Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Google Suchergebnisse werden weitergeleitet zu "abnow.com"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2012, 11:32   #1
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Servus,

seit kurzem werde ich auf die Seite "hxxp://abnow.com/?search=" mit angehängtem Suchwort weitergeleitet, wenn ich bei Google (oder auch Yahoo) auf die Suchergebnisse klicke. Ich habe auch schon einige Themen im Forum hierzu gefunden. Ich bin jedoch auch immer wieder darauf gestoßen, dass jedes Problem individuell behandelt werden sollte. Daher noch ein paar Daten zu meinem System:

Mein Virenscanner (Avira Free AntiVirus) hat mir auch mehrere Viren/Trojaner gemeldet. Im Anhang habe ich auch eine Reportdatei dazu angehängt. Bei der Meldung von Avira habe ich jeweils auf "entfernen" geklickt.

Hier im Thread befindet sich noch die Datei "DDS.txt" und im Anhang die Dateien "Attach.txt" sowie die Datei "Gmer.txt", wie diese in den Richtlinien für neue Themen gefordert sind.

Ich hoffe, dass mir hier weitergeholfen werden kann.

Matze

Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_29
Run by Matthias at 11:44:45 on 2012-02-24
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2047.1338 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Cisco VPN\cvpnd.exe
C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k hpdevmgmt
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\system32\svchost.exe -k imgsvc
D:\Programme\DocuCom\Bin\ZNLSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\svchost.exe -k HPService
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\system32\svchost.exe -k WindowsMobile
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - d:\progra~1\micros~1\office12\GR469A~1.DLL
BHO: Help the General-Search Project: {ca4520f3-ae13-4fb1-a513-58e23991c86d} - c:\users\matthias\appdata\roaming\mediaf~1\extens~1\GENCRA~1.DLL
BHO: ZeonIEEventHelper Class: {da986d7d-ccaf-47b2-84fe-bfa1549bebf9} - d:\programme\docucom\bin\ZeonIEFavClient.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\programme\java\bin\jp2ssv.dll
TB: DocuCom PDF: {e3286bf1-e654-42ff-b4a6-5e111731df6b} - d:\programme\docucom\bin\ZeonIEFavClient.dll
{555d4d79-4bd2-4094-a395-cfc534424a05}
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [<NO NAME>] 
uRun: [Google Update] "c:\users\matthias\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [Media Finder] "c:\program files\media finder\MF.exe" /opentotray
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [GrooveMonitor] "d:\programme\microsoft office\office12\GrooveMonitor.exe"
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [SMSERIAL] c:\program files\motorola\smserial\sm56hlpr.exe
mRun: [FreePDF Assistant] c:\program files\freepdf_xp\fpassist.exe
mRun: [AdobeAAMUpdater-1.0] "c:\program files\common files\adobe\oobe\pdapp\uwa\UpdaterStartupUtility.exe"
mRun: [AdobeCS5ServiceManager] "c:\program files\common files\adobe\cs5servicemanager\CS5ServiceManager.exe" -launchedbylogin
mRun: [SwitchBoard] c:\program files\common files\adobe\switchboard\SwitchBoard.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe
mRun: [<NO NAME>] 
mRun: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Download with &Media Finder - c:\program files\media finder\hook.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: Zeon Append to existing PDF - d:\programme\docucom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert link target to DocuCom PDF - d:\programme\docucom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: Zeon Convert link target to existing PDF - d:\programme\docucom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert selected links to DocuCom PDF - d:\programme\docucom\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
IE: Zeon Convert selected links to existing PDF - d:\programme\docucom\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
IE: Zeon Convert to DocuCom PDF - d:\programme\docucom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\programme\icq7.5\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - d:\progra~1\micros~1\office12\ONBttnIE.dll
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\windows\windowsmobile\INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\windows\windowsmobile\INetRepl.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\progra~1\micros~1\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
TCP: DhcpNameServer = 137.193.6.6 137.193.10.21
TCP: Interfaces\{AE286085-2B7A-4606-8830-BC9DEC05F891} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{AE286085-2B7A-4606-8830-BC9DEC05F891}\1445B4D2241434B45505 : DhcpNameServer = 10.0.4.5
TCP: Interfaces\{AE286085-2B7A-4606-8830-BC9DEC05F891}\5416379724F687D2646314344363 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{AE286085-2B7A-4606-8830-BC9DEC05F891}\64259445A51224F687C43565B4 : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{D4B1773B-DBB2-4A31-9445-B2E05A16D078} : DhcpNameServer = 137.193.6.6 137.193.10.21
