Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google Redirect... (https://www.trojaner-board.de/74037-google-redirect.html)

BlkChockr 11.06.2009 17:23
Google Redirect...
 
Also ich habe das gleiche problem wie dieser arme Mensch und habe mich daher schon durch seinen Thread gelesen, eigentlich brauche ich (glaub ich x)) nur noch das mit Combofix ;)

Meine Logs:

HJT:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:21, on 11.06.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe
C:\Programme\Logitech\GamePanel Software\LGDevAgt.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Windows\System32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Logishrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Sidebar\Sidebar.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Windows Sidebar\Sidebar.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\CircleDock0.9.2Alpha8.2\CircleDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Users\Viper\Desktop\e5et5r7z.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Programme\HijackThis\45egedgdg.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1
O4 - HKLM\..\Run: [Launch LgDevAgt] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Startup] C:\Programme\Windows Sidebar Styler\Startup.bat
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.bat
O4 - HKCU\..\Run: [CircleDock] C:\Programme\CircleDock0.9.2Alpha8.2\CircleDock.exe
O4 - HKCU\..\Run: [cmdkill] C:\Users\Viper\Desktop\cmdkill.bat
O4 - HKCU\..\Run: [CircleDock193] C:\Programme\CircleDock0.9.2Alpha8.2\CircleDock.bat
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: No-IP DUC.lnk = C:\Programme\No-IP\DUC20.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D38B8B71-FFAC-4647-A3F3-AD59D672652A}: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: 
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlackfishSQL - CodeGear - C:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\VistaSrv.exe

--
End of file - 11295 bytes

Installed Apps:

