Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google Problem - Ich weine fast (https://www.trojaner-board.de/42196-google-problem-weine-fast.html)

AlfredE 15.08.2007 11:13
Google Problem - Ich weine fast
 
Hallo Community,

ich fang bald an zu weinen. Wenn ich auf Google Such Ergebnisse klicke lande ich bei irgendwelchen anderen Seiten (immer andere). Ich klicke auf zurück, klicke nochmals drauf.....funktioniert.

Ich habe gesucht, gelesen und festgestellt das es ab und zu auch andere mit diesem Problem gibt/gab. Leider gibt es keine einfache Lösung, die meinem IT Hintergrund entspricht (Datei runterlanden, ausführen und fertig)

Den Andren wurde über diesen Weg gehlofen (Logfile posten, fixen, nächstes Logfile und Tool etc etc). Leider versteh ich nicht allzuviel davon, werde mich aber bemühen Eure Hilfe umzusetzen....

Also ich beginne mit meinem ersten Logfile von heute (immerhin habe ich Das schonmal hinbekommen ;-)

Vielen Dank

Alfred E

Logfile of HijackThis v1.99.1
Scan saved at 12:08:49, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\oracle\product\10.2.0\client_1\bin\omtsreco.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\Apoint\HidFind.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Network Associates\Common Framework\UdaterUI.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Network Associates\Common Framework\McTray.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Desktop\google\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=5070208
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*w.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=5070208
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = tfsdesv30045:8080
O2 - BHO: (no name) - {00BE9A6B-7AF2-489E-8137-72553EC017BB} - C:\WINDOWS\system32\vdmdbg32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Programme\Copernic Desktop Search 2\DesktopSearchBand2526.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [PAC] Automatic Proxy Configuration
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - h**p://w*w.linkedin.com/cab/LinkedInContactFinderControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.com
O17 - HKLM\Software\..\Telephony: DomainName = ***.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\product\10.2.0\client_1\bin\omtsreco.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

daalex 15.08.2007 12:01
Hallo,

Kennst du diese "vdmdbg32.dll" Datei?

Ansonsten seh ich da nichts in diesem Log ... :dummguck:

Rene-gad 15.08.2007 12:02
Zitat:
Zitat von daalex (Beitrag 287381)
Kennst du diese "vdmdbg32.dll" Datei?
mal bei VirusTotal - Free Online Virus and Malware Scan auswerten ;)

daalex 15.08.2007 12:08
Zitat:
Mal bei "VirusTotal - Free Online Virus and Malware Scan" auswerten.
Ja, habe ich vergessen, danke. :eek:

AlfredE 15.08.2007 12:39
Super !!!

Wir kommen der Lösung näher...hoffentlich !!!

Ich habe die Datei mal gescannt...hier das Ergebniss..schein ein Trojaner zu sein *freuhüpfspring*

Und jetzt? EInfach löschen ????


Datei vdmdbg32.dll empfangen 2007.08.15 13:15:24 (CET)
Status: Beendet
Ergebnis: 22/32 (68.75%)

AhnLab-V3 2007.8.15.0 2007.08.14 Win-AppCare/Stud.9728
AntiVir 7.4.1.62 2007.08.15 ADSPY/Stud.D
Authentium 4.93.8 2007.08.15 -
Avast 4.7.1029.0 2007.08.13 Win32:Trojano-3384
AVG 7.5.0.476 2007.08.14 Adware Generic.WNV
BitDefender 7.2 2007.08.15 Adware.Stud.I
CAT-QuickHeal 9.00 2007.08.14 AdWare.Stud.d (Not a Virus)
ClamAV 0.91 2007.08.15 Adware.BHO-15
DrWeb 4.33 2007.08.15 -
eSafe 7.0.15.0 2007.08.10 -
eTrust-Vet 31.1.5061 2007.08.15 -
Ewido 4.0 2007.08.15 Adware.Stud
FileAdvisor 1 2007.08.15 -
Fortinet 2.91.0.0 2007.08.15 -
F-Prot 4.3.2.48 2007.08.14 W32/Adware.IJT
F-Secure 6.70.13030.0 2007.08.15 -
Ikarus T3.1.1.12 2007.08.15 not-avirus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.08.15 not-avirus: AdWare.Win32.Stud.d
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.15 Trojan:Win32/Webprefix
NOD32v2 2463 2007.08.15 Win32/Adware.BHO.AA
Norman 5.80.02 2007.08.14 W32/Stud.Y
Panda 9.0.0.4 2007.08.14 -
Prevx1 V2 2007.08.15 Generic.Malware
Rising 19.36.22.00 2007.08.15 Adware.Win32.Stud.d
Sophos 4.20.0 2007.08.12 MapKon
Sunbelt 2.2.907.0 2007.08.14 -
Symantec 10 2007.08.15 Adware.Webprefix
TheHacker 6.1.8.168 2007.08.14 Adware/Stud.d
VBA32 3.12.2.2 2007.08.14 AdWare.Win32.Stud.d
VirusBuster 4.3.26:9 2007.08.14 Adware.BHO.EC
Webwasher-Gateway 6.0.1 2007.08.15 Ad-Spyware.Stud.D