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - d:\progra~1\micros~1\office12\GRA32A~1.DLL
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - d:\progra~1\micros~1\office12\GR469A~1.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\matthias\appdata\roaming\mozilla\firefox\profiles\sniwvhgw.default\
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 9666
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.65\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.69\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.79\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\users\matthias\appdata\local\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: d:\programme\adobe\reader\air\nppdf32.dll
FF - plugin: d:\programme\adobe\reader\browser\nppdf32.dll
FF - plugin: d:\programme\java\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\programme\java\bin\new_plugin\npjp2.dll
FF - plugin: d:\programme\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-15 36000]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-15 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-15 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-15 74640]
R2 ZNLSvc;Zeon License Service;d:\programme\docucom\bin\ZNLSvc.exe [2008-9-8 186200]
R3 AtcL001;NDIS-Miniporttreiber für L1-Gigabit-Ethernet-Controller von Atheros;c:\windows\system32\drivers\l160x86.sys [2009-6-25 47104]
R3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-8-25 218688]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update-Dienst (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-6-14 136176]
S3 ADVXRUKZPTW;ADVXRUKZPTW;c:\users\matthias\appdata\local\temp\ADVXRUKZPTW.exe [2011-7-13 564096]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 62464]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-6-14 136176]
S3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\drivers\ivusb.sys [2010-7-29 25112]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2011-5-18 137600]
S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 SwitchBoard;SwitchBoard;c:\program files\common files\adobe\switchboard\SwitchBoard.exe [2010-2-19 517096]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2010-11-20 52224]
S3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
S3 VKPWI;VKPWI;c:\users\matthias\appdata\local\temp\VKPWI.exe [2011-7-13 392064]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\drivers\WSDPrint.sys [2009-7-14 17920]
.
=============== Created Last 30 ================
.
2012-02-22 17:11:11	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-02-22 17:07:43	0	--sha-w-	c:\windows\system32\dds_log_trash.cmd
2012-02-22 17:07:03	--------	d-sh--w-	c:\users\matthias\appdata\local\89835f6e
2012-02-22 16:52:53	--------	d-----w-	c:\users\matthias\appdata\roaming\Media Finder
2012-02-22 16:35:49	--------	d-----w-	c:\windows\WindowsMobile
2012-02-22 16:09:18	262360	----a-w-	c:\users\matthias\appdata\roaming\wahemiex.dll
2012-02-21 06:38:25	6552120	----a-w-	c:\programdata\microsoft\windows defender\definition updates\{f125534d-15d5-4432-93b8-d3ee2f9e3a59}\mpengine.dll
2012-02-15 11:04:32	478720	----a-w-	c:\windows\system32\timedate.cpl
2012-02-15 11:04:27	690688	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-15 11:04:22	442880	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-15 11:04:20	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-01-31 08:11:51	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 08:11:51	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 08:11:51	314880	----a-w-	c:\windows\system32\webio.dll
2012-01-31 08:11:51	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-31 08:11:51	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 08:11:51	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-31 08:11:51	15872	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 08:11:51	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 08:11:51	1038848	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 08:11:51	100352	----a-w-	c:\windows\system32\sspicli.dll
.
==================== Find3M  ====================
.
2012-02-23 08:44:22	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-29 04:10:42	237072	------w-	c:\windows\system32\MpSigStub.exe
2011-12-19 13:12:00	104752	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2011-12-19 13:11:58	91440	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
2011-12-19 13:11:58	158512	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2011-12-14 03:04:54	1798656	----a-w-	c:\windows\system32\jscript9.dll
2011-12-14 02:57:18	1127424	----a-w-	c:\windows\system32\wininet.dll
2011-12-14 02:56:58	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04	2382848	----a-w-	c:\windows\system32\mshtml.tlb
.
============= FINISH: 11:45:42,99 ===============
         