Code:
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
ABBYY FineReader 8.0 Professional Edition
AccessDiver v4.402
Adobe After Effects CS4
Adobe After Effects CS4 Presets
Adobe After Effects CS4 Third Party Content
Adobe AIR
Adobe AIR
Adobe Anchor Service CS3
Adobe Anchor Service CS4
Adobe Asset Services CS3
Adobe Asset Services CS4
Adobe Bridge CS3
Adobe Bridge CS4
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Extra Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Recommended Settings CS4
Adobe Color Video Profiles AE CS4
Adobe Color Video Profiles CS CS4
Adobe Creative Suite 4 Master Collection
Adobe Creative Suite 4 Master Collection
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS3
Adobe Dreamweaver CS3
Adobe Dreamweaver CS3
Adobe Dynamiclink Support
Adobe Encore CS4 Codecs
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS3
Adobe Extension Manager CS4
Adobe Fireworks CS4
Adobe Flash CS4
Adobe Flash CS4 Extension - Flash Lite STI en
Adobe Flash CS4 STI-en
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Illustrator CS4
Adobe Linguistics CS4
Adobe Media Encoder CS4
Adobe Media Encoder CS4 Additional Exporter
Adobe Media Encoder CS4 Exporter
Adobe Media Encoder CS4 Importer
Adobe MotionPicture Color Files CS4
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Premiere Elements 7.0
Adobe Premiere Elements 7.0
Adobe Premiere Pro CS4 Third Party Content
Adobe Reader 9 - Deutsch
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Setup
Adobe Soundbooth CS4 Codecs
Adobe Type Support CS4
Adobe Update Manager CS3
Adobe Update Manager CS4
Adobe Version Cue CS3 Client
Adobe Version Cue CS4 Server
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
Apple Mobile Device Support
Apple Software Update
AutoIt v3.3.0.0
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!DSL
BDE_ENT
BlueJ 2.5.0
Bonjour
Boost Libraries for C++Builder 2009
Boost Libraries for C++Builder 2009
Cain & Abel v4.9.31
Camtasia Studio 5
Camtasia Studio 6
CCleaner (remove only)
CDDRV_Installer
Choice Guard
C-Media PCI Audio Driver
CodeGear Delphi and C++Builder 2009 Database Pack
CodeGear Delphi and C++Builder 2009 Database Pack
Connect
DivX
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Fraps (remove only)
Free Video to Mp3 Converter version 3.1
Hex Workshop v6
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946344)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB948127)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB951708)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)
Hotfusion 0.8.0
HP Imaging Device Functions 9.0
HP Photosmart Essential 2.01
HP Photosmart Kameras 9.0
HP Solution Center 9.0
Icon Searcher 3.50
ICQ6.5
IrfanView (remove only)
IsoBuster 2.4
iTunes
Java DB 10.4.1.3
Java(TM) 6 Update 13
Java(TM) SE Development Kit 6 Update 11
KhalInstallWrapper
kuler
Logitech GamePanel Software 3.01
Logitech QuickCam
Logitech SetPoint
Logitech® Camera-Treiber
Messenger Plus! Live
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft SQL Server 2008
Microsoft SQL Server 2008
Microsoft SQL Server 2008 Common Files
Microsoft SQL Server 2008 Common Files
Microsoft SQL Server 2008 Database Engine Services
Microsoft SQL Server 2008 Database Engine Services
Microsoft SQL Server 2008 Database Engine Shared
Microsoft SQL Server 2008 Database Engine Shared
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server 2008 Native Client
Microsoft SQL Server 2008 RsFx Driver
Microsoft SQL Server 2008 Setup Support Files (English)
Microsoft SQL Server 2008-Browser
Microsoft SQL Server Compact 3.5 SP1 (Deutsch)
Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)
Microsoft SQL Server VSS Writer
Microsoft Virtual PC 2007 SP1
Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU
Microsoft Visual Basic 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual J# 2.0 Redistributable Package
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Mozilla Firefox (3.0.10)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MVision
Nero 9
neroxml
No-IP.com DUC (remove only)
NVIDIA Drivers
OEM Logo and Information
PDF Settings CS4
PE Explorer 1.99 R5
Photoshop Camera Raw
Pixel Bender Toolkit
Privoxy 3.0.6
QuickTime
S4 League_EU
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB960003)
Security Update for Microsoft Office Excel 2007 (KB959997)
Security Update for Microsoft Office OneNote 2007 (KB950130)
Security Update for Microsoft Office PowerPoint 2007 (KB957789)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Skype™ 4.0
Sql Server Customer Experience Improvement Program
SQL Server System CLR Types
Steam
Suite Shared Configuration CS4
SUPER © Version 2009.bld.35 (Jan 5, 2009)
TeamViewer 4
Tor 0.2.0.34
TuneUp Utilities 2009
UltraISO Premium V9.31
Unlocker 1.8.7
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Outlook 2007 Junk Email Filter (kb968503)
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VC80CRTRedist - 8.0.50727.762
Vegas Movie Studio Platinum 9.0
VIA Plattform-Geräte-Manager
Vidalia 0.1.10
VistaBootPRO 3.3
VLC media player 0.9.8a
Warsow 0.42
WindowBlinds
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live OneCare safety scanner
Windows Live-Uploadtool
Windows Media Player Firefox Plugin
Windows Sidebar Styler
WinPcap 4.0.2
WinRAR archiver
World of Warcraft
Xfire (remove only)
Xvid 1.2.1 final uninstall
Zattoo 3.3.3 Beta
GMER (Abgebrochen nach Fund und 3 Std langem Scannen ohne weiteren Fund):

http://blkchockr.dk-serv.de/GMER.txt

Ich hoffe auf schnelle Hilfe und schon mal Danke im Voraus :daumenhoc

MfG, BlkChockr

Edit: Achja ich musste Hijackthis umbennen, konnte sonst nicht ausgeführt werden... =/

john.doe 11.06.2009 17:55
Hallo und nochmal :hallo:

Mit dem wird Combofix fertig.

1.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

BlkChockr 11.06.2009 19:33
log.txt:

http://blkchockr.dk-serv.de/log.txt

info.txt:

http://blkchockr.dk-serv.de/log.txt

Combofix:

http://blkchockr.dk-serv.de/combofix.txt

john.doe 11.06.2009 20:15
Du sparst dir eine Menge Zeit, wenn du folgenden Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html

Falls du lieber bereinigen möchtest, dann:

1.) Die log.txt gibt es zweimal, die info.txt fehlt.

2.) Wozu brauchst du dieses Programm: C:\Programme\No-IP\DUC20.exe?

