Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Google-Einträge werden auf falsche Seiten entführt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.02.2008, 15:26   #1
priamos
 
Google-Einträge werden auf falsche Seiten entführt - Standard

Google-Einträge werden auf falsche Seiten entführt



Hallo,

ich hoffe sehr, dass mir hier jemand helfen kann. Habe mir offenbar einen Browser-Hijacker eingefangen und kriege ihn mit herkömmlichen Spyware-Killern wie ad-aware nicht weg.

Beim Suchen mit Google landet mein Browser (IE7) ständig auf falschen (Werbe-)Seiten wie smartbizseach, arazilla, mamma.com und -zig anderen. Dies passiert beim jeweils ersten Klick nach einer neuen Google-Recherche.

Hier ein aktuelles HijackThis-Log. 1000 Dank für die Bemühungen von wem auch immer.

*****************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56:52, on 01.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\PROGRA~1\LOGITE~2\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4EAC692B-E167-03C5-8004-64550ED1283F} - C:\WINDOWS\System32\qyrnoamt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITE~2\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SfWinStartInfo] D:\kurbad\sfirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Esat] C:\Dokumente und Einstellungen\*****\Anwendungsdaten\pewr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] D:\T-Online 6.0\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 213.159.117.133 (HKLM)
O15 - Trusted IP range: 213.159.117.133 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096465284235
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 6401 bytes

Alt 01.02.2008, 15:39   #2
Chris4You
 
Google-Einträge werden auf falsche Seiten entführt - Standard

Google-Einträge werden auf falsche Seiten entführt



Hi,

hi, der Trusted IP-Range ist etwas, äh, seltsam:
Bei whois findet sich:
inetnum: 213.159.117.128 - 213.159.117.255
netname: LINKEY-NOVOCHERKASKI
descr: Novocherkski business center
descr: ITSP Linkey Ltd
remarks: For small offices, who used /30
country: RU
admin-c: KRON
tech-c: KRON
status: ASSIGNED PA
notify: noc@linkey.ru
mnt-by: LINKEY-MNT
source: RIPE

???????

Lass mal combofix von der Line und danach deckhard...

Combofix
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Deckard's System Scanner
http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=19
Poste die beiden Logs, Du solltest sie unter c:\comboscan finden...

chris
__________________

__________________

Alt 01.02.2008, 17:29   #3
priamos
 
Google-Einträge werden auf falsche Seiten entführt - Standard

Google-Einträge werden auf falsche Seiten entführt



Hallo,

combofix hat beim Durchlauf die Meldung ausgegeben: "Der Befehl LÖSCHE ist entwerder falsch geschrieben oder konnte nicht gefunden werden."

Das Programm hat dann einen Reboot veranlasst. Windows meldete anschließend: "Das System wurde nach einem schweren Fehler wieder ausgeführt." Combofix selbst hat keinen Report angezeigt. Hier der Inhalt der Datei ComboFix.txt:

*************************************
ComboFix 08-02.01.6 - asz 2008-02-01 16:47:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.73 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\asz\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

**************************************
Deckards System Scanner hat folgendes Protokoll ausgegeben:

**************************************
Deckard's System Scanner v20071014.68
Run by ***** on 2008-02-01 17:25:02
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Total Physical Memory: 255 MiB (512 MiB recommended).


-- HijackThis (run as *****.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25, on 2008-02-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\PROGRA~1\LOGITE~2\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\*****\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\*****.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4EAC692B-E167-03C5-8004-64550ED1283F} - C:\WINDOWS\System32\qyrnoamt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITE~2\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SfWinStartInfo] D:\kurbad\sfirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Esat] C:\Dokumente und Einstellungen\*****\Anwendungsdaten\pewr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] D:\T-Online 6.0\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 213.159.117.133 (HKLM)
O15 - Trusted IP range: 213.159.117.133 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096465284235
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 6330 bytes

