Trojaner-Board
Seite 3 von 9 12 3 45 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google-Links führen zu Werbeseiten (https://www.trojaner-board.de/92830-google-links-fuehren-werbeseiten.html)

ABM12 21.11.2010 22:07
Code:
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Starting removal of ActiveX control {7530BFB8-7293-4D34-9923-61A11451AFC5}
C:\WINDOWS\Downloaded Program Files\OnlineScanner.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7530BFB8-7293-4D34-9923-61A11451AFC5}\ not found.
Starting removal of ActiveX control {9191F686-7F0A-441D-8A98-2FE3AC1BD913}
C:\WINDOWS\Downloaded Program Files\as2stubie.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9191F686-7F0A-441D-8A98-2FE3AC1BD913}\ not found.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer| /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 121541385 bytes
->Temporary Internet Files folder emptied: 123841813 bytes
->Java cache emptied: 128094 bytes
->Flash cache emptied: 988 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: ******
->Temp folder emptied: 382133 bytes
->Temporary Internet Files folder emptied: 543472257 bytes
->Java cache emptied: 1987622 bytes
->Flash cache emptied: 5938 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1225817 bytes
%systemroot%\System32 .tmp files removed: 1567623 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 133098 bytes
 
Total Files Cleaned = 758,00 mb
 
 
OTL by OldTimer - Version 3.2.17.3 log created on 11212010_215731

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Swisstreasure 21.11.2010 22:47
Und, wirst Du noch umgeleitet?

ABM12 22.11.2010 12:23
Ja, leider immer noch!

Swisstreasure 22.11.2010 14:33
Gehst Du über einen Router? Falls ja, dann resete diesen bitte einmal.

ABM12 22.11.2010 14:52
Ja, wir benutzen einen Router. Ich kann vielleicht die Angaben noch etwas präzisieren: Auf unserem zweiten Rechner treten die Symptome seit ein paar Tagen auch auf und gestern ist sogar auf meinem iPod touch ein Werbe-Pop-Up aufgegangen, was evtl. dafür sprechen würde, dass der Router und nicht der Rechner verantwortlich ist (oder gibt es Viren für den iPod touch?).

Ich probiere mal ihn zu resetten.

Swisstreasure 22.11.2010 14:54
Ja genau aus diesem Grund sollst Du einmal den router reseten und dringend das Passwort ändern.

ABM12 22.11.2010 16:15
Hörte sich vielversprechend an, hat aber nichts bewirkt.

Swisstreasure 22.11.2010 16:24
Schritt 1

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Schritt 2

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
  • Downloade die MBR.exe von Gmer und
    kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
    Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  • Start => ausführen => cmd (da reinschreiben) => OK
    es öffnet sich eine Eingabeaufforderung.

    Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
    Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

    Code:
    mbr.exe -t > C:\mbr.log & C:\mbr.log
    (Enter drücken)
  • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
    Bitte kopiere den Inhalt hier in Deinen Thread.

ABM12 22.11.2010 16:39
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000000c

