Internet öffnet fremde Seiten
 

Hey ihr Forenuser,

ich habe schon länger das Problem, dass mein Internet fremde Seiten aufruft.

Dies passiert wenn ich was googlen will und dann ein Link anklicke

zuerst kamen nur Werbeseiten aber jetzt kommen immer nur noch bösartige Seiten

ich hoffe ihr könnt mir weiter helfen

Ein :dankeschoen: im voraus

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

leider hab ich keine alten Scans mehr aber hier der Logfile

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5403

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

27.12.2010 17:14:44
mbam-log-2010-12-27 (17-14-44).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 132768
Laufzeit: 2 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{FCF5310F-450B-7EFA-8D4B-207F7169FBB5} (Trojan.ZbotR.Gen) -> Value: {FCF5310F-450B-7EFA-8D4B-207F7169FBB5} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{62835420-4BDA-49E1-C828-2A17B4854012} (Trojan.ZbotR.Gen) -> Value: {62835420-4BDA-49E1-C828-2A17B4854012} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\default user\startmenü\programme\autostart\ficyo.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Hier der Otl LogfileOTL Logfile:
--- --- ---

Hier der Extra LogfileOTL EXTRAS Logfile:
--- --- ---

Wenn du schon combofix auf eigene Faust ausführst, dann ist es auch deine Bringschuld, von allein das dazugehörige Log zu posten!!

oh sorry vergessen

habe schon mit Markusg das alles durch gekaut

der Logfile

ComboFix 10-12-25.03 - Administrator 27.12.2010 16:34:54.2.2 - x86 MINIMAL
ausgeführt von:: D:\Eigene Daten\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ibvuix\ciad.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat\gyvo.exe
C:\extensions.exe
C:\extensions.exe\config.bin
C:\jdsfjsdijf.exe
C:\jdsfjsdijf.exe\config.bin
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wpcap.dll

-- Vorheriger Suchlauf --

Infizierte Kopie von C:\WINDOWS\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von C:\WINDOWS\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

C:\WINDOWS\explorer.exe . . . ist infiziert!!

--------

C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

C:\WINDOWS\explorer.exe . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2010-11-27 bis 2010-12-27 ))))))))))))))))))))))))))))))
.

2010-12-20 20:31:12 . 2010-12-20 20:31:12 -------- d-----w- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-12-20 16:57:26 . 2010-12-20 17:00:56 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrueCrypt
2010-12-20 16:56:59 . 2010-12-20 16:56:59 231248 ----a-w- C:\WINDOWS\system32\drivers\truecrypt.sys
2010-12-20 16:56:54 . 2010-12-20 16:56:59 -------- d-----w- C:\Programme\TrueCrypt
2010-12-19 19:42:00 . 2010-12-19 19:43:51 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2010-12-19 19:36:57 . 2010-12-19 19:41:50 -------- d-----w- C:\Programme\VLC
2010-12-17 17:42:36 . 2010-12-17 17:42:36 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoft
2010-12-17 17:42:20 . 2010-12-17 17:45:00 -------- d-----w- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2010-12-17 17:42:20 . 2010-12-17 17:42:20 -------- d-----w- C:\Programme\DVDVideoSoft
2010-12-17 17:37:38 . 2006-06-29 12:07:36 14048 ------w- C:\WINDOWS\system32\spmsg2.dll
2010-12-17 17:37:02 . 2010-12-17 17:37:05 -------- d-----w- C:\WINDOWS\system32\de-DE
2010-12-17 17:31:32 . 2010-12-17 17:37:01 -------- d-----w- C:\WINDOWS\system32\XPSViewer
2010-12-17 17:31:27 . 2010-12-17 17:31:28 -------- d-----w- C:\Programme\MSBuild
2010-12-17 17:31:19 . 2010-12-17 17:31:19 -------- d-----w- C:\Programme\Reference Assemblies
2010-12-17 17:30:34 . 2008-07-06 12:06:10 89088 ----a-w- C:\WINDOWS\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-12-17 17:28:39 . 2008-07-06 12:06:10 89088 -c----w- C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2010-12-17 17:28:39 . 2008-07-06 12:06:10 117760 ------w- C:\WINDOWS\system32\prntvpt.dll
2010-12-17 17:28:38 . 2008-07-06 10:50:04 597504 -c----w- C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2010-12-17 17:28:38 . 2008-07-06 10:50:04 597504 ------w- C:\WINDOWS\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-12-17 17:28:37 . 2008-07-06 12:06:10 575488 -c----w- C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 575488 ------w- C:\WINDOWS\system32\xpsshhdr.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 1676288 -c----w- C:\WINDOWS\system32\dllcache\xpssvcs.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 1676288 ------w- C:\WINDOWS\system32\xpssvcs.dll
2010-12-17 17:25:42 . 2010-12-17 17:25:42 -------- d-----w- C:\Programme\MSXML 6.0
2010-12-12 13:07:15 . 2010-12-12 13:07:16 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Steinberg
2010-12-12 13:06:52 . 2010-12-12 13:06:52 -------- d-----w- C:\Programme\Windows Media Components
2010-12-12 12:57:44 . 2000-09-07 14:06:20 1441792 ----a-w- C:\WINDOWS\system32\nspw7.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:06 1429504 ----a-w- C:\WINDOWS\system32\nspa6.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:02 1335296 ----a-w- C:\WINDOWS\system32\nspm5.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:02 1318912 ----a-w- C:\WINDOWS\system32\nspp6.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:00 1404928 ----a-w- C:\WINDOWS\system32\nspm6.dll
2010-12-12 12:57:44 . 2000-09-07 14:05:58 1306624 ----a-w- C:\WINDOWS\system32\nsppx.dll
2010-12-12 12:57:44 . 2000-09-07 14:04:12 114688 ----a-w- C:\WINDOWS\system32\nsp.dll
2010-12-12 12:57:31 . 2010-12-12 13:06:14 -------- d-----w- C:\Programme\Steinberg
2010-12-05 13:55:35 . 2010-12-05 13:55:35 82 ----a-w- C:\cc_20101205_145526.reg
2010-11-28 14:14:52 . 2010-11-29 15:16:19 -------- d-----w- C:\Programme\Electronics Workbench 5.0
2010-11-28 10:39:32 . 2010-11-28 10:39:32 -------- d-----w- C:\Dokumente und Einstellungen\NetworkService\Startmenü
2010-11-28 09:49:00 . 2010-12-02 18:25:00 -------- d-----w- C:\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-22 16:21:17 . 2009-12-30 17:41:06 135096 ----a-w- C:\WINDOWS\system32\drivers\avipbb.sys
2010-11-28 09:50:58 . 2009-12-30 17:41:06 61960 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
.

