Trojaner-Board - Suchmaschinen leiten auf windowsclick...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Suchmaschinen leiten auf windowsclick... (https://www.trojaner-board.de/70996-suchmaschinen-leiten-windowsclick.html)

Zitat:

Was siehts denn da bei den Leuten aus, die nur die Windows-Firewall installiert haben...?

äh, habe weder ein Anti-Malware-Programm, noch die Windows-Firewall installiert ...
... und auch keine freilaufende Malware auf dem Computer :confused:

hab Ubuntu und iptables

Zitat:

Dachte mit Spybot

Auf das Teil reagiere ich mittlerweile allergisch. http://www.trojaner-board.de/408463-post8.html

Zitat:

Was siehts denn da bei den Leuten aus, die nur die Windows-Firewall installiert haben...?

Kann ich nicht sagen, die ist bei mir ausgeschaltet, hab doch eine im Router. Ansonsten läuft bei mir nur Brain.exe.

ciao, andreas

So, nach 7 Stunden war das AVP-Tool auch fertig mit scannen...
Das hat die zahlreichen Email-Trojaner gefunden, die AntiVir beim Eingang schon gemeldet hat und eigentlich löschen sollte...
Nachher werd ich noch mal das PrevX nochmal durchlaufen lassen...
WElches der ganzen Programme lohnt sich auf dem Rechner zu behalten und ab und an immer mal zu benutzen?
CCleaner ist klar...

Mfg
JayJayS

PrevX meint CLEAN...

Wars das?

Ein letztes HJT-Log posten.

Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

ciao, andreas

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:32:07, on 18.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\sm56hlpr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Programme\NETGEAR\WG311v3\wlancfg5.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\internet explorer\iexplore.exe

C:\Programme\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schnueffel.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Programme\Hercules\Deluxe Optical Glass\Camservice.exe /startup

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: is-VQ54M.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\Virus Removal Tool\is-VQ54M\startup.exe

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 6440 bytes

:eek:

Was habe ich nochmal geschrieben?

Zitat:

Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

So, du schreibst jetzt 100mal an die Tafel: Ich soll alle Programme deinstallieren! :aufsmaul:

Gute Nacht,
Andreas

Zitat:

Ein letztes HJT-Log posten.

Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

Bin nur der Reihenfolge nach gegangen...:heulen:
Außerdem, wie soll ich HJT machen wenn es deinstalliert ist? :headbang:

Ich weiß auch nicht was gegen SUPERAntiSpyware und CCleaner auszusetzen ist...? Finde die beiden Programme sehr nützlich...

Der Rest ist schon entsorgt...:rolleyes:

MfG
JayJayS

HJT, MalwareBytes und CCleaner kannst du natürlich behalten. Du bist der Erste, der das so wörtlich nimmt. SuperAntiSpyware kannst du auch behalten, da jedoch den Wächter abschalten.

ciao, andreas

Da ja nun alles wieder sauber zu sein scheint, ist es langsam an der Zeit mal ein DANKESCHÖN hier an Dich Andreas loszuwerden...
Verrate mir nur noch eins...Warum den Wächter abschalten?

MfG
Jens

Weil der sich zu tief ins Betriebssystem klinkt und dadurch Ärger verursacht.

Gute Nacht, andreas

Hallo Trojanerjäger,

ich habe exakt das gleiche Problem, es besteht seit heute vormittag, wobei Spybot mich nicht gewarnt hat, ich aber Systeminstabilitäten verzeichne. Und es scheinen Dateien beschädigt zu sein, denn ich werde aufgefordert CHKDSK laufen zu lassen, das funktioniert aber auch nicht so richtig. Mein altes Outlook macht auch Mucken. Erstmal habe ich alle meine Daten in Eigene Dateien auf eine andere (USB-)Platte gerettet, diese dann abgetrennt.

Dann stiess ich auf diesen Thread und las ihn und habe bis hierher alle gezeigten Schritte gemacht und entsprechende GMER.txt und Avenger.txt Dateien aufgehoben, die wohl Zeigen wo wir stehen.

Jetzt bin ich dieser Stelle und traue mich wegen der Warnungen ohne Anleitung nicht weiter zu machen. Also bitte ich um Hilfe!

Wie gehe ich vor? Neuer Thread? Oder machen wir hier weiter?

Vielen Dank für Eure Hilfe!!

Gruss,
Winfried

Zitat:

Zitat von john.doe (Beitrag 421351)

Entschuldige bitte meine Unaufmerksamkeit. :)

OK. Erste Schritt ist erfolgreich absolviert. Klicke auf den ersten Link in meiner Signatur und arbeite alle Schritte unter 2 ab. HJT-Log brauchst du nicht.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Zitat:

Wie gehe ich vor? Neuer Thread?

Ja, dieser hier gehört JayJayS. Kauf dir deinen eigenen. :)

ciao, andreas