|
Google zeigt falsche Seiten an!! Hi, wenn ich bei Google suche und auf die Links klicke öffnen Sich völlig fremde Seiten. Aber nur beim ersten klicken, dann öffnet sich die richtige Seite. AD Aware und Spybot haben nix gefunden. Vielen Dank für die Hilfe MFG Dennis Logfile of HijackThis v1.99.1 Scan saved at 11:01:45, on 17.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Dennis\Desktop\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {846E8F26-86A2-46A7-BED8-EF0A05DB3D60} - C:\WINDOWS\system32\jsproxyd.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - http://h**ps://stream.web.de/mail/ac...load_11213.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8D8AB670-0A3A-4863-B4C5-BBF3979F1C85}: NameServer = 213.191.92.82 213.191.74.11 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Ist das eigentlich weiter schlimm dieses Problem ? MFG Dennis |
Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board! Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Gruß :daumenhoc Sunny |
Antivirus Version Update Result AhnLab-V3 2007.6.16.0 06.15.2007 Win-AppCare/Stud.9728 AntiVir 7.4.0.32 06.16.2007 ADSPY/Stud.D Authentium 4.93.8 06.16.2007 no virus found Avast 4.7.997.0 06.16.2007 Win32:Trojano-3384 AVG 7.5.0.467 06.17.2007 Adware Generic.WNV BitDefender 7.2 06.17.2007 Adware.Stud.I CAT-QuickHeal 9.00 06.16.2007 AdWare.Stud.d (Not a Virus) ClamAV devel-20070416 06.17.2007 Adware.BHO-15 DrWeb 4.33 06.17.2007 no virus found eSafe 7.0.15.0 06.14.2007 no virus found eTrust-Vet 30.7.3721 06.15.2007 no virus found Ewido 4.0 06.17.2007 Adware.Stud FileAdvisor 1 06.17.2007 no virus found Fortinet 2.85.0.0 06.17.2007 no virus found F-Prot 4.3.2.48 06.15.2007 W32/Adware.IJT F-Secure 6.70.13030.0 06.15.2007 no virus found Ikarus T3.1.1.8 06.17.2007 not-a-virus:AdWare.Win32.Stud.d Kaspersky 4.0.2.24 06.17.2007 not-a-virus:AdWare.Win32.Stud.d McAfee 5054 06.15.2007 no virus found Microsoft 1.2607 06.17.2007 Trojan:Win32/Webprefix NOD32v2 2334 06.15.2007 Win32/Adware.BHO.AA Norman 5.80.02 06.15.2007 W32/Stud.Y Panda 9.0.0.4 06.16.2007 no virus found Prevx1 V2 06.17.2007 no virus found Sophos 4.18.0 06.12.2007 MapKon Sunbelt 2.2.907.0 06.16.2007 no virus found Symantec 10 06.17.2007 Adware.Webprefix TheHacker 6.1.6.133 06.15.2007 Adware/Stud.d VBA32 3.12.0.2 06.15.2007 AdWare.Win32.Stud.d VirusBuster 4.3.23:9 06.16.2007 Adware.BHO.EC Webwasher-Gateway 6.0.1 06.16.2007 Ad-Spyware.Stud.D Aditional Information File size: 23390 bytes MD5: df8bf2635db3ece1f90d72b3a5f79c6c SHA1: 04c7d5666b1b598bc2b960bd18a677f4c677699c packers: UPX packers: UPX packers: UPX packers: UPX |
ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Dennis\Desktop\ComboFix.exe "Dennis" - 2007-06-17 13:47:49 - Service Pack 2 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com ((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 ))))))))))))))))))))))))))))))) 2007-06-17 13:47 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-06-17 13:04 153,600 --a------ C:\WINDOWS\R.COM 2007-06-17 13:04 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-06-17 09:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy 2007-06-17 09:24 <DIR> d-------- C:\WINDOWS\pss 2007-06-04 10:49 <DIR> d-------- C:\DOKUME~1\Dennis\ANWEND~1\WEBDE 2007-06-01 14:27 <DIR> d-------- C:\Programme\Ubisoft (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-08 21:50:36 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-02 13:13:15 -------- d-----w C:\DOKUME~1\Dennis\ANWEND~1\Lavasoft 2007-05-02 13:13:07 -------- d-----w C:\Programme\Lavasoft 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-03-25 05:32:15 75,868 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-25 05:32:15 416,982 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-03-22 07:47:26 23,390 ----a-w C:\WINDOWS\system32\jsproxyd.dll 2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {846E8F26-86A2-46A7-BED8-EF0A05DB3D60}=C:\WINDOWS\system32\jsproxyd.dll [2007-03-22 09:47] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 C:\WINDOWS\RTHDCPL.EXE] "nwiz"="nwiz.exe" [2006-01-05 11:31 C:\WINDOWS\system32\nwiz.exe] "Muscbrigade"="c:\Musicbrigade\Musicbrigade.exe" [] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-22 08:10] "Alcmtr"="ALCMTR.EXE" [2005-05-03 18:43 C:\WINDOWS\ALCMTR.EXE] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] *Newly Created Service* - RSVP ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-17 13:48:51 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-17 13:49:07 C:\ComboFix-quarantined-files.txt ... 2007-06-17 13:49 --- E O F --- |
Du kannst mit den anderen Scans aufhören, dein System ist Kompromittiert!!! Folgende Schädling tummeln sich in deinem System: iifgfgf.dll - Dangerous - Greatis Software W32/Sality-U - Wurm - Sophos Bedrohungsanalyse Application Database - Greatis Software Troj/Delf-LV - Trojaner - Sophos Bedrohungsanalyse Be sovielen Schädlingen kann ich dir nur noch zu einer Neuinstallation raten. Einige der Schädlinge sind sogenannte HAXDOOR/BACKDOOR-Programme, dadurch war einem Dritten alle Fenster und Türe geöffnet. Sorry, Sunny |
Hi, aber wie habe ich die bekommen ??? Habe nichs runtergeladen oder ähnliches. Kann man das auch ohne neuaufsetzen machen ? Was ist wenn ich nichts mache und alles so lasse ? MFG Dennis |
Es ist Dritten möglich, durch die Hintertür, Programme zu installieren und z.B. all deine privaten Daten abzufangen. (Online Banking, eBay etc) Es ist dir überlassen ob du es so lassen willst, damit ein absolut ungesichertes System hast, oder 2 Stunden opferst, dein System ordentlich absicherst, und wieder beruhigt surfen kannst. ;) Wenn du dich für letzteres entscheidest, schreibe ich dir eine kurze Bereinigung, aber eine Garantie das danach alles wieder läuft und entfernt wurde, gibt es dann nicht. Morgen schon könnte dein gesamtes System abstürzen und alles ist weg.. Es ist deine Entscheidung... |
Hi, wäre nett wenn du mir eine erklärung zur Bereinigung senden könntest! Was meinst du mit alle Daten sind dann weg ? MFG Dennis |
Naja...wenn du heute eine Neuinstallation in Angriff nimmst, sicherst du dir natürlich vorher deine Daten, bringst dann dein Betriebssystem wieder neu auf kopierst deine Daten zurück und alles ist schön .. Tust du das nicht, und dein System kommt morgen durch die Infizierung (ist schon oft vorgekommen!) zum Totalabsturz, ist eventuell alles weg. Sei dir im klaren das du dein System nicht mehr dir gehört, sondern von außen steuerbar ist, somit hat jeder Zugriff auf deine Daten und kann damit anstellen was er will ... |
Hi, also meine Daten auf CD gesichert habe ich schon. Aber kann mann die Schädlinge nicht so entfernen ohne neuinstallation ? Beste Grüße Dennis |
Zitat:
Aber die Malware kann sich heute so gut verstecken das kaum ein Programm sie noch finden kann...vor allem nicht bei so starken Infektionen wie bei dir.. ;) |
Hallo, nachdem du deine Daten eh schon gesichert hast,ist es jetzt ein Leichtes eine Neuinstallation zu machen... Du hast keine Ahnung welch schwierige Entfernung nun auf dich zukäme... Mal ganz abgesehen von der Zeit die dafür gebraucht wird und immer vorrausgesetzt "sunny" ist solange online.... Du mußt einige schwierige Eingriffe vornehmen,die sehr leicht daneben gehen könnten.Insbesondere als "DAU" ,was nicht abwertend gemeint ist....hast du dich sehr schnell mal verklickt.... Bei einer Neuinstallation muß eigentlich nur deine Kiste schuften,während du dich gemütlich zurücklehnst und einen Tee schlürfen kannst.... Ist das gemacht,darfst du dir auch sicher sein der alleinige Boss auf der Kiste zu sein..... Bei einer Bereinigung kannst du das bestenfalls hoffen...:rolleyes: Irrlicht |
Hallo! Ich wollte mich bei Sunny bedanken. Hat alles wunderbar geklappt mit combo.exe. Nochmals herzlichen Dank!!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board