Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Umleitung der Suchergebnisse bei Google, Help!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.01.2006, 17:20   #1
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo Leutz!

Auch wenn ich jetzt nicht unbedingt ein Newbie bin was PC - Sicherheit angeht ist mir beim Durchforsten der Beiträge hier klargeworden dass es doch noch ne Menge Dinge gibt von denen ich keine Ahnung habe...


Folgendes Problem stellt sich:
Seit einiger Zeit liefert mir die Suche nach verschiedenen Seiten bei Google zwar die korrekten Ergebnisse, wenn ich jedoch auf die Links klicke werde ich zu einer zufälligen (?) Werbeseite umgeleitet, so dass ich die Suchergebnisse mittels Copy/Paste in ein neues Browserfenster einbetten muß...Auf Dauer verdammt nervig..."Zufällig" deswegen weil ich bisher nie auf die gleichen Seiten geleitet wurde.
Der Fehler tritt nicht immer auf, bevorzugt jedoch bei Seiten mit hoher Zugriffsrate ( thomann, musik-produktiv, ebay...).

Leider hat der Scan mittels Ad-Aware bzw. a-squared keine Ergebnisse gebracht, ebenso die Durchstöberung einschlägiger Foren, deswegen poste ich mal hier nen Beitrag in der Hoffnung auf Hilfe

Hier das HJT - Logfile :

Logfile of HijackThis v1.99.1
Scan saved at 17:48:08, on 16.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133199306608
O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe

Alt 17.01.2006, 05:25   #2
stupormundi
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Servus!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi
__________________

__________________

Alt 17.01.2006, 06:10   #3
cronos
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Zusätzlich mal diesen Eintrag mit HJT-Fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207

Das ist nämlich mit 100%iger Sicherheit nicht der DNS-Server deines Providers.
__________________
__________________

Alt 17.01.2006, 16:31   #4
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



So, habe nach ausführlichem Studieren der Anleitung - und zwei Fehlversuchen ;-) - folgendes Logfile anzubieten :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 14:59:34 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken.
Tue Jan 17 15:14:32 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0
Tue Jan 17 15:50:22 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken.
Tue Jan 17 16:00:11 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 14:59:39 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Jan 17 14:59:39 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Jan 17 14:59:56 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
Tue Jan 17 15:50:27 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Jan 17 15:50:27 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Jan 17 15:50:44 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 15:40:43 2006 => Total Objects Scanned: 38244
Tue Jan 17 17:08:25 2006 => Total Objects Scanned: 46561
Tue Jan 17 15:40:43 2006 => Total Critical Objects: 6
Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0
Tue Jan 17 15:40:43 2006 => Total Deleted Objects: 0
Tue Jan 17 17:08:25 2006 => Total Critical Objects: 6
Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0
Tue Jan 17 17:08:25 2006 => Total Deleted Objects: 0
Tue Jan 17 15:40:43 2006 => Total Errors: 52
Tue Jan 17 17:08:25 2006 => Total Errors: 52
Tue Jan 17 15:40:43 2006 => Time Elapsed: 00:41:55
Tue Jan 17 17:08:25 2006 => Time Elapsed: 01:17:36
Tue Jan 17 14:50:24 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 14:51:53 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 14:53:11 2006 => Virus Database Date: 1/17/2006
Tue Jan 17 14:57:45 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:40:42 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:40:46 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:48:31 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:08:25 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:08:52 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:16:49 2006 => Virus Database Date: 1/16/2006


Ich habe schon versucht näheres über die Beseitigung der Biester rauszufinden, aber bisher ohne Erfolg!

Alt 17.01.2006, 17:43   #5
cronos
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Lösche zunächst deine temporären Dateien mittels CleanUp.
Wechsle dann in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Lösche mittels Killbox folgende Dateien:

C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv

Zitat:
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.
Nach dem Neustart wechsle wieder in den abgesicherten Modus und scanne dein System mit Adaware, Spybot und Ewido.
Neu booten und erstelle ein neues HJT-Logfile.Poste uns auch die Log-Datei von Ewido.