-- Files created between 2008-01-01 and 2008-02-01 -----------------------------

2008-02-01 16:52:20 60416 --a------ C:\WINDOWS\system32\drivers\ComboFix.sys
2008-02-01 15:52:53 5767168 --a------ C:\Dokumente und Einstellungen\*****\ntuser.dat
2008-02-01 15:52:03 53248 --a------ C:\WINDOWS\PSEXESVC.EXE <Not Verified; Sysinternals; Sysinternals PsExec>
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\zts2.exe
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\system32\systems.txt
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\rundll16.exe
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\rundl132.dll
2008-01-19 23:38:20 0 d-a------ C:\WINDOWS\logo1_.exe
2008-01-19 22:18:26 0 d-------- C:\Dokumente und Einstellungen\*****\Recent
2008-01-13 12:43:52 0 d-------- C:\Programme\Trend Micro


-- Find3M Report ---------------------------------------------------------------

2008-02-01 16:51:49 0 d-a------ C:\Programme\Gemeinsame Dateien
2007-12-28 11:16:29 0 d-------- C:\Programme\Ad-Aware 2007
2007-12-28 10:57:22 0 d-------- C:\Programme\Windows Media Connect 2


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4EAC692B-E167-03C5-8004-64550ED1283F}]
C:\WINDOWS\System32\qyrnoamt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="LaunApp" []
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-02-01 17:46 C:\WINDOWS\system32\nwiz.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2001-08-02 12:52]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2001-08-02 12:51]
"LTSMMSG"="LTSMMSG.exe" [2001-08-02 15:28 C:\WINDOWS\LTSMMSG.exe]
"LaunchAp"="C:\Progra~1\Launch Manager\LaunchAp.exe" [2001-06-26 10:22]
"PowerKey"="C:\Progra~1\Launch Manager\PowerKey.exe" [2000-11-06 15:29]
"HotkeyApp"="C:\Progra~1\Launch Manager\HotkeyApp.exe" [2001-07-27 16:13]
"CtrlVol"="C:\Progra~1\Launch Manager\CtrlVol.exe" [2001-10-18 14:42]
"Wbutton"="C:\Progra~1\Launch Manager\Wbutton.exe" [2002-02-07 11:47]
"EM_EXEC"="C:\PROGRA~1\LOGITE~2\SYSTEM\EM_EXEC.EXE" [2001-09-19 09:41]
"DTSTA.EXE"="DTSTA.exe" [2002-07-30 08:45 C:\WINDOWS\system32\DTSTA.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2003-08-20 16:29]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 13:54]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-21 16:53]
"SfWinStartInfo"="D:\kurbad\sfirm32\sfWinStartupInfo.exe" [2007-06-15 15:41]
"routcnf"="C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"Esat"="C:\Dokumente und Einstellungen\*****\Anwendungsdaten\pewr.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=D:\T-Online 6.0\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=0 (0x0)
"SpecifyDefaultButtons"=0 (0x0)
"Btn_Search"=0 (0x0)
"NoBandCustomize"=0 (0x0)
"NoToolbarCustomize"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="kdmii.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe




-- End of Deckard's System Scanner: finished at 2008-02-01 17:26:34 ------------
__________________

Alt 05.02.2008, 07:54   #4
Chris4You
 
Google-Einträge werden auf falsche Seiten entführt - Standard

Google-Einträge werden auf falsche Seiten entführt



Hi,

Du hast einen Wurm (Alacra-B) auf Deinem Rechner...
Worm.Alacra-B Prevx

Das bitte prüfen und ggf. (bei Fund) unten im Script ergänzen und löschen lassen...

Zitat:
C:\WINNT\SYSTEM32\KDMII.EXE
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Avenger
The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Files to delete:
C:\WINDOWS\System32\qyrnoamt.dll
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Poste dann ein Silentrunner-Log:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Poste dann noch das Hostsfile:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

chris

Ps.: Wenn ich das richtig sehe, dann läuft auch schon ein Keylogger mit, Dein Rechner ist nicht mehr sicher (der Wurm hat auch Backdoorfunktionen);
Neu aufsetzten wäre angebracht, bitte von sauberen Rechner Passwörter (Email, Onlinespiele, Banking etc.) sofort ändern!..
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.02.2008, 07:59   #5
KarlKarl
/// Helfer-Team
 
Google-Einträge werden auf falsche Seiten entführt - Standard

Google-Einträge werden auf falsche Seiten entführt



Hi,

Vorsicht: Hier liegt ein Opfer des Escans vor. Mit Ausnahme der ersten Datei in der Avenger-Box sind die anderen die Fake-Verzeichnisse, mit denen der Escan Malware vortäuscht.