Kernel Drivers (total 122):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9F48000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F22000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA338000 pavboot.sys
  0xBA0C8000 VolSnap.sys
  0xB9F0A000 atapi.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9EEA000 fltmgr.sys
  0xB9ED8000 sr.sys
  0xBA340000 PxHelp20.sys
  0xB9EC1000 KSecDD.sys
  0xB9E34000 Ntfs.sys
  0xB9E07000 NDIS.sys
  0xB9DED000 Mup.sys
  0xBA318000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB9C22000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xB9C0E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB9BE6000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA420000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB9BC2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA428000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBA118000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA128000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA138000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9B9F000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA430000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xB9B8C000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
  0xB9B47000 \SystemRoot\system32\DRIVERS\rtl8185.sys
  0xBA148000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA594000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB9B33000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA158000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA438000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA736000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA168000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBA598000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9B1C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA178000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA188000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA448000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB9B0B000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA198000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA450000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA458000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB9ADB000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA1A8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA5E0000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9A55000 \SystemRoot\system32\DRIVERS\update.sys
  0xB9DBD000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA1B8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xA9888000 \SystemRoot\system32\drivers\t3.sys
  0xA9864000 \SystemRoot\system32\drivers\portcls.sys
  0xBA1E8000 \SystemRoot\system32\drivers\drmk.sys
  0xA96AB000 \SystemRoot\system32\drivers\t3filt.sys
  0xBA1F8000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5E4000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBA5E6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA6FA000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5E8000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA478000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xBA480000 \SystemRoot\System32\drivers\vga.sys
  0xBA5EA000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5EC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA488000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA490000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA55C000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xA9678000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xA961F000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xA95F7000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xA95D1000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xA95AF000 \SystemRoot\System32\drivers\afd.sys
  0xBA218000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xBA228000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBA498000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xA9584000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xA9514000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA238000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA94C9000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA5F4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xBA288000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA94B1000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBA5FE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB9A20000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA3A8000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA6EB000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF055000 \SystemRoot\System32\ati2cqag.dll
  0xBF094000 \SystemRoot\System32\atikvmag.dll
  0xBF0CA000 \SystemRoot\System32\ati3duag.dll
  0xBF355000 \SystemRoot\System32\ativvaxx.dll
  0xA735C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA734C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA7037000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xA6FFA000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA7174000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA6EDE000 \SystemRoot\system32\drivers\ctusfsyn.sys
  0xA6EAC000 \SystemRoot\system32\DRIVERS\ctoss2k.sys
  0xA6E85000 \SystemRoot\system32\DRIVERS\ctsfm2k.sys
  0xBA5D8000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xA680E000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
  0xA67B6000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA5FE0000 \SystemRoot\System32\Drivers\HTTP.sys
  0xA5F94000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0xBA646000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
  0xA56AD000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 51):
      0 System Idle Process
      4 System
    732 C:\WINDOWS\system32\smss.exe
    788 csrss.exe
    816 C:\WINDOWS\system32\winlogon.exe
    860 C:\WINDOWS\system32\services.exe
    872 C:\WINDOWS\system32\lsass.exe
    1060 C:\WINDOWS\system32\ati2evxx.exe
    1076 C:\WINDOWS\system32\svchost.exe
    1152 svchost.exe
    1196 C:\WINDOWS\system32\svchost.exe
    1316 svchost.exe
    1344 svchost.exe
    1664 C:\WINDOWS\system32\spoolsv.exe
    1716 C:\Programme\Creative\Shared Files\CTAudSvc.exe
    1728 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1784 svchost.exe
    232 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    352 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    776 C:\Programme\Bonjour\mDNSResponder.exe
    536 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1464 C:\WINDOWS\ehome\ehRecvr.exe
    1580 C:\WINDOWS\ehome\ehSched.exe
    1796 C:\Programme\Java\jre6\bin\jqs.exe
    2564 C:\WINDOWS\system32\svchost.exe
    2624 C:\WINDOWS\system32\searchindexer.exe
    3248 C:\Programme\iPod\bin\iPodService.exe
    3512 C:\WINDOWS\system32\dllhost.exe
    3560 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3964 alg.exe
    3488 C:\WINDOWS\system32\ati2evxx.exe
    2104 wmiprvse.exe
    2580 C:\WINDOWS\explorer.exe
    3544 C:\WINDOWS\ehome\ehtray.exe
    2164 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    1824 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2768 C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe
    3832 C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
    2512 C:\WINDOWS\system32\rundll32.exe
    4032 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
    1996 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    2480 C:\Programme\iTunes\iTunesHelper.exe
    1828 C:\WINDOWS\system32\ctfmon.exe
    2948 C:\WINDOWS\ehome\ehmsas.exe
    1696 C:\Programme\Windows Desktop Search\WindowsSearch.exe
    2280 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2660 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    3880 C:\WINDOWS\system32\searchprotocolhost.exe
    3056 searchfilterhost.exe
    3984 C:\WINDOWS\system32\searchprotocolhost.exe
    3456 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-41

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

ABM12 22.11.2010 16:42
Code:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP2504C rev.VT100-41 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x89DB3AB8]
3 CLASSPNP[0xBA0E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000061[0x89E08F18]
5 ACPI[0xB9F7E620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP2T0L0-7[0x89DEBD98]
kernel: MBR read successfully
user & kernel MBR OK

Swisstreasure 22.11.2010 16:58
Ich muss was abklären. Werde mich wieder melden.

Swisstreasure 22.11.2010 20:01
Kannst Du einmal mit dem anderen Rechner ein Log erstellen mit OTL.exe?

Swisstreasure 22.11.2010 20:13
Test test test

ABM12 22.11.2010 21:47
Kommt gleich richtig

ABM12 22.11.2010 21:47
Sorry habe noch Namen drin gelassen


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:55 Uhr.
Seite 3 von 9 12 3 45 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19