Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Google verlinkt auch bei mir falsch

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.07.2007, 11:12   #1
Kaynovo
 
Google verlinkt auch bei mir falsch - Böse

Google verlinkt auch bei mir falsch



Hallo,

Ich habe schon seit Längerem das selbe Problem wie einige andere hier. Google verlinkt, sobald ich auf einen Eintrag klicke, auf kommerzielle Seiten wie Ebay oder w*w.genealogie.de. Anbei mein HijackThis Log File und das F-Secure Blacklight Log File.

Es wäre nett, wenn mir jemand weiterhelfen könnte. Vielen Dank vorab!

HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 11:57:47, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVM\Fritz\IWatch.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\UltraEdit\UEDIT32.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\fsbl.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37DE2E15-7307-47A5-8EFF-68511021823F} - C:\WINDOWS\system32\ccfgnt32.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Buyertools - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [IMONTRAY] C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero 6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Virenprüfung.doc
O4 - Startup: ~$renprüfung.doc
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\AVM\Fritz\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - h**p://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - h**p://www.installengine.com/engine/isetup.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - h**p://www.pixdiscount.de/clients/ImageUploader3.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {FA81E151-CFE7-4B18-8B9E-8B96E62BAC11} (DownloadManager) - h**ps://de.web.sonynetservices.com/portal/applets/DownloadManager.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED54C2F-5839-47AC-956F-D686266EF568}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

F-Secure Blacklight:
07/22/07 11:56:56 [Info]: BlackLight Engine 1.0.64 initialized
07/22/07 11:56:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/22/07 11:56:56 [Note]: 7019 4
07/22/07 11:56:56 [Note]: 7005 0
07/22/07 11:56:59 [Note]: 7006 0
07/22/07 11:56:59 [Note]: 7011 3340
07/22/07 11:56:59 [Note]: 7026 0
07/22/07 11:56:59 [Note]: 7026 0
07/22/07 11:56:59 [Note]: 7024 3
07/22/07 11:56:59 [Info]: Hidden process: C:\WINDOWS\system32\winsta32.exe
07/22/07 11:57:03 [Note]: FSRAW library version 1.7.1022
07/22/07 12:05:05 [Note]: 2000 1012
07/22/07 12:12:22 [Note]: 7007 0

Alt 22.07.2007, 12:22   #2
Mobius07
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Ich habe da eine Befürchtung. Lass diese Dateien bei Virustotal überprüfen:
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ntos.exe
Ich vermute einen Backdoor.
Datei ins Fensterchen kopieren, auf "send" bzw. "submit" klicken, gesamte Ergebnis posten:
VirusTotal - Free Online Virus and Malware Scan
Online malware scan

Dieser ist im übrigen ein Rootkit:
C:\WINDOWS\system32\winsta32.exe und gehört zu Alpha-DVD (Kopierschutz) Unter System 32 winsta32.exe,hadl.dll,cmtl.dat
löschen. Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\policies\Explorer\Run "SystemManager" entfernen.
Aber wenn Du einen Backdoor drauf hast, kannst Du Dir diese Arbeit sparen und solltest dich schon einmal mit dem Gedanken vertraut machen, neu aufzusetzen.
__________________


Alt 22.07.2007, 15:44   #3
Kaynovo
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Hier die Ergebnisse von VirusTotal für die userinit.exe:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 no virus found
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.22 no virus found
AVG 7.5.0.476 2007.07.21 no virus found
BitDefender 7.2 2007.07.22 no virus found
CAT-QuickHeal 9.00 2007.07.20 no virus found
ClamAV devel-20070416 2007.07.22 no virus found
DrWeb 4.33 2007.07.22 no virus found
eSafe 7.0.15.0 2007.07.19 no virus found
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.22 no virus found
FileAdvisor 1 2007.07.22 no virus found
Fortinet 2.91.0.0 2007.07.22 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.22 no virus found
Ikarus T3.1.1.8 2007.07.22 no virus found
Kaspersky 4.0.2.24 2007.07.22 no virus found
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.22 no virus found
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.22 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.22 no virus found
TheHacker 6.1.7.151 2007.07.22 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 no virus found
Webwasher-Gateway 6.0.1 2007.07.22 no virus found
Additional information
File size: 25088 bytes
MD5: d1e53dc57143f2584b1dd53b036c0633
SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa

