Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.03.2012, 16:04   #1
xChr1s
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



Hallo liebe Community, liebe Admins und Moderatoren,

ich bin auf euer Forum gestoßen, als ich nach dem oben beschriebenen Problem gebingt habe.

Das Problem ist gestern Abend aufgetreten und meine Microsoft Security Essentials zeigten Sirefef.(aa/f/...)
Weiterleitungen von google/bing funktionieren seitdem nicht mehr. Ich dachte mir ich probiere es einfach mit nem Virenscanner im Bootmodus (hatte Avira gerade zur hand auf nem USB stick) der hat auch einiges gefunden, aber hat nichts gebracht.

Beim Erstellen der gewünschten Logfiles tritt leider das Problem auf, dass DDS nach ca. 2-3 Minuten nichts mehr tut. Ich habe den Laptop hier (Windows 7/32bit) ca. 10-15min einfach machen lassen, es passiert nichts. Auch nach mehrmaligen Versuchen und schließen aller Programme nichts. Der Pc ist dann auch zu nichts mehr funktionfähig und lässt sich nur noch per Reset neustarten.

Defrogger log:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:52 on 05/03/2012 (xChr1s)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         
Hier ist der Log von Gmer
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-05 17:01:04
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 FUJITSU_MHV2120AT_PL rev.004200A0
Running: ew7g6iot.exe; Driver: C:\Users\xChr1s\AppData\Local\Temp\kwdiykob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwSaveKey + 13CD                                                                                                                                                       82C7E9A9 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                                                                                                              82C9E4E2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           netbt.sys                                                                                                                                                                           8940030C 1 Byte  [40]
.text           netbt.sys                                                                                                                                                                           8940030C 33 Bytes  [40, 00, 00, 42, 00, 00, 00, ...]
.text           netbt.sys                                                                                                                                                                           89400331 1386 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           netbt.sys                                                                                                                                                                           8940089F 228 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           netbt.sys                                                                                                                                                                           89400984 3 Bytes  [00, 00, 00]
.text           ...                                                                                                                                                                                 
.INIT           C:\Windows\System32\DRIVERS\netbt.sys                                                                                                                                               entry point in ".INIT" section [0x8940E222]
?               C:\Windows\System32\DRIVERS\netbt.sys                                                                                                                                               suspicious PE modification
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                                                                            section is writeable [0x92017000, 0x23097E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[3680] ntdll.dll!LdrLoadDll                                                                                                             77D3223E 5 Bytes  JMP 68E05B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3680] CRYPT32.dll!CryptImportPublicKeyInfoEx + 98                                                                                      75F96CCA 7 Bytes  JMP 3567574C C:\Windows\system32\mswsock.dll (Microsoft Windows Sockets 2.0-Dienstanbieter/Microsoft Corporation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3680] CRYPT32.dll!I_CryptEnumMatchingLruEntries + D5D                                                                                  75F9CADD 7 Bytes  JMP 356757AC C:\Windows\system32\mswsock.dll (Microsoft Windows Sockets 2.0-Dienstanbieter/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004c                                                                                                                                                   halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                                                            fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module          (noname) (*** hidden *** )                                                                                                                                                          897E2000-897F1000 (61440 bytes)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         

---- Threads - GMER 1.0.15 ----

Thread          System [4:280]                                                                                                                                                                      85BBB540
Thread          System [4:284]                                                                                                                                                                      85BBB540
Thread          System [4:3100]                                                                                                                                                                     9C724F2E