Alt 24.02.2012, 11:38   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 24.02.2012, 13:34   #3
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Vielen Dank erstmal für die schnelle Antwort. :-)

Ich habe jetzt einmal den ersten Schritt deiner Antwort ausgeführt. Ich habe einen Vollscan mit Malewarebytes gemacht. Dabei wurden mir mehrere infizierte Dateien gemeldet. Diese habe ich gelöscht und unten ist das zugehörige Logfile. Ich nutze das Programm zum ersten Mal, daher habe ich noch keine älteren Logs. Bei meiner laienhaften Durchsicht des Logfiles ist mir die Firefox Extension "General Crawler" aufgefallen. Die ist mir vor ein paar Tagen schon im Firefox Addon Manager aufgefallen. Da sie mir nicht bekannt vorkam wollte ich sie löschen. Da es für dieses Addon jedoch keinen "Entfernen"-Button gab, habe ich im Mozilla Forum gesucht und bin dort auf ein manuelles Löschen aus dem Programmordner von Firefox (also D:\Programme\Mozilla Firefox\extensions) fündig geworden. Diese Schritte habe ich befolgt und habe gedacht es wäre damit getan. Leider war dem wohl nicht so. Ich werde heute abend auf jeden Fall noch den von euch vorgeschlagenen ESET-Scan durchführen.

Allerdings ist aber die Weiterleitung der Google-Suchergebnisse nicht mehr ersichtlich. Ich kann wieder ganz normal über Google Suchen und direkt die Ergebnisse anklicken. Aber wahrscheinlich wird dies noch nicht ausreichen, oder?