__________________
Only cronos endures

Alt 18.01.2006, 11:37   #6
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



So, alles durchgeführt, hier is das neue Logfile von HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 12:32:25, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmgsm.exe] C:\WINDOWS\system32\dmgsm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe



Das Logfile von Ewido zu posten macht glaube ich weniger Sinn da dort nur eine einzige Fehlermeldung steht, die dafür zwölfmal untereinander:

RegQueryValueEx failed, Value: 00000002


Ich hoffe ihr könnt damit was anfangen?


Alt 18.01.2006, 11:51   #7
Wildone
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo,
poste noch das Log(wird nach dem Scan als Textdatei im selben Pfad erzweugt) von F-Secure Blacklight.


Grüße Wildone

Alt 18.01.2006, 12:08   #8
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



So, auch das hätten wir...

01/18/06 13:06:07 [Info]: BlackLight Engine 1.0.30 initialized
01/18/06 13:06:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/18/06 13:06:08 [Note]: 7019 4
01/18/06 13:06:08 [Note]: 7005 0
01/18/06 13:06:13 [Note]: 7006 0
01/18/06 13:06:13 [Note]: 7011 1272
01/18/06 13:06:14 [Note]: FSRAW library version 1.7.1014
01/18/06 13:07:06 [Note]: 7007 0

Alt 18.01.2006, 12:13   #9
Wildone
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo,
hmm, Glück gehabt, du hast die Wareout Version ohne Rootkit. Hast du nach dem fixen des O17 Eintrags überhaupt noch die Umleitungsprobleme?


Grüße Wildone

Alt 18.01.2006, 14:19   #10
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Ja, leider hat sich nach den ganzen Maßnahmen bisher noch nix geändert, die Umleitung erfolgt nach wie vor.

Mir ist jetzt aufgefallen dass kurz vor der Weiterleitung immer dieselbe Seitenadresse angezeigt wird, ich war nur bisher zu langsam sie aufzuschreiben. Würde das was bringen?

Noch eine Frage, wieso ist es denn notwedig das System von gleich fünf verschiedenen Scannern scannen zu lassen? Nutzen die Unterschiedliche Datenbanken oder hat das technische Gründe?

Danke schonmal allen für die bisherige Hilfe!

Alt 18.01.2006, 14:33   #11
Wildone
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo,
erstens hat quasi jeder Virenscanner seine eigene Scanengine die unterschiedliche Sachen besser oder schlechter erkennen. Zweitens wurde bei dir jetzt nach Viren (Escan) Hijackern+ nicht legitime Prozesse usw. (HijackThis) und Rootkits (Blacklight) gesucht, leider erfolglos. Vielleciht ist es eine neue Variante.
Jetzt stochern wir halt mal ein wenig tiefer, poste mal ein log von Silentrunners.
Und noch eines von RootkitRevealer (wichtig, während dem Scan nichts machen und kein weiteres Programm laufen lassen!)
Außerdem könnte noch ein Onlinescan(mit IE) bei Panda nicht schaden, auch diesen Report posten.

Edit
Beende auch mal folgenden Prozess:
C:\WINDOWS\system32\drivers\dcfssvc.exe
überprüfe die zugehörige Datei hier, und poste das Ergebnis.

Grüße Wildone

Geändert von Wildone (18.01.2006 um 14:39 Uhr)

Alt 19.01.2006, 13:53   #12
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo nochmal!

Tja, da habe ich jetzt mehrere Probleme :
1.) Der Server von Silentrunners ist momentan nicht erreichbar, zuviel Traffic
2.) Der online-Scan bei Panda hat nichts erbracht, außerdem habe ich kein Logfile gefunden
3.) Der Scan mit RootkitRevealer hat nix gefunden, log trotzdem posten?
4.) Auf Antwort von Virustotal warte ich noch.

Alt 19.01.2006, 14:07   #13
Wildone
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo,
1.) Orginalseite von silentrunners (ohne deutsche Anleitung)
2.) Wenn er nichts gefunden hat, ist der Report auch nicht so wichtig
3.) Nein
4.) Normalerweise kommt die "Antwort" sofort (Javascript aktiviert?) Alternativtest hier.


