| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Spybot S&D nicht installierbar, Umleitung von Google SuchergebnissenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.05.2009, 13:04
| #1 |
 |  Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen Seit gestern habe ich folgendes Problem bemerkt: - Spybot S&D lässt sich nicht mehr updaten - Danach habe ich ihn deinstalliert und wollte ihn neuinstallieren, da er sich auch nicht mehr starten lies. Neuinstallation ist fehlgeschlagen, da ich nicht auf den server (h**p://www.safer-networking.org/de/index.html) zugreifen konnte. - Wenn ich per google Antivirus-Seiten suche werde ich beim anklicken der Suchergebnisse immer Umgeleitet. Der betroffene PC befindet sich in einem Netzwerk bestehend aus 3 PCs mit Windows XP, welche über einen Router ins Internet gehen. Die anderen beiden PCs waren bisher nicht von den obengenannten Symptomen betroffen. Sobald ich das Problem bemerkt habe habe ich den betroffenen PC vom Router / Netzwerk getrennt. Der betroffene PC besitzt außerdem 4 Benutzerkonten, was beim Ausführen von CCleaner Probleme gegeben hat, da ich den Clean auf allen 4 Konten ausführen musste (ich hab auf jedem Benutzerkonto einige GB an temporären Dateien gefunen, auch die Registry Fehler waren auf jedem Konto unterschiedlich) Um den ganzen Prozess mit HijackThis und einer eventuellen Virenentfernung zu vereinfachen hatte ich mir gedacht, alle Benutzerkonten außer einem zu löschen. Deshalb habe ich auch noch kein HijackThis log erstellt. Was wäre nun ratsam? Konten löschen oder 4 HijackThis logs? Außerdem habe ich mit AntiVir, welcher noch funktioniert und sich auch updaten lässt einen kompletten Scan gemacht und 134 Viren gefunden, welche ich gleich entfernt habe (normaler Systemstart, kein abgesicherter Modus). Das Problem besteht aber immer noch. |
|
09.05.2009, 18:47
| #2 |
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen So, ich habe mal einen Scan mit HijackThis gemacht. Hier das logfile, ich hoffe mir kann jemand helfen:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:33:27, on 09.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\lexpps.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Dokumente und Einstellungen\***\Desktop\tolli.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1937389088-1569392396-2112212497-1008\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User 'Annerose') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{85F03DE1-60B9-40DF-BAD5-0A10202BC0DA}: NameServer = 85.255.112.65,85.255.112.230 O17 - HKLM\System\CCS\Services\Tcpip\..\{AFC90665-8740-44A6-BAEE-4C482BB629B3}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.65,85.255.112.230 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.65,85.255.112.230 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.65,85.255.112.230 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 10250 bytes Geändert von Sh4dd4r (09.05.2009 um 18:53 Uhr) |
|
09.05.2009, 23:12
| #3 | |||
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen Guten Abend
__________________Zitat:
Zitat:
1.Starte nochmal Hijackthis,"Do a Systemscan only" und mach bei folgendem ein Häckchen rein: Zitat:
2.gehe in die Systemsteuerung->System->Systemwiederherstellung Dort Hacken rein bei Systemwiederherst. auf allen Laufwerken deaktivieren,und noch Übernehmen anklicken. 3.Danach Rechner neustarten. 4.Suche mal diese Datei: C:\Dokumente und Einstellungen\***\Desktop\tolli.exe gehe auf die Seite Virustotal und Versuche sie Hochzuladen,wenns geht Poste das Komplette Ergebnis hier. 5.Danach lade Dir mal Malwarebytes runter,Update das Programm und laß einen komplettscan machen,das Ergebnis hier auch Posten. 6.Die Logdatei von Avira wo die 134 gefunden worden sind auch unbedingt posten(Wenn zu groß bei http://materialordner.de/ Hochladen und den Link hier Posten. MfG Ghost Geändert von Ghost1975 (09.05.2009 um 23:19 Uhr) |
|
10.05.2009, 00:24
| #4 |
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen ich werd das morgen alles mal so durchführen, werd mich auch bis das ganze problem erledigt ist mit diesem rechner garnicht mehr im internet blicken lassen... die tolli.exe ist mein umbenanntes hijackThis, damit ichs ausführen konnte, sonst hat er immer nen fehler festgestellt und es gleich wieder beendet. |
|
10.05.2009, 09:45
| #5 |
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen So ich habe nun die Einträge mit HijackThis gefixt... auch Systemwiederherstellung ausgemacht... leider kam ich nach dem neustart garnicht mehr ins internet, mein Browser zeigt immer an dass die Seiten nicht gefunden werden können, egal welche... hab auch nochmal nen scan gemacht, die einträge sind nicht mehr aufgetaucht (die ich gelöscht habe). Dann hab ich noch mal einen Neustart gemacht und jetzt habe ich nen ganz üblen Bildfehler mit senkrechten Streifen immer so 4er Pakete nebeneinander... außerdem ist um den Mauszeiger n Quadrat aus kleinen pinken senkrechten Strichen... auch weiterhin komme ich nicht ins internet, hab daher den rechner erstmal wieder vom netz getrennt, systemwiederherstellung wieder an und neustart... jetzt ist auch der Bildfehler wieder weg. Dann hab ich mal bei den Netzwerkeinstellungen meiner Internetverbindung geschaut und gesehen, dass der DNS server nicht mehr drinstand (von meinem t-online router). Den hab ich wieder reingeschrieben, nun geht auch das internet wieder. Ich werde nur leider immer