Grüße,
Matze

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.24.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Matthias :: MATTHIAS-LAPTOP [Administrator]

Schutz: Aktiviert

24.02.2012 12:44:39
mbam-log-2012-02-24 (12-44-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 443733
Laufzeit: 1 Stunde(n), 25 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCR\CLSID\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\gencrawler_gc.GenCrawler (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Matthias\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.dll (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Matthias\AppData\Local\89835f6e\X (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Löschen bei Neustart.
C:\Windows\winsxs\x86_microsoft-windows-offlinefiles-core_31bf3856ad364e35_6.1.7601.17514_none_a04fb2d2ba296321\csc.sys (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Matthias\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
__________________

Alt 24.02.2012, 14:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Du hast offensichtlich einen ZeroAccess drauf, der ist immer ungemütlich.
Ich würde dir erstmal für den Fall der Fälle eine Datensicherung empfehlen und dich darauf vorzubereiten, eine komplette Neuinstallation von Windows durchzuführen, den ZA kann man nämlich nicht immer per Bereinigung entfernen!

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote wieder Windows


Wenn du dir sicher bist, dass du auch Daten unter Linux gesichert hast, führst du mal Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.02.2012, 12:54   #5
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Hallo,

ich habe mittlerweile eine Datensicherung wie beschrieben durchgeführt.

Anschließend habe ich mir ComboFix unter dem von Dir angegebenen Link runtergeladen. Ich habe Malwarebytes sowie meinen Virenscanner geschlossen/deaktiviert und dann ComboFix gestartet. Anschließend kam eine Fehlermeldung, dass Avira Echtzeitscanner noch aktiv sei und es Probleme geben könnte. Wenn ich dies bestätige kommt einmal kurz eine Konsole für ein paar Sekunden und verschwindet dann direkt wieder. Es tut sich nichts weiter. Ich habe daraufhin Avira deinstalliert, nur um sicherzugehen, dass es keine Kollissionen mit ComboFix gibt, aber immer noch null Reaktion. Was mache ich falsch, bzw. was muss ich anders machen, damit ComboFix ausgeführt wird?

Auf Grund deines letzten Beitrags habe ich selber nochmals nach "ZeroAccess" gegoogelt und bin dabei auf folgenden Beitrag gestoßen: hxxp://www.pc-magazin.de/news/gratis-tool-entfernt-rootkit-zeroaccess-1199982.html
Meine Frage daher: Was haltet ihr davon? Lohnt es sich, dass ich es damit mal versuche?

Grüße
Matz


Alt 27.02.2012, 14:01   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Nein, probier CF erstmal im abgesicherten Modus aus
__________________
--> Google Suchergebnisse werden weitergeleitet zu "abnow.com"

Alt 27.02.2012, 14:34   #7
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Der abgesicherte Modus war der entscheidende Tipp :-) !

Hier nun das ComboFix Log File:

Code:
ATTFilter
ComboFix 12-02-25.02 - Matthias 27.02.2012  15:16:12.1.2 - x86 MINIMAL
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2047.1458 [GMT 1:00]
ausgeführt von:: c:\users\Matthias\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Matthias\AppData\Local\Microsoft\Windows\Temporary Internet Files\Notizen.Gadget
c:\windows\$NtUninstallKB10514$
c:\windows\$NtUninstallKB10514$\2307088238\@
c:\windows\$NtUninstallKB10514$\2307088238\L\xadqgnnk
c:\windows\$NtUninstallKB10514$\2307088238\loader.tlb
c:\windows\$NtUninstallKB10514$\2307088238\U\@00000001
c:\windows\$NtUninstallKB10514$\2307088238\U\@000000c0
c:\windows\$NtUninstallKB10514$\2307088238\U\@000000cb
c:\windows\$NtUninstallKB10514$\2307088238\U\@000000cf
c:\windows\$NtUninstallKB10514$\2307088238\U\@80000000
c:\windows\$NtUninstallKB10514$\2307088238\U\@800000c0
c:\windows\$NtUninstallKB10514$\2307088238\U\@800000cb
c:\windows\$NtUninstallKB10514$\2307088238\U\@800000cf
c:\windows\$NtUninstallKB10514$\2442439417
c:\windows\assembly\GAC_MSIL\desktop.ini
c:\windows\system32\brmfrmps.dll
c:\windows\system32\dds_log_trash.cmd
c:\windows\system32\drivers\etc\hosts.ics
.
c:\windows\system32\drivers\tdx.sys . . . ist infiziert!! . . . Failed to find a valid replacement.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_a016mdfl
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-27 bis 2012-02-27  ))))))))))))))))))))))))))))))
.
.
2012-02-27 14:21 . 2012-02-27 14:23	--------	d-----w-	c:\users\Matthias\AppData\Local\temp
2012-02-27 14:21 . 2012-02-27 14:21	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-27 09:15 . 2012-02-27 09:15	--------	d-----w-	c:\program files\Common Files\Java
2012-02-27 09:14 . 2012-02-27 09:14	--------	d-----w-	c:\program files\Java
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\users\Matthias\AppData\Roaming\Malwarebytes
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\programdata\Malwarebytes
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-02-24 11:42 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-22 17:11 . 2012-02-22 17:11	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-02-22 17:07 . 2012-02-24 13:11	--------	d-sh--w-	c:\users\Matthias\AppData\Local\89835f6e
2012-02-22 16:52 . 2012-02-22 16:54	--------	d-----w-	c:\users\Matthias\AppData\Roaming\Media Finder
2012-02-22 16:35 . 2012-02-22 16:36	--------	d-----w-	c:\windows\WindowsMobile
2012-02-22 16:09 . 2001-02-01 00:00	262360	----a-w-	c:\users\Matthias\AppData\Roaming\wahemiex.dll
2012-02-21 06:38 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F125534D-15D5-4432-93B8-D3EE2F9E3A59}\mpengine.dll
2012-02-15 11:04 . 2011-12-30 05:27	478720	----a-w-	c:\windows\system32\timedate.cpl
2012-02-15 11:04 . 2011-12-16 07:52	690688	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-15 11:04 . 2012-01-04 08:58	442880	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-15 11:04 . 2012-01-14 03:35	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-01-31 08:11 . 2011-11-17 05:41	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 08:11 . 2011-11-17 05:41	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 08:11 . 2011-11-17 05:39	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 08:11 . 2011-11-17 05:35	314880	----a-w-	c:\windows\system32\webio.dll
2012-01-31 08:11 . 2011-11-17 05:34	15872	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 08:11 . 2011-11-17 05:34	100352	----a-w-	c:\windows\system32\sspicli.dll
2012-01-31 08:11 . 2011-11-17 05:34	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 08:11 . 2011-11-17 05:34	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-31 08:11 . 2011-11-17 05:32	1038848	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 08:11 . 2011-11-17 05:29	22528	----a-w-	c:\windows\system32\lsass.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-27 09:14 . 2011-08-24 13:58	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-23 08:44 . 2011-06-13 16:07	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-29 04:10 . 2011-06-13 15:56	237072	------w-	c:\windows\system32\MpSigStub.exe
2011-12-19 13:12 . 2011-12-19 13:12	104752	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2011-12-19 13:11 . 2012-01-18 18:26	158512	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2011-12-19 13:11 . 2012-01-18 18:26	91440	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2010-11-20 21:29 . 7E37CCAFAE3F29B2AA28EC4DEC97F6E5 . 74752 . . [------] . . c:\windows\System32\drivers\tdx.sys
[-] 2010-11-20 21:29 . 7E37CCAFAE3F29B2AA28EC4DEC97F6E5 . 74752 . . [------] . . c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7601.17514_none_ec4532373a57c1c2\tdx.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-01 13789728]
"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-06-15 857648]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20	1305408	----a-w-	d:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-06-25 15:24	136176	----atw-	c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-01-13 13:53	460872	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2011-08-04 07:50	966712	----a-w-	c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2009-10-26 12:46	1458176	----a-w-	c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
.
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update-Dienst (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 136176]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
R3 ADVXRUKZPTW;ADVXRUKZPTW;c:\users\Matthias\AppData\Local\Temp\ADVXRUKZPTW.exe [x]
R3 AtcL001;NDIS-Miniporttreiber für L1-Gigabit-Ethernet-Controller von Atheros;c:\windows\system32\DRIVERS\l160x86.sys [2009-07-13 47104]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 136176]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-07-28 25112]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-12-10 20464]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2011-05-18 137600]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2011-12-19 104752]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 VKPWI;VKPWI;c:\users\Matthias\AppData\Local\Temp\VKPWI.exe [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-08-25 218688]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService	REG_MULTI_SZ   	HPSLPSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hSONYPVh
a016mdfl
HIDSwvd
nimdbgk
LHidKe
s616nd5
btwusb
HPFECP20
wfxsvc
motmodem
btnetfilter
e1000
gameenum
iaimtv2
pdlnshay
winpower
SISNICXP
Evian
tifm
se44mdm
zebrsce
bcm4sbxp
SrvcTPIOMngr
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 10:10]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 10:10]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-669107202-3843920512-883216293-1001Core.job
- c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-09 15:24]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-669107202-3843920512-883216293-1001UA.job
- c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-09 15:24]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Download with &Media Finder - c:\program files\Media Finder\hook.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Zeon Append to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert link target to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: Zeon Convert link target to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert selected links to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
IE: Zeon Convert selected links to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
IE: Zeon Convert to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 137.193.6.6 137.193.10.21
FF - ProfilePath - c:\users\Matthias\AppData\Roaming\Mozilla\Firefox\Profiles\sniwvhgw.default\
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 9666
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Media Finder - c:\program files\Media Finder\MF.exe
MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir Desktop\avgnt.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\conhost.exe
c:\windows\helppane.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-27  15:26:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-02-27 14:26
.
Vor Suchlauf: 5 Verzeichnis(se), 28.657.258.496 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 30.139.092.992 Bytes frei
.
- - End Of File - - 22E4CE6EA2B9FB19CB757599AB241A10
         
Grüße
Matz

Alt 27.02.2012, 19:12   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Lade bitte diese saubere Version von der tdx.sys runter => File-Upload.net - tdx.sys

Erstell bitte einen Ordner "tb" direkt auf C! In diesen leeren Ordner meine saubere tdx.sys reinkopieren!