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost@netsvcs                                                                                                                   AeLookupSvc?CertPropSvc?SCPolicySvc?lanmanserver?gpsvc?IKEEXT?AudioSrv?FastUserSwitchingCompatibility?Ias?Irmon?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?Rasman?Remoteaccess?SENS?Sharedaccess?SRService?Tapisrv?Wmi?WmdmPmSp?raidmagt?KMWDFilter?aolservice?s217mgmt?z525obex?SE26mdm?spmgr?sansaservice?protexislicensing?DivisCTS?datunidr?VICESYS?A88xXBar?pdlncbas?lvpr2mon?softfax?nmap?WmBEnum?yats32?DM9102?ssfs0509?se58mgmt?vpn5000service?rpaservice?hdthermal?TermService?wuauserv?BITS?ShellHWDetection?LogonHours?PCAudit?helpsvc?uploadmgr?iphlpsvc?seclogon?AppInfo?msiscsi?MMCSS?wercplsupport?EapHost?ProfSvc?schedule?hkmsvc?SessionEnv?winmgmt?browser?Themes?BDESVC?AppMgmt?
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winsat\MediaEx\8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c:AC\Clip_1080_5sec_MPEG2_HD_15mbps.mpg\GpuEngineUsage\A1/N1/E1@DwmR\x20ac\0\0  29

---- Files - GMER 1.0.15 ----

File            C:\Windows\$NtUninstallKB15873$\1734495778                                                                                                                                          0 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746                                                                                                                                          0 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\@                                                                                                                                        2048 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\L                                                                                                                                        0 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\L\xadqgnnk                                                                                                                               187904 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\loader.tlb                                                                                                                               2632 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U                                                                                                                                        0 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@00000001                                                                                                                              45968 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000c0                                                                                                                              2560 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000cb                                                                                                                              3072 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000cf                                                                                                                              1536 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@80000000                                                                                                                              73216 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000c0                                                                                                                              43520 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000cb                                                                                                                              25600 bytes
File            C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000cf                                                                                                                              31232 bytes

---- EOF - GMER 1.0.15 ----
         
--- --- ---



Bin für jede Hilfe sehr dankbar. Falls ich dds doch noch zum laufen bekomme füge ich das File ein.

Mit den besten Grüßen
Chris

P.S. ich habe auf einer anderen Partion noch Fedora 16 liegen mit denen ich ein paar Files gesichert habe. Da sollte ja warscheinlich nichts infiziert sein, da mir der Fehler dort auch noch nicht vorgekommen ist. Oder?

Alt 05.03.2012, 16:05   #2
markusg
/// Malware-holic
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



hi nutzt du den pc für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtigem wie beruflichem?
__________________

__________________

Alt 05.03.2012, 16:16   #3
xChr1s
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



Ja das tue ich in der Regel, sollte ich mir gedanken machen?

Add:
Also die letzten Tage habe ich nichts mehr was Onlinebanking betrifft getan. Das letzte mal 1.3. und da war noch nichts bekannt. Habe derzeit aber auch kein ersatz, da ich für 4Monate in Wien bin zum studieren und Laptop natürlich nutzen muss.
__________________

Geändert von xChr1s (05.03.2012 um 16:19 Uhr) Grund: Added

Alt 05.03.2012, 16:18   #4
markusg
/// Malware-holic
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



ja.
rufe deine bank an, evtl. notfall nummer benötigt:
116 116
sperren lassen, wegen zero access rootkit.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.03.2012, 16:26   #5
xChr1s
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



gibts ne möglichkeit um herauszufinden ob mein linux system auch infiziert ist?

mein onlinebanking ist über chiptan gesichert und das andere benutzt leider noch die alten tan listen.


Alt 05.03.2012, 16:27   #6
markusg
/// Malware-holic
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



das rootkit befällt kein linux.
onlinebanking trotzdem sperren wenn es vom windows system aus gemacht wurde
__________________
--> Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten

Alt 05.03.2012, 16:47   #7
xChr1s
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



Habe jetzt mein Sparkassen Onlinekonto gesperrt und bei meinem anderen Konto den Anmeldename + Pin aus dem Linuxsystem hier geändert. Es waren auch auf beiden bis jetzt keine Zugriffe drauf seit dem 1.3. als ich es das letzte mal genutzt habe("gefühlsmäßig" lief das rootkit da anscheinend noch nicht...). Da ich im Ausland bin kann ich gerade nicht zur nächsten Filiale gehen... Ist das grob Fahrlässig gerade? Auf dem Konto liegt keine große Summe, aber ich benötige es trotzdem...

