Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC infiziert? (go.google?) (https://www.trojaner-board.de/91144-pc-infiziert-go-google.html)

Sortar 26.09.2010 07:58
PC infiziert? (go.google?)
 
Guten morgen zusammen,

ich wurde in den letzten Tagen bei der Nutzung von Google immer wieder ungewollt auf div. Seiten weitergeleitet(z.B. google.analytics). Da ich nicht lange umhermachen wollte, habe ich gestern mein System neu aufgesetzt. Problem ist dabei nur, dass ich zwei Festplatten habe. Auf der ersten ist das BS und die Programme und auf der zweiten sind sämtliche Daten. Die zweite konnte ich nicht formatieren.
Beim suchen nach dem richtigen Grafikkartentreiber hat es mich dann erneut weitergeleitet.
Nun würde ich gerne wissen, ob ich mich erneut infiziert habe oder ob es nur Zufall war.

Danke & Grüße
Sortar

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:44, on 26.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1285403905250
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4735 bytes

cosinus 26.09.2010 12:04
Hallo und :hallo:

Zitat:
ich wurde in den letzten Tagen bei der Nutzung von Google immer wieder ungewollt auf div. Seiten weitergeleitet(z.B. google.analytics). Da ich nicht lange umhermachen wollte, habe ich gestern mein System neu aufgesetzt.
Google-Analytics gehört zu Google! Vllt hättest Du erstmal ein wenig vor der Formatierung recherchiert :stirn: Google Analytics | Offizielle Website

Wenn Dich Google-Analytics stört, kannst Du es über einen Eintrag in der Hosts Datei auf den localhost erden, sodass Dein Rechner diese URL nicht mehr erreichen kann.

Sortar 26.09.2010 15:46
Google-Analytics gehört zu Google! Vllt hättest Du erstmal ein wenig vor der Formatierung recherchiert :stirn: Google Analytics | Offizielle Website

Hallo,

das ist nur eine Seite von vielen. Hatte da sicher über 10 verschiedene. Ausserdem konnte ich Antivir vor der Formatierung auch nicht mehr aktualisieren.
Nach der Formatierung werde ich meistens auf diese Seite weitergeleitet:

h**p://95.158.237.243:11066/index.html?u=141&t=1

Auch beim surfen auf msi und trojaner-board.

Grüße

cosinus 26.09.2010 18:03
Wie genau hast Du Windows neu installiert?
Nach der Formatierung ist kein Schädling mehr drauf.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Sortar 27.09.2010 17:23
[QUOTE=cosinus;572310]

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

[QUOTE]

Das wundert mich ja auch. Habe c formatiert und neu inst. Nur die Datenplatte habe ich nicht formatiert. Da sind auch noch ein / zwei .exe mit drauf. KA ob es daran liegen könnte.
Update von Malwarebytes funktioniert auch nicht. Hab ne aktuelle Version geladen, die du in einem andern Thread vorgeschlagen hast.

Die drei Logs sind im Anhang, da sie zu lang waren.

Grüße

cosinus 27.09.2010 22:18
Zitat:
Da sind auch noch ein / zwei .exe mit drauf. KA ob es daran liegen könnte.
Ja sowas kann sein. hast Du den Kram ausgeführt per Doppelklick? Was für .exe sind das?

Sortar 28.09.2010 08:10
Morgen,

das sind selbstentpackende Archive mit Treibern für Board und Grafikkarte sowie Antivir und Zonealarm.
Habe jedoch beides vor dem ersten Auftreten der Symptome runtergeladen.
Die Treiber habe ich benutzt.

Soll ich alle ausführbaren Dateien löschen und dann das System nochmals neu aufsetzen? Habe bisher kaum etwas inst..

Grüße

cosinus 28.09.2010 12:32
Zitat:
Soll ich alle ausführbaren Dateien löschen und dann das System nochmals neu aufsetzen? Habe bisher kaum etwas inst..
Wird das beste sein. Das System ist ja quasi nackt.

Zitat:
und Zonealarm.
Diesen Unsinn bitte weglassen. Nutze die Windows-Firewall. Ausgehenden Verkehr kannst Du auch mit ZoneAlarm nicht wirklich blockieren.

Sortar 29.09.2010 11:43
Hallo,

habe nun alles ausführbare gelöscht, c formatiert und Windows nochmals inst..
Danach bin ich auf die Updateseite von Windows und wurde wieder auf die geliebte Seite weitergeleitet. Hab ausser Treibern nichts inst., gestartet oder angeklickt.
Da muss wohl doch noch iwas auf meiner Datenplatte sitzen.
Kann man das iwie überprüfen?

Grüße


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131