Danach gehts so weiter:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
FCopy::
c:\tb\tdx.sys | c:\windows\system32\drivers\tdx.sys
c:\tb\tdx.sys | c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7601.17514_none_ec4532373a57c1c2\tdx.sys

Folder::
c:\windows\system32\%APPDATA%
c:\users\Matthias\AppData\Local\89835f6e

Driver::
ADVXRUKZPTW

File::
c:\users\Matthias\AppData\Local\Temp\ADVXRUKZPTW.exe
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.02.2012, 11:40   #9
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Servus,

ich habe jetzt ComboFix mit deinem Scrpit ausgeführt. Während des Laufens kam eine Windows Fehlermeldung:

Zitat:
PEV.exe funktioniert nicht mehr
Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist.
Ich habe bei diesem Fenster nichts angeklickt. Es ging nach einer Zeit dann selber weg. Die Ausführung von ComboFix lief dessen ungeachtet aber weiter. Mir ist dabei aufgefallen, dass der Firefox noch lief; hätte ich diese vielleicht besser schließen sollen, wie bei der ersten Ausführung von ComboFix?

Auf jeden Fall lief ComboFix bis zum Ende durch und hier nun das LogFile:

Code:
ATTFilter
ComboFix 12-02-25.02 - Matthias 28.02.2012  12:22:03.2.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2047.1242 [GMT 1:00]
ausgeführt von:: c:\users\Matthias\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Matthias\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\users\Matthias\AppData\Local\Temp\ADVXRUKZPTW.exe"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Matthias\AppData\Local\89835f6e
c:\users\Matthias\AppData\Local\89835f6e\@
c:\windows\system32\%APPDATA%
c:\windows\system32\%APPDATA%\Microsoft\Windows\IETldCache\index.dat
.
.
--------------- FCopy ---------------
.
c:\tb\tdx.sys --> c:\windows\system32\drivers\tdx.sys
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_ADVXRUKZPTW
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-28 bis 2012-02-28  ))))))))))))))))))))))))))))))
.
.
2012-02-28 11:30 . 2012-02-28 11:30	--------	d-----w-	c:\users\Nina\AppData\Local\temp
2012-02-28 11:30 . 2012-02-28 11:30	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-28 11:24 . 2012-02-28 11:24	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D88D60EF-309C-4446-955A-49624F628EDF}\offreg.dll
2012-02-28 11:18 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D88D60EF-309C-4446-955A-49624F628EDF}\mpengine.dll
2012-02-28 11:18 . 2012-02-28 11:18	--------	d-----w-	C:\tb
2012-02-27 14:21 . 2012-02-28 11:30	--------	d-----w-	c:\users\Matthias\AppData\Local\temp
2012-02-27 09:15 . 2012-02-27 09:15	--------	d-----w-	c:\program files\Common Files\Java
2012-02-27 09:14 . 2012-02-27 09:14	--------	d-----w-	c:\program files\Java
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\users\Matthias\AppData\Roaming\Malwarebytes
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\programdata\Malwarebytes
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-02-24 11:42 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-22 16:52 . 2012-02-22 16:54	--------	d-----w-	c:\users\Matthias\AppData\Roaming\Media Finder
2012-02-22 16:35 . 2012-02-22 16:36	--------	d-----w-	c:\windows\WindowsMobile
2012-02-22 16:09 . 2001-02-01 00:00	262360	----a-w-	c:\users\Matthias\AppData\Roaming\wahemiex.dll
2012-02-15 11:04 . 2011-12-30 05:27	478720	----a-w-	c:\windows\system32\timedate.cpl
2012-02-15 11:04 . 2011-12-16 07:52	690688	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-15 11:04 . 2012-01-04 08:58	442880	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-15 11:04 . 2012-01-14 03:35	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-01-31 08:11 . 2011-11-17 05:41	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 08:11 . 2011-11-17 05:41	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 08:11 . 2011-11-17 05:39	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 08:11 . 2011-11-17 05:35	314880	----a-w-	c:\windows\system32\webio.dll
2012-01-31 08:11 . 2011-11-17 05:34	15872	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 08:11 . 2011-11-17 05:34	100352	----a-w-	c:\windows\system32\sspicli.dll
2012-01-31 08:11 . 2011-11-17 05:34	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 08:11 . 2011-11-17 05:34	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-31 08:11 . 2011-11-17 05:32	1038848	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 08:11 . 2011-11-17 05:29	22528	----a-w-	c:\windows\system32\lsass.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-28 11:18 . 2010-11-20 21:29	74240	----a-w-	c:\windows\system32\drivers\tdx.sys
2012-02-27 09:14 . 2011-08-24 13:58	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-23 08:44 . 2011-06-13 16:07	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-29 04:10 . 2011-06-13 15:56	237072	------w-	c:\windows\system32\MpSigStub.exe
2011-12-19 13:12 . 2011-12-19 13:12	104752	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2011-12-19 13:11 . 2012-01-18 18:26	158512	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2011-12-19 13:11 . 2012-01-18 18:26	91440	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-01 13789728]
"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-06-15 857648]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20	1305408	----a-w-	d:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-06-25 15:24	136176	----atw-	c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-01-13 13:53	460872	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2011-08-04 07:50	966712	----a-w-	c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2009-10-26 12:46	1458176	----a-w-	c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update-Dienst (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 136176]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 136176]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-07-28 25112]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2011-05-18 137600]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2011-12-19 104752]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 VKPWI;VKPWI;c:\users\Matthias\AppData\Local\Temp\VKPWI.exe [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S3 AtcL001;NDIS-Miniporttreiber für L1-Gigabit-Ethernet-Controller von Atheros;c:\windows\system32\DRIVERS\l160x86.sys [2009-07-13 47104]
S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-08-25 218688]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-12-10 20464]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService	REG_MULTI_SZ   	HPSLPSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hSONYPVh
a016mdfl
HIDSwvd
nimdbgk
LHidKe
s616nd5
btwusb
HPFECP20
wfxsvc
motmodem
btnetfilter
e1000
gameenum
iaimtv2
pdlnshay
winpower
SISNICXP
Evian
tifm
se44mdm
zebrsce
bcm4sbxp
SrvcTPIOMngr
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 10:10]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 10:10]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-669107202-3843920512-883216293-1001Core.job
- c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-09 15:24]
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-669107202-3843920512-883216293-1001UA.job
- c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-09 15:24]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Download with &Media Finder - c:\program files\Media Finder\hook.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Zeon Append to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert link target to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: Zeon Convert link target to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert selected links to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
IE: Zeon Convert selected links to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
IE: Zeon Convert to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 137.193.6.6 137.193.10.21
FF - ProfilePath - c:\users\Matthias\AppData\Roaming\Mozilla\Firefox\Profiles\sniwvhgw.default\
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 9666
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\windows\system32\nvvsvc.exe
d:\programme\Cisco VPN\cvpnd.exe
c:\windows\system32\taskhost.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\windows\system32\conhost.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-28  12:34:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-02-28 11:34
ComboFix2.txt  2012-02-27 14:26
.
Vor Suchlauf: 10 Verzeichnis(se), 30.102.548.480 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 29.814.472.704 Bytes frei
.
- - End Of File - - 570A6A4E4335B9EC07E263C7628709FE
         

