Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Umleitung 85.255...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.02.2009, 19:11   #1
Mico89
 
Umleitung 85.255... - Standard

Umleitung 85.255...



Guten Abend lieben Forengemeinde.
Ich habe das gleiche Problem wie "Uncle Doc". Die Festplatte lässt nicht durch einen Doppelklick öffnen, auch die externe nicht.
Das Problem herrschte schon vorher bei mir und nachdem ich gestern den PC formatiert habe, funktionierte wieder alles. Als ich heute dann die mobile Festplatte angeschlossen habe und auf sie zugreifen wollte, meldete sich das oben genannte Problem ein weiteres Mal. Vorerst auf die externe Festplatte beschränkt, funktioneren jetzt auch die Partitionen C:\ und D:\ nicht mehr durch Doppelklick.

Der HijackThis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:24, on 15.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marjan\Desktop\Neuer Ordner\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5151 bytes

________________________________________________________________
________________________________________________________________

Hier nochmal ein Logfile von Malwarebytes Antimalware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

15.02.2009 16:14:06
mbam-log-2009-02-15 (16-13-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 148359
Laufzeit: 23 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1441045d-d275-48e6-8ed3-232f5ef50c92}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gaopdxtpedkyhn.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxxowqjnpp.sys (Trojan.Agent) -> No action taken.
_______________________________________________________________
||Ich hab die vorhanden Probleme mit dem Programm entfernt. Ich hoffe es zumindest.||

Auch hatte ich bei mir Probleme mit dem Firefox, die aber jetzt, anscheinend durch das Löschen der infizierten Dateien, verschwunden sind.
Die Fehlermeldung die erscheint, wenn ich auf die Partionen zugreifen will ist:
RECYCLER\S-2-7-53-100025181-100019203-100027775-4790.com

Wenn mir jemand sagen könnte worum es sich dabei handelt und wie man das Problem beseitigen kann wäre ich sehr dankbar

Mit freundlichen Grüßen,
Mico89

Alt 15.02.2009, 19:13   #2
BataAlexander
> MalwareDB
 
Umleitung 85.255... - Standard

Umleitung 85.255...



Für Euch beide gilt:

- posten eines gmer Logs, nur um sicherzugehen

Wie Marc schon angedeutet hat, solltet Ihr die Windows CDs schon mal suchen, ihr habt eine Conficker / kido / Downadup Infektion. Diese kann man anhand der Symptome bereinigen, sicherer ist es aber den Rechner bei der Gelegeheit neu zu installieren.

Alex
__________________

__________________

Alt 15.02.2009, 19:42   #3
Mico89
 
Umleitung 85.255... - Standard

Umleitung 85.255...



Da ich den Beitrag aufgrund von zu hoher Zeichenlänge nicht editieren konnte muss ich noch einen Beitrag schreiben, ich hoffe man nimmt es mir nicht übel.

Der GMER Logfile:
(Zu groß für den Beitrag und auch für den Anhang)
[http://rapidshare.com/files/198476219/gmer_Logdatei.txt.html]

Ich vermute, dass sich mein Computer durch das Anschließen der externen Festplatte mit dem Virus/Infektion infziert hat. Wie bereits erwähnt habe ich meinen Pc gestern neu aufgesetzt und habe zuvor Sicherheitskopien von Daten auf die ex. Festplatte gezogen und damit auch anscheinend den Übeltäter. Gibt es eine Möglichkeit den Virus von der ex. Festplatte zu entfernen ohne dabei die Dateien zu gefährden oder zu löschen?

Danke im voraus,
Mico89
__________________

Alt 15.02.2009, 22:32   #4
BataAlexander
> MalwareDB
 
Umleitung 85.255... - Standard

Umleitung 85.255...



Dein Rechner ist so verseucht, das Du ihn gleich noch einmal neu installieren solltest.

1. Autostarts des Betriebssystems deaktivieren

Link

2. Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.

Achtung:
Das Programm wird aufgrund seines Verhaltens oft als Schadprogramm gemeldet. Dem ist nicht so, den Download also bitte zulassen!

Deaktiviere den Hintergrundwächter deines AVP.
Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 19.02.2009, 23:14   #5
Redwulf
 
Umleitung 85.255... - Standard

Umleitung 85.255...



@BataAlexander

es ist der Trojan.DNSChanger mit Rootkit. Schau in Windows System32/drivers


Alt 19.02.2009, 23:27   #6
BataAlexander
> MalwareDB
 
Umleitung 85.255... - Standard

Umleitung 85.255...



Zitat:
Dein Rechner ist so verseucht, das Du ihn gleich noch einmal neu installieren solltest.
Ich habe nichts anderes geschrieben. Trotzdem müssen die anderen Medien gereinigt werden, sonst macht das neu installieren keinen Sinn!

Oder hab ich Dich nun falsch verstanden?
__________________
--> Umleitung 85.255...

Alt 20.02.2009, 04:21   #7
Redwulf
 
Umleitung 85.255... - Standard

Umleitung 85.255...



Freud´sche Fehlleistung..sorry, aber war schon spät

Antwort

Themen zu Umleitung 85.255...
.com, ad-aware, ad-watch, adobe, antivir, antivirus, avira, bho, components, controlset002, desktop, einstellungen, fehlermeldung, festplatte, firefox, handel, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, mozilla, problem, registrierungsschlüssel, rundll, software, system, usb, windows, windows xp, wireless lan




Ähnliche Themen: Umleitung 85.255...


  1. Umleitung auf 'get-new-java.com'
    Log-Analyse und Auswertung - 20.11.2013 (18)
  2. Google Umleitung I have net
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (16)
  3. Umleitung bei Suchmaschinen
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (18)
  4. Umleitung auf ihavenet.com
    Log-Analyse und Auswertung - 20.11.2012 (3)
  5. Umleitung von Anfragen ins Web
    Netzwerk und Hardware - 10.10.2012 (3)
  6. 100ksearches Umleitung
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (6)
  7. GOOGLE umleitung
    Log-Analyse und Auswertung - 16.05.2010 (2)
  8. Google Umleitung
    Plagegeister aller Art und deren Bekämpfung - 30.07.2009 (33)
  9. Umleitung auf Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 30.06.2009 (6)
  10. DNS Umleitung was ist hier los?
    Log-Analyse und Auswertung - 28.02.2009 (2)
  11. Umleitung
    Log-Analyse und Auswertung - 05.02.2009 (1)
  12. Google umleitung
    Plagegeister aller Art und deren Bekämpfung - 22.09.2008 (1)
  13. Umleitung Internetseite
    Log-Analyse und Auswertung - 17.05.2008 (14)
  14. Umleitung in die Ukraine
    Plagegeister aller Art und deren Bekämpfung - 10.05.2008 (25)
  15. URL Umleitung
    Plagegeister aller Art und deren Bekämpfung - 22.01.2007 (1)
  16. Umleitung im IE
    Log-Analyse und Auswertung - 30.09.2006 (27)
  17. Umleitung
    Plagegeister aller Art und deren Bekämpfung - 26.06.2006 (30)

Zum Thema Umleitung 85.255... - Guten Abend lieben Forengemeinde. Ich habe das gleiche Problem wie "Uncle Doc". Die Festplatte lässt nicht durch einen Doppelklick öffnen, auch die externe nicht. Das Problem herrschte schon vorher bei - Umleitung 85.255......
Archiv
Du betrachtest: Umleitung 85.255... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.