3.) Deinstalliere:
  • Bonjour
  • TuneUp Utilities
4.) Lade die Dateien
Code:
C:\Windows\System32\34662.sys
C:\Windows\system32\timerstop.sys
C:\Windows\system32\drivers\azhhffmx.sys
C:\Users\Viper\AppData\Local\Temp\cxvafakj.sys
C:\Windows\system32\drivers\EagleNT.sys
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html. Die Dateien sind nicht sichtbar. Markiere jeweils eine Zeile, kopiere sie und füge sie im Uploadchannel ein.

5.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Unterpunkte a und b unter Punkt 2 ab.

ciao, andreas

BlkChockr 11.06.2009 20:37
Ups, naja aber auf http://blkchockr.dk-serv.de/info.txt lag sie schon ;)

Ehm ich brauche es um eine DNS-IP für den auf meinem PC laufenden Teamspeak-Server erhalten zu können.

Bonjour ist mir egal, aber warum soll ich denn TuneUp deinstallieren? Sehe den Sinn darin nicht so ganz, tut mir leid...

Aber eigentlich ist der Redirecter schon weg, meinst du es sind noch "Reste" auf meinem System vorhanden oder warum soll ich die Dateien hochladen?

john.doe 11.06.2009 20:41
Das sind keine Reste, das sind aktive Schädlinge, zumindest einige davon, aber um den Beweis zu haben, musst du sie erst hochladen.

Wenn du TuneUp behalten möchtest, dann musst du die Logs lesen, mir ist das zu mühsam. :)

BTW: Lies hier (letzter Satz): http://www.trojaner-board.de/433943-post8.html

ciao, andreas

BlkChockr 11.06.2009 21:10
Ich hab sie schon hochgeladen, aber nur die ersten beiden Dateien waren vorhanden (jaa auch mit veränderter Ordneransicht und bei TotalCommander xP)

TuneUp deinstalliere Ich nur ungern, da ich damit regelmäßig vor allem meine Startups checke, da ich mir des öfteren .bats für den Autostarts schreibe... Wenns aber ZWINGEND ist um die Schädlinge loszuwerden, werde ich dieses Opfer aber auch bringen...

john.doe 11.06.2009 21:22
Lade dir Lop S&D herunter.

Mausklick rechts auf Lop S&D.exe => Ausführen als Administrator.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

ciao, andreas

BlkChockr 11.06.2009 22:12
Hmmm ich habs jetzt ein paar mal versucht, aber wenn ich D oder E eingebe, schließt sich das Programm immer. (Ja, ich habs natürlich als Admin ausgeführt ^^)

john.doe 11.06.2009 22:15
32 oder 64bit?

ciao, andreas

BlkChockr 11.06.2009 22:17
32 Bit....

john.doe 11.06.2009 22:24
Da sollte das eigentlich laufen. Versuchen wir es anders:

Erstelle ein Filelisting.
  • Lade die Datei listing0.bat auf deinen Desktop
  • Doppelklicke auf listing0.bat
  • Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

Lasse dich nicht von den Fehlermeldungen verunsichern, das liegt an Vista.

ciao, andreas

BlkChockr 11.06.2009 22:29
Code:
Das System kann den angegebenen Pfad nicht finden.
Datei nicht gefunden
Datei nicht gefunden
Datei nicht gefunden
Datei nicht gefunden
Die bat sieht aus wie für Linux geschrieben....

john.doe 11.06.2009 22:34
Zitat:
Lasse dich nicht von den Fehlermeldungen verunsichern, das liegt an Vista.
ciao, andreas

BlkChockr 11.06.2009 22:57
LoL Sorry, dachte nicht das das noch weitergeht, weil sich halt 30 Sek oder 1 Min nix tat in der Kommandozeile...

Sry das es so lange gedauert hat, musste noch die MSN Adressen rausnehmen...

http://blkchockr.dk-serv.de/listing.txt

PS: Warum suchst du in der Datei nach *crack*, *patch*, *key* usw? Find ich nicht richtig zu versuchen Einsicht in solche Sachen zu bekommen. (Auch wenn sich dort des öfteren Viren verstecken xP)

john.doe 12.06.2009 15:35
Zitat:
Warum suchst du in der Datei nach *crack*, *patch*, *key* usw?
a.) Hast du dir die Frage selbst beantwortet:
Zitat:
Auch wenn sich dort des öfteren Viren verstecken xP
b.) Kann ich noch genauer werden, wenn du mir folgende Frage beantwortest: Wie hast du den Rootkit bekommen?