Alt 28.02.2012, 12:30   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Und nochmal, aber ein anderes Script diesmal:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
ATTFilter
Firefox::
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 9666
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true

NetSvc::
hSONYPVh
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.02.2012, 13:47   #11
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



In der 3. Zeile des obigen Codes heisst es:

Zitat:
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
Soll ich hier in dem CFScript.txt das "hxxp" zu "http" verändern oder bleibt es bei "hxxp"?

Grüße
Matz

Alt 28.02.2012, 14:38   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Nein, mach daraus bitte ein http
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.02.2012, 15:02   #13
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Hier das Logfile:

Code:
ATTFilter
ComboFix 12-02-25.02 - Matthias 28.02.2012  15:42:25.3.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2047.1296 [GMT 1:00]
ausgeführt von:: c:\users\Matthias\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Matthias\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-28 bis 2012-02-28  ))))))))))))))))))))))))))))))
.
.
2012-02-28 14:47 . 2012-02-28 14:47	--------	d-----w-	c:\users\Nina\AppData\Local\temp
2012-02-28 14:47 . 2012-02-28 14:47	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-28 11:24 . 2012-02-28 11:24	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D88D60EF-309C-4446-955A-49624F628EDF}\offreg.dll
2012-02-28 11:18 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D88D60EF-309C-4446-955A-49624F628EDF}\mpengine.dll
2012-02-28 11:18 . 2012-02-28 11:18	--------	d-----w-	C:\tb
2012-02-27 14:21 . 2012-02-28 14:47	--------	d-----w-	c:\users\Matthias\AppData\Local\temp
2012-02-27 09:15 . 2012-02-27 09:15	--------	d-----w-	c:\program files\Common Files\Java
2012-02-27 09:14 . 2012-02-27 09:14	--------	d-----w-	c:\program files\Java
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\users\Matthias\AppData\Roaming\Malwarebytes
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\programdata\Malwarebytes
2012-02-24 11:42 . 2012-02-24 11:42	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-02-24 11:42 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-22 16:52 . 2012-02-22 16:54	--------	d-----w-	c:\users\Matthias\AppData\Roaming\Media Finder
2012-02-22 16:35 . 2012-02-22 16:36	--------	d-----w-	c:\windows\WindowsMobile
2012-02-22 16:09 . 2001-02-01 00:00	262360	----a-w-	c:\users\Matthias\AppData\Roaming\wahemiex.dll
2012-02-15 11:04 . 2011-12-30 05:27	478720	----a-w-	c:\windows\system32\timedate.cpl
2012-02-15 11:04 . 2011-12-16 07:52	690688	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-15 11:04 . 2012-01-04 08:58	442880	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-15 11:04 . 2012-01-14 03:35	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-01-31 08:11 . 2011-11-17 05:41	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 08:11 . 2011-11-17 05:41	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 08:11 . 2011-11-17 05:39	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 08:11 . 2011-11-17 05:35	314880	----a-w-	c:\windows\system32\webio.dll
2012-01-31 08:11 . 2011-11-17 05:34	15872	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 08:11 . 2011-11-17 05:34	100352	----a-w-	c:\windows\system32\sspicli.dll
2012-01-31 08:11 . 2011-11-17 05:34	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 08:11 . 2011-11-17 05:34	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-31 08:11 . 2011-11-17 05:32	1038848	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 08:11 . 2011-11-17 05:29	22528	----a-w-	c:\windows\system32\lsass.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-28 11:18 . 2010-11-20 21:29	74240	----a-w-	c:\windows\system32\drivers\tdx.sys
2012-02-27 09:14 . 2011-08-24 13:58	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-23 08:44 . 2011-06-13 16:07	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-29 04:10 . 2011-06-13 15:56	237072	------w-	c:\windows\system32\MpSigStub.exe
2011-12-19 13:12 . 2011-12-19 13:12	104752	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2011-12-19 13:11 . 2012-01-18 18:26	158512	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2011-12-19 13:11 . 2012-01-18 18:26	91440	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-01 13789728]
"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-06-15 857648]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20	1305408	----a-w-	d:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-06-25 15:24	136176	----atw-	c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-01-13 13:53	460872	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2011-08-04 07:50	966712	----a-w-	c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2009-10-26 12:46	1458176	----a-w-	c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update-Dienst (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 136176]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 136176]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-07-28 25112]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2011-05-18 137600]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2011-12-19 104752]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 VKPWI;VKPWI;c:\users\Matthias\AppData\Local\Temp\VKPWI.exe [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S3 AtcL001;NDIS-Miniporttreiber für L1-Gigabit-Ethernet-Controller von Atheros;c:\windows\system32\DRIVERS\l160x86.sys [2009-07-13 47104]
S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-08-25 218688]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-12-10 20464]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService	REG_MULTI_SZ   	HPSLPSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
a016mdfl
HIDSwvd
nimdbgk
LHidKe
s616nd5
btwusb
HPFECP20
wfxsvc
motmodem
btnetfilter
e1000
gameenum
iaimtv2
pdlnshay
winpower
SISNICXP
Evian
tifm
se44mdm
zebrsce
bcm4sbxp
SrvcTPIOMngr
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 10:10]
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-14 10:10]
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-669107202-3843920512-883216293-1001Core.job
- c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-09 15:24]
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-669107202-3843920512-883216293-1001UA.job
- c:\users\Matthias\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-09 15:24]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Download with &Media Finder - c:\program files\Media Finder\hook.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Zeon Append to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert link target to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: Zeon Convert link target to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Zeon Convert selected links to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
IE: Zeon Convert selected links to existing PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
IE: Zeon Convert to DocuCom PDF - d:\programme\DocuCom\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 137.193.6.6 137.193.10.21
FF - ProfilePath - c:\users\Matthias\AppData\Roaming\Mozilla\Firefox\Profiles\sniwvhgw.default\
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 9666
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-02-28  15:49:11
ComboFix-quarantined-files.txt  2012-02-28 14:49
ComboFix2.txt  2012-02-28 11:34
ComboFix3.txt  2012-02-27 14:26
.
Vor Suchlauf: 10 Verzeichnis(se), 31.705.817.088 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 31.518.572.544 Bytes frei
.
- - End Of File - - 08CCEAE465A0EDFDA9B740803C4E5C66
         

Alt 28.02.2012, 15:39   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.02.2012, 17:01   #15
Matz
 
Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Standard

Google Suchergebnisse werden weitergeleitet zu "abnow.com"



Im Anhang die Logfiles von GMER und OSAM.