------- Sigcheck -------

[-] 2004-11-11 12:00:00 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505 (xpsp.040806-1825)] . . C:\WINDOWS\system32\drivers\tcpip.sys

[-] 2004-11-11 12:00:00 . C194FC6A29F7BB1C3DDFACAFF1FBB2B1 . 507392 . . [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\system32\winlogon.exe

[-] 2004-11-11 12:00:00 . B63F325AD4D7DC317B8EE5933A189762 . 1035264 . . [6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="C:\Programme\EXPERTool\TBPanel.exe" [2009-05-12 14:43:36 2181672]
"AutoStartNPSAgent"="C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-01-14 15:38:04 102400]
"phonostarTimer"="C:\Programme\phonostar-Player\phonostarTimer.exe" [2010-01-18 12:31:52 37888]
"ICQ"="C:\Programme\ICQ7.2\ICQ.exe" [2010-10-27 12:20:45 133432]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 13:31:16 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 01:47:04 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 01:47:04 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 01:46:36 135168]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 08:51:26 16804864]
"nwiz"="nwiz.exe" [2009-06-10 07:29:34 1657376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2009-06-10 07:28:50 86016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-06-10 07:28:50 13758464]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-12 17:39:29 281768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 16:10:28 35696]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40:44 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24:46 32768]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 01:20:00 398944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 12:00:00 15360]

C:\Dokumente und Einstellungen\Default User\Startmen�\Programme\Autostart\
ficyo.exe [2010-12-26 142336]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6.5\\ICQ.exe"=
"D:\\Programme\\Spiele\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"C:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=
"C:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"D:\\Programme\\Spiele\\ComputerBild\\RiseofNation\\rise.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Programme\\ICQ7.2\\ICQ.exe"=
"C:\\Programme\\ICQ7.2\\aolload.exe"=
"D:\\Programme\\Spiele\\Titan Quest Immortal Throne\\Tqit.exe"=
"D:\\Programme\\Spiele\\Heroes of Might and Magic V - Tribes of the East\\Heroes of Might and Magic V - Tribes of the East\\bin\\H5_Game.exe"=
"D:\\Programme\\Spiele\\Heroes of Might and Magic V\\bin\\H5_Game.exe"=
"D:\\Programme\\Spiele\\ComputerBild\\RiseofNation\\nations.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [30.12.2009 18:41:05 135336]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [08.01.2010 18:58:39 233472]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [30.12.2009 20:59:16 246520]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [08.01.2010 18:58:39 36608]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [08.01.2010 18:58:47 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [08.01.2010 18:58:47 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [08.01.2010 18:58:47 121856]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK
.
Inhalt des "geplante Tasks" Ordners

2010-12-03 C:\WINDOWS\Tasks\AntiVir starten.job
- C:\PROGRA~1\Avira\ANTIVI~1\avcenter.exe [2009-12-30 17:41:05 . 2010-11-12 17:39:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Free YouTube Download - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktnjlvm7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{FCF5310F-450B-7EFA-8D4B-207F7169FBB5} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ibvuix\ciad.exe
HKCU-Run-{62835420-4BDA-49E1-C828-2A17B4854012} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat\gyvo.exe
HKLM-Run-NPSStartup - (no file)
HKU-Default-RunOnce-20693579 - C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\20693579.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-27 16:48:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

MBR

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD4000AAJB-00YRA0 rev.12.01C02 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-10

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Pend

.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)

Das sagst du jetzt erst :mad: :koch:

Warum machst du einen zweiten Thread auf, wenn markus dich und deinen Rechner schon verarztet, findest du das etwa fair den anderen gegenüber http://cheesebuerger.de/images/smilie/boese/k034.gif

http://www.trojaner-board.de/94096-p...-botvirus.html

sorry ich dachte es ist nur nen anderes Thema deswegen haben ich ein neus Thema erstellt

Markus hat dir auch geraten das System neu aufzusetzen...:balla:

werd ich auch machen