Grüße Wildone

Alt 19.01.2006, 17:52   #14
Pianoman.ht
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hier der Log von Silentrunners :

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"dmfnr.exe" = "C:\WINDOWS\system32\dmfnr.exe" [file not found]
"dmioh.exe" = "C:\WINDOWS\system32\dmioh.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Roxio\WinOnCD\DirectCD\Shellex.dll" ["Roxio"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Kodak\IFScore\shellext.dll" ["Eastman Kodak Company"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csrnj.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Wolfgang" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Kodak EasyShare Software" -> shortcut to: "C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe -h" ["Eastman Kodak Company"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Dcfssvc, Dcfssvc, "C:\WINDOWS\system32\drivers\dcfssvc.exe" ["Eastman Kodak Company"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S820\Driver = "CNMLM3k.DLL" ["CANON INC."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 66 seconds, including 11 seconds for message boxes)


Der Scan online bezüglich der Datei "dcfssvc.exe" ergab folgendes :
"EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)"

Hilft dat wat?

Alt 19.01.2006, 19:22   #15
Wildone
 
Umleitung der Suchergebnisse bei Google, Help! - Standard

Umleitung der Suchergebnisse bei Google, Help!



Hallo,
die dcfssvc.exe scheint okay zu sein. Suche mal noch folgenden Dateien:

C:\WINDOWS\system32\dmioh.exe
C:\WINDOWS\system32\dmfnr.exe
csrnj.exe (bin mir nicht ganz sicher was den Pfad angeht vielleicht C:\)


und überprüfe sie(falls vorhanden) ebenfalls bei jotti oder virustotal.


Grüße Wildone

Antwort

Themen zu Umleitung der Suchergebnisse bei Google, Help!
ad-aware, adobe, adobe reader, antivir, avg, bho, drivers, explorer, fehler, google, help, hijack, hijackthis, internet, internet explorer, keine ahnung, logfile, problem, programme, scan, seiten, sicherheit, software, suche, system, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Umleitung der Suchergebnisse bei Google, Help!


  1. Win 7: Google Chrome/Mozilla firefox lässt vermehrt Werbung auf Webseiten zu & Google Suchergebnisse scheinen manipuliert zu sein
    Log-Analyse und Auswertung - 29.04.2014 (8)
  2. Google-Suchergebnisse verfälscht...
    Plagegeister aller Art und deren Bekämpfung - 06.02.2013 (31)
  3. Google Umleitung bei Klick auf Suchergebnisse
    Log-Analyse und Auswertung - 27.12.2012 (8)
  4. Umleitung aller Suchergebnisse (bing, google) im IE und FF
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (4)
  5. Google Suchergebnisse - Umleitung beim Klick auf das Suchergebnis
    Log-Analyse und Auswertung - 26.11.2012 (15)
  6. Google suchergebnisse, enden bei Goole [Umleitung]
    Plagegeister aller Art und deren Bekämpfung - 24.09.2012 (7)
  7. Falsche Verlinkung bei Google-Suchergebnisse
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (20)
  8. (2x) google suchergebnisse
    Mülltonne - 15.06.2012 (2)
  9. Google-Suchergebnisse umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 04.03.2010 (1)
  10. Umleitung der Google-Suchergebnisse
    Log-Analyse und Auswertung - 17.02.2009 (9)
  11. Falsche Google Suchergebnisse
    Log-Analyse und Auswertung - 16.02.2009 (8)
  12. SPAM -Suchergebnisse bei Google
    Log-Analyse und Auswertung - 20.01.2009 (3)
  13. Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ ....
    Mülltonne - 23.12.2008 (2)
  14. Google leitet Suchergebnisse um
    Log-Analyse und Auswertung - 16.12.2008 (12)
  15. Google Suchergebnisse umgeleitet
    Log-Analyse und Auswertung - 27.09.2008 (2)
  16. Falsch verlinkte Suchergebnisse bei Google
    Plagegeister aller Art und deren Bekämpfung - 14.10.2007 (5)
  17. Umleitung der Google-Suchergebnisse
    Log-Analyse und Auswertung - 14.02.2007 (5)

Zum Thema Umleitung der Suchergebnisse bei Google, Help! - Hallo Leutz! Auch wenn ich jetzt nicht unbedingt ein Newbie bin was PC - Sicherheit angeht ist mir beim Durchforsten der Beiträge hier klargeworden dass es doch noch ne Menge - Umleitung der Suchergebnisse bei Google, Help!...
Archiv
Du betrachtest: Umleitung der Suchergebnisse bei Google, Help! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.