Hier jetzt der aswMBR Log:

Code:
ATTFilter
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-02-28 17:30:16
-----------------------------
17:30:16.073    OS Version: Windows 6.1.7601 Service Pack 1
17:30:16.073    Number of processors: 2 586 0xF0D
17:30:16.075    ComputerName: MATTHIAS-LAPTOP  UserName: Matthias
17:30:16.495    Initialize success
17:31:10.948    AVAST engine defs: 12022801
17:32:27.427    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2
17:32:27.430    Disk 0 Vendor: ST9160821AS 3.ALC Size: 152627MB BusType: 11
17:32:27.551    Disk 0 MBR read successfully
17:32:27.554    Disk 0 MBR scan
17:32:27.559    Disk 0 Windows 7 default MBR code
17:32:27.614    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
17:32:27.632    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        51100 MB offset 206848
17:32:27.703    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       101425 MB offset 104859648
17:32:27.973    Disk 0 scanning sectors +312578048
17:32:28.434    Disk 0 scanning C:\Windows\system32\drivers
17:34:19.509    Service scanning
17:34:41.108    Modules scanning
17:37:39.709    Disk 0 trace - called modules:
17:37:40.160    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS PCIIDEX.SYS msahci.sys 
17:37:40.166    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85ab8a68]
17:37:40.173    3 CLASSPNP.SYS[88fb059e] -> nt!IofCallDriver -> [0x859c7918]
17:37:40.179    5 ACPI.sys[88aa53d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-2[0x859e1030]
17:37:40.705    AVAST engine scan C:\Windows
17:38:22.020    AVAST engine scan C:\Windows\system32
17:52:42.631    AVAST engine scan C:\Windows\system32\drivers
17:53:05.570    AVAST engine scan C:\Users\Matthias
17:56:48.791    AVAST engine scan C:\ProgramData
17:57:45.016    Scan finished successfully
17:58:00.974    Disk 0 MBR has been saved successfully to "C:\Users\Matthias\Desktop\MBR.dat"
17:58:00.982    The log file has been saved successfully to "C:\Users\Matthias\Desktop\aswMBR.txt"
         

Antwort

Themen zu Google Suchergebnisse werden weitergeleitet zu "abnow.com"
32 bit, abnow.com, acrobat update, adobe, antivirus, avira, cisco vpn, defender, desktop, download, entfernen, explorer, firefox, generic, google, google earth, helper, mozilla, problem, programme, richtlinie, rundll, scan, secur, software, svchost.exe, system, temp, vista, vista 32 bit, windows, yahoo



Ähnliche Themen: Google Suchergebnisse werden weitergeleitet zu "abnow.com"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows 8.1: Avira findet "TR/Swrort.A.10259" in "C:\Program Files (x86)\Google\Chrome\Application\old_chrome.exe"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (3)
  3. Ordner wie "Anwendungsdaten" oder "Lokale Einstellungen" werden im Explorer nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 08.02.2013 (5)
  4. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  5. Google leitet auf "abnow" weiter
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (31)
  6. Links auf Antiviren Seiten werden mit Google 404 abgefangen, Online Banking Daten "gestohlen"
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (2)
  7. Google- "abnow"- Weiterleitung
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (12)
  8. "abnow" Weiterleitung bei Google
    Log-Analyse und Auswertung - 15.03.2012 (13)
  9. Google Suchbegriffe werden falsch weitergeleitet
    Log-Analyse und Auswertung - 24.10.2011 (14)
  10. Google-Links werden auf "100ksearches.com" weitergeleitet!
    Plagegeister aller Art und deren Bekämpfung - 23.07.2011 (27)
  11. Google Suchergebnisse werden immer auf Porno- u. Casinoseiten weitergeleitet! Inkl Log.
    Log-Analyse und Auswertung - 19.07.2011 (32)
  12. Google Suchergebnisse werden weiter geleitet Windows 7 Firewall kann nicht mehr aktiviert werden
    Log-Analyse und Auswertung - 15.07.2011 (19)
  13. Browser extrem langsam, CPU auslastung hoch, werde auf "Bigpoint.de" seiten weitergeleitet
    Log-Analyse und Auswertung - 27.06.2011 (22)
  14. Suchergebnisse von Google werde immer von "goingonearth" weitergeleitet
    Plagegeister aller Art und deren Bekämpfung - 15.05.2011 (3)
  15. Google Suchergebnisse werden weitergeleitet + Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2011 (24)
  16. Google-Treffer werden teilweise weitergeleitet
    Log-Analyse und Auswertung - 11.06.2009 (11)
  17. Google-Ergebnisse werden weitergeleitet
    Plagegeister aller Art und deren Bekämpfung - 21.05.2008 (9)

Zum Thema Google Suchergebnisse werden weitergeleitet zu "abnow.com" - Servus, seit kurzem werde ich auf die Seite "hxxp://abnow.com/?search=" mit angehängtem Suchwort weitergeleitet, wenn ich bei Google (oder auch Yahoo) auf die Suchergebnisse klicke. Ich habe auch schon einige Themen - Google Suchergebnisse werden weitergeleitet zu "abnow.com"...
Archiv
Du betrachtest: Google Suchergebnisse werden weitergeleitet zu "abnow.com" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.