Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google Redirect Virus unter Vista (https://www.trojaner-board.de/106608-google-redirect-virus-vista.html)

downloadboy 20.12.2011 15:03
Google Redirect Virus unter Vista
 
Hallo liebes Forum. Ich habe folgendes Problem. Sobald ich bei google etwas gesucht habe und auf eines der erscheinenden Ergebnisse klicke,werde ich zuerst auf die gewünschte Seite geleitet,aber dann sofort auf eine andere Umgeleitet. Ich denke,dass es sich dabei um den Google Redirect Virus handelt. Zudem wurde meine Windows-Sicherheitszentrale komplett deaktiviert und kann nicht mehr manuel aktiviert werden.

Ich habe bereits einen vollständigen Scan per Malwarebytes und OTL gemacht,die drei daraus resultierenden Dateien hänge ich mit an. Wie kann ich nun das Problem lösen? Über eine schnelle Lösung wäre ich sehr dankbar.

cosinus 20.12.2011 15:09
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

downloadboy 20.12.2011 15:13
ich hab das jetzt so verstanden,dass ich alle bisherigen zusammenfassungen posten soll,oder?

ich hänge die mit hier dran als datei.

cosinus 20.12.2011 15:27
Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


downloadboy 20.12.2011 17:56
Okay,war nach knapp 2 Stunden endlich fertig.

Ergebnisse hab ich als Datei angehängt.

cosinus 20.12.2011 21:40
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50182
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 50182
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [30D.exe] E File not found
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] E" File not found
O4 - HKLM..\Run: [amd_dc_opt] E File not found
O4 - HKLM..\Run: [AVMWlanClient] E File not found
O4 - HKLM..\Run: [FSCRecovery] E File not found
O4 - HKLM..\Run: [fssui] E" -AUTORUN File not found
O4 - HKLM..\Run: [Google Desktop Search] E" /STARTUP File not found
O4 - HKLM..\Run: [Google EULA Launcher] E IE PA File not found
O4 - HKLM..\Run: [iTunesHelper] E" File not found
O4 - HKLM..\Run: [mcui_exe] E" /RUNKEY File not found
O4 - HKLM..\Run: [NPCTray] E /LOAD File not found
O4 - HKLM..\Run: [NvCplDaemon] E C:\WINDOWS\SYSTEM32\NVCPL.DLL,NVSTARTUP File not found
O4 - HKLM..\Run: [QuickTime Task] E" -ATBOOTTIME File not found
O4 - HKLM..\Run: [RtHDVCpl] E File not found
O4 - HKLM..\Run: [Skytel] E File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] E" File not found
O4 - HKLM..\Run: [TkBellExe] E"  -OSBOOT File not found
O4 - HKLM..\Run: [USBestCR] E RUNFROMREG File not found
O4 - HKCU..\Run: [DIRAPIVisual] c:\users\patrick\appdata\local\temp\tempfolder.aaa\visualotto.exe File not found
O4 - HKCU..\Run: [DoorsTime] C:\Users\Patrick\Musik\Neueinsteiger der German Top 100 Single Charts vom 26.05.2008\DoorsDown.exe File not found
O4 - HKCU..\Run: [drmdyndataa75wef8e0e7] C:\Users\Patrick\AppData\Local\Temp\kTmu.exe File not found
O4 - HKCU..\Run: [drmdyndataAdobe] C:\Users\Patrick\AppData\Local\Temp\kTmu.exe File not found
O4 - HKCU..\Run: [InhaltsverzeichnisonetOneNote] C:\Users\Patrick\AppData\Roaming\Microsoft\Templates\Document Themes\Theme Effects\OneNoteInhaltsverzeichnisonet.exe File not found
O4 - HKCU..\Run: [lovebaby5324] c:\users\patrick\icq\319659553\receivedfiles\472473553 tien\fotos\nattyschatzii un ich\lovebaby.exe File not found
O4 - HKCU..\Run: [OneNoteInhaltsverzeichnisonet8873] c:\users\patrick\appdata\roaming\microsoft\templates\document themes\theme effects\onenoteinhaltsverzeichnisonet.exe File not found
O4 - HKCU..\Run: [Userinit] C:\Users\Patrick\AppData\Roaming\appconf32.exe File not found
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - HKCU..\RunServices: [a75wef8e0e7drmdyndata] C:\Users\Patrick\AppData\Local\Temp\kTmu.exe File not found
O4 - HKCU..\RunServices: [Diffarbeit] c:\users\patrick\pictures\2010-03-22 diff arbeit\diffarbeit.exe File not found
O4 - HKCU..\RunServices: [InhaltsverzeichnisonetOneNote] C:\Users\Patrick\AppData\Roaming\Microsoft\Templates\Document Themes\Theme Effects\OneNoteInhaltsverzeichnisonet.exe File not found
O4 - HKCU..\RunServices: [nvcmfltNVCOAFT4551] c:\users\patrick\appdata\local\temp\temp1_nvc30002.zip\data\bin\nvcmfltfilter5.0.56.exe File not found
O4 - HKCU..\RunServices: [PlayerPlugin5.2.11] C:\Users\Patrick\AppData\Local\Temp\kTmu.exe File not found
O4 - HKCU..\RunServices: [TimeDoors] C:\Users\Patrick\Musik\Neueinsteiger der German Top 100 Single Charts vom 26.05.2008\DoorsDown.exe File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000031 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000032 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O20 - HKCU Winlogon: Shell - (C:\Users\Patrick\AppData\Local\85257957\X) - File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{12ed44d9-0e41-11de-b9d0-bab3af6beed7}\Shell\1\Command - "" = .\recycled\info.exe
O33 - MountPoints2\{12ed44d9-0e41-11de-b9d0-bab3af6beed7}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe
O33 - MountPoints2\{7c959e3b-2374-11de-9663-0016ea72dd5a}\Shell\1\Command - "" = .\recycled\info.exe
O33 - MountPoints2\{7c959e3b-2374-11de-9663-0016ea72dd5a}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe
O33 - MountPoints2\{8212263c-ba32-11de-a3f3-00030db2741b}\Shell\AutoRun\command - "" = F:\Toshiba\more4you.exe
O33 - MountPoints2\{99d8dc60-0983-11df-8b32-00030db2741b}\Shell - "" = AutoRun
O33 - MountPoints2\{99d8dc60-0983-11df-8b32-00030db2741b}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{be352196-e0b8-11dd-9fb5-00030db2741b}\Shell - "" = AutoRun
O33 - MountPoints2\{be352196-e0b8-11dd-9fb5-00030db2741b}\Shell\AutoRun\command - "" = F:\pushinst.exe
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\Toshiba\more4you.exe
[2011.12.18 19:28:49 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2011.12.18 13:34:52 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
[2011.12.18 13:29:51 | 000,000,000 | -HSD | C] -- C:\Users\Patrick\AppData\Local\85257957
[2011.12.18 13:26:39 | 000,000,000 | ---D | C] -- C:\Users\Patrick\AppData\Roaming\11330
[2011.12.18 13:26:06 | 000,000,000 | ---D | C] -- C:\Users\Patrick\AppData\Roaming\6C511
[2011.12.16 15:05:20 | 000,000,000 | ---D | C] -- C:\Users\Patrick\BLES00697-SAVE-SAVE0005
:Files
C:\Users\Patrick\AppData\LocalLow\Sun\Java\Deployment\cache\6.0
c:\users\patrick\icq\319659553\receivedfiles
C:\Users\Patrick\AppData\Roaming\Microsoft\41B6
C:\Windows\System32\drivers\dfsc.sys
C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f\dfsc.sys
C:\Windows\tasks\At*.job
C:\Programme\ICQ6Toolbar
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!