Wie geht es nun weiter? Mit der Windows Neuinstallation habe ich noch etwas Zeit, da ich mir erstmal nen Image besorgen und auf den USB stick packen muss(MSDN-Account). Derzeit fahre ich mit linux ganz gut...
Wie läuft es nun mit den Onlinebanking accounts? Passwörter bin ich bereits an den wichtigen stellen bei zu ändern.

Lg Chris

P.S. Super Super dicken Dank für deine schnelle Antwort.

Alt 05.03.2012, 16:59   #8
markusg
/// Malware-holic
 
Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Standard

Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten



passwörter endern wird wohl reichen.
mit dem windows system darf nicht mehr gearbeitet werden, zumindest nicht bei aktiever inet verbindung
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten
avira, browser, firefox, harddisk, infiziert, locker, microsoft, microsoft security, microsoft security essentials, mozilla, ntdll.dll, problem, programme, registry, rootkit, scan, schließen, security, seiten, server, software, stick, svchost, system, temp, unbekannte seiten, usb, windows, wmi



Ähnliche Themen: Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten


  1. Weiterleitungen auf komische Seiten und Werbung
    Plagegeister aller Art und deren Bekämpfung - 24.05.2015 (3)
  2. Win7, Seiten ploppen auf, Weiterleitungen und nervige Werbung in allen Browsern
    Log-Analyse und Auswertung - 13.11.2014 (12)
  3. Werbetrojaner - Weiterleitungen von Google
    Log-Analyse und Auswertung - 14.05.2013 (11)
  4. Google erkennt mehr Malware als Bing
    Nachrichten - 13.04.2013 (0)
  5. Falsche Links aus Google/Bing + Sicherheitscenter deaktiviert
    Log-Analyse und Auswertung - 20.01.2013 (21)
  6. Umleitung aller Suchergebnisse (bing, google) im IE und FF
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (4)
  7. Google/Bing ... redirect Virus rocketnews
    Log-Analyse und Auswertung - 23.07.2012 (27)
  8. Google/Bing Links werden umgeleitet (admirablesearchsystem.com)
    Plagegeister aller Art und deren Bekämpfung - 07.10.2011 (17)
  9. Fehlerhafte Weiterleitungen bei google
    Log-Analyse und Auswertung - 20.07.2011 (4)
  10. Google und Bing leiten auf falsche Seiten weiter
    Log-Analyse und Auswertung - 23.05.2011 (1)
  11. Unerwünschte Google-Weiterleitungen
    Log-Analyse und Auswertung - 16.04.2011 (16)
  12. Fehlerhafte Internetlinks bei Suchmaschinen (Google, Bing..) mit IE / Firefox
    Mülltonne - 06.04.2011 (1)
  13. Google und Bing Suchergebnisse werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (39)
  14. Google zeigt mir unbekannte seiten! rookit oder malware vermutet bitte um hilfe ;)
    Log-Analyse und Auswertung - 25.02.2010 (2)
  15. werde bei google und bing auf falsche seiten geschickt
    Mülltonne - 15.12.2009 (1)
  16. Browser (IE+FF) stürzen beim starten und/oder Seiten laden ab, auch Weiterleitungen
    Log-Analyse und Auswertung - 20.04.2009 (16)
  17. Falsche weiterleitungen (Google)+ Darstellungsfehler
    Log-Analyse und Auswertung - 08.09.2008 (1)

Zum Thema Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten - Hallo liebe Community, liebe Admins und Moderatoren, ich bin auf euer Forum gestoßen, als ich nach dem oben beschriebenen Problem gebingt habe. Das Problem ist gestern Abend aufgetreten und meine - Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten...
Archiv
Du betrachtest: Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.