weitere Informationen
File size: 11260 bytes
MD5: 31da43c75c44b6f594f27390784e340e
SHA1: d410e315cd933fa685a4f248b031d9e054cd7fbd
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?
PX5=5829E5CDFC1BA5B82B7800165E7D26004644FE07

daalex 15.08.2007 12:42
Nichts schlimmes *puh*:) (Adware = Werbesoftware)

Downloade Killbox
öffne es, füge den Pfad der Datei ein, dann "delete on reboot" Haken setzen, anschließend auf das "Rote Kreuz" drücken, joar und dann wenn so 'ne Meldung wegen dem Neustart kommt bestätigen ...

AlfredE 15.08.2007 12:46
Zitat:
Zitat von daalex (Beitrag 287396)
Nichts schlimmes *puh*:)
Hehe...ich bin wahrscheinlich der EInzige der sich freut einen Trojaner gefunden zu haben :Boogie::Boogie::Boogie:

aber wenn ich weiss was es ist, bekommt man es weg..und ich kann wieder ungestört googlen :daumenhoc

Aber wie bekomm ich es weg...einfach löschen?

Oder zaubert Ihr wieder so ein wahnisinnig geheimes, ultra starkes "mach mir den Trojaner weg - Tool" aus dem Ärmel?

Danke

BataAlexander 15.08.2007 12:51
Deaktiviere die Systemwiederherstellung, Rechner neu starten,
Lösche die angegebe Datei.

Erstelle einen eScan, wie hier beschrieben und post das Log.

Danach kann die Systemwiederherstellung wieder aktiviert werden.

edit: komischer Thread http://cosgan.de/images/smilie/konfus/a015.gif, sers Rene-Gad :D

Bata

Rene-gad 15.08.2007 12:53
Zitat:
Zitat von AlfredE (Beitrag 287397)
Aber wie bekomm ich es weg...einfach löschen?
Wenn es geht - ja. Wenn nein - im abgesicherten Modus versuchen. Jedenfalls fixen:
Zitat:
O2 - BHO: (no name) - {00BE9A6B-7AF2-489E-8137-72553EC017BB} - C:\WINDOWS\system32\vdmdbg32.dll
EDIT: Moin BataAlexander :party:

AlfredE 15.08.2007 14:06
Soldele...fertig

das mit dem e-scan und so hab ich nicht hinbekommen, aber ich konnte irgendwie die datei löschen und der fehler tritt nicht mehr auf


:daumenhoc:daumenhoc:daumenhoc

Super Board, Klasse Benutzer !!!!

Ihr wahrt echnt ne Hilfe

Dankeschön

BataAlexander 15.08.2007 14:13
Zitat:
Zitat von AlfredE (Beitrag 287414)
das mit dem e-scan und so hab ich nicht hinbekommen,
Wo hackt es denn?

Bata

AlfredE 15.08.2007 14:43
Zitat:
Zitat von BataAlexander (Beitrag 287422)
Wo hackt es denn?

Bata
Bei dem lokalen anmelden und dem installieren mit dem gleichen benutzer...so ein mist wenn man sich nicht lokal auf dem rechner anmelden kann weil man nur ein domänen passwort hat, das wiederum lokal zu nix zu gebrauchen ist..
unsere IT kannste in die tonne kloppen!!!


aber fehler ist weg

Nochmal Vielen Dank an Alle !

BataAlexander 15.08.2007 18:14
Zitat:
unsere IT kannste in die tonne kloppen
Die wir mal wieder arbeitslos machen.:balla:

Danke für die späte Info. :rolleyes:

Bata

AlfredE 16.08.2007 08:16
Zitat:
Zitat von BataAlexander (Beitrag 287491)
Die wir mal wieder arbeitslos machen.:balla:

Bata
Bata, sicherlich nicht.

Zitat:
Zitat von BataAlexander (Beitrag 287491)
Die wir mal wieder arbeitslos machen.:balla:

Danke für die späte Info. :rolleyes:

Bata

Bata,

dieses Laptop darf ich privat nutzen, und da habe ich mir das im Urlaub eingefangen. Deswegen habe ich auch nicht die Unterstüztung bekommen die ich gebraucht hätte. Die wussten ohnehin nicht weiter.

Aber hier habe ich sie bekommen und dafür möchte ich auch Dir danke sagen.
Ich möchte nur nicht den EIndruck erwecken, dass ich irgendwelche Informationen bewusst zurückgehalten habe. Dafür macht Ihr ne zu gute Arbeit.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131