mach nach dem Fix bitte einen CustomScan:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

downloadboy 21.12.2011 14:29
okay mach ich.ich hab aber noch nen paar frage vorher:

1."Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden..." Meinst du damit, dass ich alles schließen soll,die sachen einfügen und dann fix drücken,oder einmal fix drücken und dann den rest?

2.wie ist das denn mit den ganzen einstellungen,die man da dann wählen kann wegen safelist und so?muss ich da jetzt was beachten?

cosinus 21.12.2011 14:45
1. Nein erst nach Möglichkeit alle Programm schließen dann den Fix machen
2. nein einfach wie von mir beschrieben

downloadboy 21.12.2011 18:01
Hey,es sind ein paar riesen probleme aufgetreten.
1.hat sich otl beim ersten ding aufgehängt,und ist deswegen nicht ganz fertig geworden.
2.hab ich jetzt das problem,dass mein laptop ewig braucht,bis der an ist,und der dann wlan nicht mehr startet.und steam beschwert sich auch,dass da was defekt dran ist. Kann ich das alles irgendwie wieder ganz leicht retten,oder bleibt mir nur noch der totale neustart?

cosinus 21.12.2011 19:31
Ich brauch das Fixlog, zu finden in C:\_OTL

Mach am besten auch einen neuen CustomScan und poste das Log

downloadboy 25.12.2011 01:20
Dank deinem tipp ist alles schlimmer geworden.windows meckert,dass die abhängigkeitsgruppe für mein internet micht mehr verfügbar ist,word kann nicht mehr gestartet werden,steam hat ne schwere fehlermeldung,wenn ich hochfahre,was auch ziemlich lange dauert seitdem.

Ich würde dich bitten,meine sachen komplett aus dem forum zu entfernen,es sei denn,dass ist ganz normal,dass nix mehr geht,dann sag mir,was ich tun soll.hab deinen letzten schritt noch nicht gemacht,weil ich nur über handy internet habe,und das dann alles was schwer ist.

Damit,frohe Weihnachten.

cosinus 25.12.2011 23:43
Zitat:
Ich würde dich bitten,meine sachen komplett aus dem forum zu entfernen,
Nein wir löschen hier nichts. Wenn dann werden nur persönliche Infos unkenntlich gemacht.
Wenn alles zu schwergängig ist, dann probier den abgesicherten Modus mit Netzwerktreibern aus.

downloadboy 30.12.2011 12:28
so,das einzige,was geholfen hat,war ein backup zu laden.
ich würde dich also darum bitten,hier alle daten von mir unkenntlich zu machen.

cosinus 30.12.2011 18:53
Das macht dann unser Admin ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131