Avenger wird sie also nicht löschen können, das geht aber ganz einfach im Explorer, da sie eben nur vorgetäuschte Malware sind.

Code:
ATTFilter
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
         
Das werden mehr, irgendwann ist die Platte voll mit diesen Verzeichnissen. Danke Escan

Gruß, Karl


Alt 05.02.2008, 09:08   #6
Chris4You
 
Google-Einträge werden auf falsche Seiten entführt - Standard

Google-Einträge werden auf falsche Seiten entführt



Hi,

stimmt, sind als Directory gekennzeichnet, habe ich übersehen...

chris
__________________
--> Google-Einträge werden auf falsche Seiten entführt

Antwort

Themen zu Google-Einträge werden auf falsche Seiten entführt
ad-aware, adobe, antivir, avira, bho, canon, einstellungen, explorer, falsche seite, google, helfen, hkus\s-1-5-18, ie7, internet, internet explorer, launch, messenger, micro, microsoft, neue, nvidia, programme, rundll, s-1-5-18, seiten, sfirm, software, suche, system, t-online, usb, windows, windows xp



Ähnliche Themen: Google-Einträge werden auf falsche Seiten entführt


  1. Falsche seiten werden geöffnet
    Plagegeister aller Art und deren Bekämpfung - 15.12.2012 (67)
  2. (2x) Google läd falsche Seiten
    Mülltonne - 15.08.2012 (1)
  3. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  4. Suchergebnisse von Google werden auf falsche Seiten geleitet
    Log-Analyse und Auswertung - 18.01.2012 (17)
  5. Falsche Internet Seiten werden geladen, Schlechte Performence, USB Sticks werden nicht erkannt
    Log-Analyse und Auswertung - 08.04.2011 (19)
  6. Echter Anfänger braucht Hilfe: Google ergebnisse werden auf falsche Seiten geleitet
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (18)
  7. Falsche Seiten werden aus der Google-Suche aufgerufen
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (16)
  8. Google seiten werden auf verschiedene seiten umgeleitet oder nicht geladen
    Log-Analyse und Auswertung - 05.10.2010 (28)
  9. Google Suchergebnisse werden umgeleitet auf falsche Seiten
    Log-Analyse und Auswertung - 22.02.2010 (3)
  10. Falsche Seiten werden beim IE8 geöffnet
    Log-Analyse und Auswertung - 14.06.2009 (1)
  11. Google verlinkt auf falsche Seiten (auch p****seiten)T_T
    Plagegeister aller Art und deren Bekämpfung - 22.05.2009 (2)
  12. Falsche Seiten bei Google und Co
    Mülltonne - 21.12.2008 (0)
  13. Google Suchergebnisse werden entführt (Virus Restbestände?)
    Log-Analyse und Auswertung - 06.10.2008 (20)
  14. google generiert falsche seiten, webseiten werden blockiert
    Log-Analyse und Auswertung - 14.09.2008 (1)
  15. Falsche Seiten bei Google
    Log-Analyse und Auswertung - 14.08.2007 (1)
  16. Falsche Seiten bei Google
    Mülltonne - 14.08.2007 (2)
  17. Google Einträge werden umgeleitet+Explorer.exe hängt sich auf
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (7)

Zum Thema Google-Einträge werden auf falsche Seiten entführt - Hallo, ich hoffe sehr, dass mir hier jemand helfen kann. Habe mir offenbar einen Browser-Hijacker eingefangen und kriege ihn mit herkömmlichen Spyware-Killern wie ad-aware nicht weg. Beim Suchen mit Google - Google-Einträge werden auf falsche Seiten entführt...
Archiv
Du betrachtest: Google-Einträge werden auf falsche Seiten entführt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.