Die Quelle für tdssserv.sys (war übrigens ein Keygen, wie überraschend :)) habe ich gefunden, bei gxvxcserv.sys bin ich noch auf der Suche.

1.) Poste den Inhalte der Dateien:
Code:
c:\windows\mic.bat
c:\windows\msi.bat
2.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
34662
azhhffmx
Timerstop
cxvafakj
EagleNT

NetSvc::
UxTuneUp

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1E96648E-4132-4F2E-982F-554E01BF15E4}"=-
"{CDDBD403-D3BE-41F3-81C0-26DA516FD4A3}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef9529ff-dff1-11dd-bf3a-001617c88cdc}]

Folder::
C:\rsit

DirLook::
c:\users\Viper\temp
c:\windows\Crack

File::
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\windows\system32\135623551.dat
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

BlkChockr 13.06.2009 13:21
Mein FTP is iwie gerade off, deswegen hier: File-Upload.net - combofix_neu.txt

john.doe 13.06.2009 13:35
Zitat:
Mein FTP is iwie gerade off
Das wird nicht das letzte sein. :D

Es fehlt noch Punkt 1 dieser Liste.

Du hast kein Antivirenprogramm?

1.) Deinstalliere LopSD.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade ihn beim Filehoster hoch und schicke mir den Link als PN.

3.) GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
  • Lade Trallala von file-upload.net
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Trallala.exe
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

BlkChockr 14.06.2009 11:01
Hmmmm O.o hier einmal Qoobox: Deposit Files

Aber irgendwie is mein pc jetzt ZIEMLICH langsam (explorer stürzt ab, usw...) GMER stürzt leider auch bei unstersuchung von Device\Harddiskshadowcopy oder so ähnlich ab >.< Was nun?

Achja, von mir verdächtigter Prozess: csrss.exe (kann nicht mit Taskmanager bearbeiten werden, auch nicht mit Admin rechten)

john.doe 14.06.2009 15:35
So, dann haben wir den Punkt erreicht, der ein Neuaufsetzen zwingend erforderlich macht. Bevor du startest würde ich dir allerdings empfehlen, das hier zu lesen (Absatz 2 und 3) => http://www.trojaner-board.de/441392-post20.html

Bei dir findet sich die Adobe Master Collection gleich zweimal. :)

Bevor du neuinstallierst, lasse noch folgende Programme bei VT auswerten (mittlerweile ist mir auch klar, warum du kein AVP benutzt :)) und überlege dir dreimal, ob du den neuinstallierten Rechner gleich wieder versauen möchtest.
Code:
c:\windows\Crack
c:\programme\WWWhack
c:\programme\WebCracker
Vor diesem Programm wird sogar ausdrücklich gewarnt:
Code:
c:\programme\Trainer Maker Kit
c:\programme\Trainer Creation Kit
Mal ganz abgesehen davon, dass Cheater für mich etwa gleichbedeutend wie Maden sind. :)

Es gibt Anzeichen dafür, dass dein Vista nicht so ganz legal ist. Den Beweis bleibe ich dir schuldig.

Du bist entlassen und ich bin raus,
andreas

BlkChockr 14.06.2009 16:22
Mein Problem ist, das ich seit Anfang des Jahres Vista schon 3 mal neu aufgesetzt habe... und jetzt im Moment läuft es eigentlich wieder ganz gut, kann es vielleicht sein, dass meine Freunde, die auf der gestrigen LAN-Party z.B. Warsow oder FEAR Combat von meinem PC gezogen haben, damit es sich nicht jeder wieder neu von der Website downloaden muss, diesen Leistungseinbruch zu tragen haben? (Mein vorheriger Beitrag wurde nämlich zu der Zeit eingetragen) :rolleyes:

Ist csrss.exe denn wirklich bösartig? Denn ich meine, normalerweise findet man die Datei doch auch in system32 an, oder? :confused:

Außerdem gefällt mir meine Systemkonfiguration grad so gut :aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19