noch umgeleitet, es sind aber keine neuen einträge bei HijackThis aufgetaucht. Ich konnte in der nachrichtenzeile meines Firefox noch erkennen, dass es jetzt eine ip mit 77.XX ist. anschließend habe ich von meinem anderen PC (den infizierten hab ich wieder vom netz getrennt) malwarebytes runtergeladen und ne CD gebrannt mit spybot, malwarebytes und SuperAntispyware. Dann hab ich wieder alle anderen PCs vom Netz getrennt und den infizierten wieder ins Internet gelassen. Die Installation von Sypbot hat jetzt mal funktioniert, das updaten auch kein Problem, nur an bekomme ich ihn nicht. auch nicht wenn ich in ein fiktives verzeichnis installiere und die exe umbenenne... Genauso verhält es sich auch mit malwarebytes. Nur Superantispyware, welches ich schon gestern draufgemacht hatte, was sich aber da noch nicht updaten lies, funktioniert jetzt. Bin gerade dabei mit korrekten einstellungen einen vollen Systemscan zu machen, mal sehen was dabei herauskommt... Sollte ich das besser im abgesichterten Modus machen oder reicht da der normale? Werde das Ergebnis des Scans dann wieder hier posten, könnte aber einige stunden dauern. |
|
11.05.2009, 13:01
| #6 | ||||
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen Hallo Sh4dd4r Zitat:
Sag mal welche Grafikkarte hast du?(Ati/Nvidia) Geht jetzt nicht um deinen Bildfehler sondern ob du von Avira die CD Avira System Rescue benutzen kannst.Diese CD klappt, leider seit Monaten,nicht mit ATI Grafikkarten(Es sei den man ändert einen Parameter für die Auflösung auf der CD ab)Der Rechner muß nach dem Brennen von CD gestartet werden. Zitat:
Zitat:
Zitat:
MfG Ghost1975 |
|
22.05.2009, 08:01
| #7 |
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen Hey, danke erstmal für die große Hilfe die ich hier bekommen habe, soweit scheinen die meißten dinge wieder zu funktionieren. Der Bildfehler ist nie wieder aufgetaucht. Nach dem fixen durch HijackThis ging auf ein mal SUPERAntiSpyware zu updaten und zu installieren. Nachdem ich die exe umbenannt hatte, konnt ichs auch ausführen. Er hat dann einen Eintrag gefunden den ich in Quarantäne gestellt habe. Danach ging (was vorher nicht ging) Malwarebytes. Hier das log von SUPERAntispyware: Code:
ATTFilter SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com
Generated 05/10/2009 at 01:02 PM
Application Version : 4.26.1002
Core Rules Database Version : 3885
Trace Rules Database Version: 1833
Scan type : Complete Scan
Total Scan Time : 02:24:11
Memory items scanned : 475
Memory threats detected : 0
Registry items scanned : 6361
Registry threats detected : 0
File items scanned : 148553
File threats detected : 1
Trojan.Unknown Origin
C:\WINDOWS\SYSTEM32\OT.ICO
Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2104
Windows 5.1.2600 Service Pack 3
10.05.2009 21:01:45
mbam-log-2009-05-10 (21-01-38).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 258348
Laufzeit: 52 minute(s), 43 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Xstudio_Packet_Capture (Hijhack.LSP) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Ralph-Dieter\Desktop\SoftwarePlus.exe (Spyware.Banker) -> No action taken.
C:\WINDOWS\system32\gxvxccounter (Trojan.DNSchanger) -> No action taken.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
Danach hab ich nochmal einen Scan mit HijackThis gemacht, hier das log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:33:18, on 22.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\hallo\hallo.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Dokumente und Einstellungen\***\Desktop\halloi.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\hallo\hallo.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com/ O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{85F03DE1-60B9-40DF-BAD5-0A10202BC0DA}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AFC90665-8740-44A6-BAEE-4C482BB629B3}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8743 bytes und wie gehe ich am besten beim löschen der Viren in der Quarantäne vor? Abgesicherter Modus? Da der PC wieder ins Netzwerk mit 2 anderen PCs integriert werden soll, möchte ich ihn verständlicherweise ganz sauber bekommen. Das einzige was mir bisher noch aufgefallen ist, ist dass ich meinen Spybot zwar updaten aber immer noch nicht starten kann. Das würde ich auch gern wieder zum Laufen bringen. Zusätzlich gibt es jetzt noch in der rechten unteren ecke meines Desktops eine weiße Schaltfläche mit einem roten kreuz in der linken oberen Ecke (so wie wenn man mit dem Internet Explorer eine Seite nicht laden kann) keine Ahnung woher das schon wieder kommt. Noch als kleine Anmerkung: Alle Programme in den logs, die Hallo.exe oder Halloi.exe heißen, sind von mir umbenannte antivirenprogramme. Ich hoffe ihr könnt mir auch noch helfen den virus ganz zu beseitigen Gruß Sh4dd4r |
|
26.05.2009, 16:11
| #8 |
| | Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen Hey, ich brauch den PC wirklich dringend wieder voll funktionstüchtig, wär nett wenn sich jemand um mein Problem kümmern könnte! |
|
| Themen zu Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen |
| benutzerkonten, dateien, fehler, folge, google, google suchergebnisse, hijack, hijackthis, hijackthis log, internet, kein abgesicherter modus, kein hijackthis, log, netzwerk, problem, probleme, prozess, registry, router, scan, server, spybot s&d, starten, suche, systemstart, umleitung, unterschiedlich, update, windows, windows xp |
