bnInfoCenter (2).lnk - c:\programme\BnwinLocal\bnInfoCenter.exe [2010-9-1 1241088]
BusinessCall for David.lnk - c:\winxp\Installer\{7899428A-A05B-4508-A8E1-75C7DDEEFAE7}\IconB61A2CB7.exe [2008-3-27 5120]
Telefonie.lnk - c:\programme\BnwinLocal\bnNETTapi.exe [2010-9-1 1273856]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\winxp\pss\Adobe Reader - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Auto Document Link.lnk]
path=c:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Auto Document Link.lnk
backup=c:\winxp\pss\Auto Document Link.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Function Palette.lnk]
path=c:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Function Palette.lnk
backup=c:\winxp\pss\Function Palette.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Lieferungsdienste starten.lnk]
path=c:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Lieferungsdienste starten.lnk
backup=c:\winxp\pss\Lieferungsdienste starten.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ai Quicker Help]
2006-10-30 13:36	3166720	----a-w-	c:\program files\ASUS\ASUS DH Remote\AsRc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
2003-05-05 07:57	143360	----a-w-	c:\programme\Analog Devices\SoundMAX\SMTray.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R2 DdsSched;Dds Scheduler Deamon;c:\programme\RDS\DdsSchedNT.exe [04.04.2007 09:57 36864]
R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\engineserver.exe [09.04.2009 20:07 21256]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\winxp\system32\mfevtps.exe [07.04.2011 09:48 70216]
R2 RsiSvc;Ridoc Server Information Service;c:\programme\RDS\RsiSvc.exe [04.04.2007 09:57 65536]
R2 ScanRouterDriverV2;ScanRouterDriverV2;c:\programme\RDS\SrScanDr.exe [04.04.2007 09:57 178688]
R2 TeamViewer6;TeamViewer 6;c:\programme\TeamViewer\Version6\TeamViewer_Service.exe [07.04.2011 11:24 2271608]
R3 SNXPCARD;Sunix PCI Multi I/O Card Driver;c:\winxp\system32\drivers\snxpcard.sys [21.08.2008 13:38 20864]
R3 SNXPSERX;Sunix PCI Serial Port Driver;c:\winxp\system32\drivers\snxpserx.sys [21.08.2008 13:39 54528]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\winxp\system32\drivers\teamviewervpn.sys [07.04.2011 11:24 25088]
S2 Ca533av;Icatch(IV) Video Camera Device;c:\winxp\system32\drivers\Ca533av.sys [12.03.2007 15:32 515803]
S2 SOption;SOption;c:\programme\RDS\SOption.exe [04.04.2007 09:57 98304]
S3 mferkdet;McAfee Inc. mferkdet;c:\winxp\system32\drivers\mferkdet.sys [07.04.2011 09:48 65224]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\winxp\system32\drivers\RTL8187.sys [27.06.2007 18:25 176128]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - TEAMVIEWER6
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-07 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-2563283318-759743650-2365670902-1172Core.job
- c:\dokumente und einstellungen\r.golbeck\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-04-07 07:40]
.
2011-04-07 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-2563283318-759743650-2365670902-1172UA.job
- c:\dokumente und einstellungen\r.golbeck\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-04-07 07:40]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {BFA24C4A-6EC6-4430-A1D3-6C281DAD3794} = 192.168.201.101,192.168.201.234
TCP: {D203A12B-485B-4A30-BD61-9105497AD86A} = 192.168.201.105
DPF: DirectAnimation Java Classes - file://c:\winxp\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winxp\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\r.golbeck\Anwendungsdaten\Mozilla\Firefox\Profiles\0c2z17er.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.shtleipzig.gc-gruppe.de/
.
.
------- Dateityp-Verknüpfung -------
.
.scr=CAD-ModulScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-HASP HL Device Driver - c:\winxp\system32\UNWISE.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-07 17:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(860)
c:\winxp\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3724)
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\winxp\System32\nvsvc32.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\mfeann.exe
c:\programme\teamviewer\version6\TeamViewer.exe
c:\winxp\system32\RUNDLL32.EXE
c:\winxp\system32\eclientn.exe
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\McAfee\Common Framework\McTray.exe
c:\programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-07  17:44:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-07 15:44
.
Vor Suchlauf: 23 Verzeichnis(se), 92.649.238.528 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 93.758.742.528 Bytes frei
.
- - End Of File - - 7118AEC260E57CFA0C4C0639B07FC90D

--- --- ---

markusg · 08.04.2011, 10:06

und wo habe ich dich gebeten ein combofix log zu erstellen, bitte mache nur das von mir genannte, außer du möchtest im schlimmsten falle natürlich dein system schädigen.
öffne den arbeitsplatz c: dann rechtsklick auf qoobox.
mit winrar oder zip packen, archiv hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
wenn fertig, melden bitte.

07.04.2011, 14:02	#2
markusg /// Malware-holic	gleiches Problem - Suchmaschinen - weiterleitung auf willkürliche Seiten poste alle Malwarebytes logs bitte. unter malwarerbytes, logdateien. __________________ __________________

gleiches Problem - Suchmaschinen - weiterleitung auf willkürliche Seiten

Log-Analyse und Auswertung: gleiches Problem - Suchmaschinen - weiterleitung auf willkürliche Seiten