Sieht also sauber aus!?
Und bei der ntos nehme ich an, dass Du die ntoskernel.exe meintest!?
Auch die ist sauber:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 no virus found
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.22 no virus found
AVG 7.5.0.476 2007.07.21 no virus found
BitDefender 7.2 2007.07.22 no virus found
CAT-QuickHeal 9.00 2007.07.20 no virus found
ClamAV devel-20070416 2007.07.22 no virus found
DrWeb 4.33 2007.07.22 no virus found
eSafe 7.0.15.0 2007.07.19 no virus found
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.22 no virus found
FileAdvisor 1 2007.07.22 No threat detected, but known vulnerabilities exist
Fortinet 2.91.0.0 2007.07.22 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.22 no virus found
Ikarus T3.1.1.8 2007.07.22 no virus found
Kaspersky 4.0.2.24 2007.07.22 no virus found
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.22 no virus found
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.22 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.22 no virus found
TheHacker 6.1.7.151 2007.07.22 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 no virus found
Webwasher-Gateway 6.0.1 2007.07.22 no virus found
Additional information
File size: 2150912 bytes
MD5: c3ec5dd56e3eb15d80af9fcee030cabd
SHA1: 0bd947dd2bbfa7ccbf9be2766ceeef37c51b1136
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=c3ec5dd56e3eb15d80af9fcee030cabd
__________________

Alt 22.07.2007, 16:04   #4
Kaynovo
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Hab die winsta32.exe und alles was dazugehört (hadl.dll,cmtl.dat, Systemmanager) übrigens entfernt.

Das Problem mit Google besteht weiterhin...

Alt 22.07.2007, 16:19   #5
Mobius07
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Nein, ich dachte eigentlich auch an die ntos.exe. Wieso, hast Du die nicht finden können? Versteckte Dateien sichtbar machen:
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.
Schau ob Du diese unter jetzt unter System 32 findest und versuch diese nochmal zu scannen.

Es gibt dazu die Möglichkeit Dein System komplett zu scannen. Kostet zwar ein wenig Zeit, aber sollten Du machen:
http://www.trojaner-board.de/38066-e...ightymarc.html
Das Ergebnis postest Du mit der "find-bat". Wie das geht steht in der Verlinkung beschreiben.


Alt 22.07.2007, 18:12   #6
Kaynovo
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Ähm, sorry, aber ich befürchte, da ist keine NTOS.exe...
Natürlich habe ich versteckte und System-Dateien angezeigt.

Hab sogar die Suche komplett über C: laufen lassen.
Zig mal die NTOSKernel.exe aber keine NTOS...

Mache morgen mal einen kompletten Scan, wie von Dir beschrieben.
Vielen Dank erstmal!

Alt 23.07.2007, 17:33   #7
Kaynovo
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Hallo,

Habe den Komplettscan durchgeführt und anscheinend ist mein System doch nicht so sauber wie ich dachte. Welche Maßnahmen schlagt ihr vor?

Vielen herzlichen Dank vorab!

Hier die Log:

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27032-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27034-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702d-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702e-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27031-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27033-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27036-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\ccrpftv6.ocx)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\***\LOKALE~1\Temp\temp.frB789 infiziert von "Trojan-Spy.Win32.Bancos.aam" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\temp.frB789 infiziert von "Trojan-Spy.Win32.Bancos.aam" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\ccfgnt32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\WinVNC\WinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\WinVNC\WinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ccfgnt32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\WinVNC\othread2.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\WinVNC\vnchooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\WinVNC\winvnc.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ccfgnt32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Recent\internet.lnk
Offending file found: C:\WINDOWS\system32\ccrpftv6.ocx
Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\ssubtimer6.ctimer !!!
Offending Key found: HKCU\\ssubtimer6.gsubclass !!!
Offending Key found: HKCU\\ssubtimer6.isubclass !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c7ea052-0c64-11dc-8c13-00d05c228dfe} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c7ea053-0c64-11dc-8c13-00d05c228dfe} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ffb0a485-aac4-11d9-a2ef-0030f1a0193c} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\***\LOKALE~1\Temp\GLB14.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***\LOKALE~1\Temp\GLB34.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***\LOKALE~1\Temp\GLB3D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***\LOKALE~1\Temp\GLB4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***\LOKALE~1\Temp\GLB7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***\LOKALE~1\Temp\GLBE.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB14.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB34.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB3D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLBE.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB19.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gtb3.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 210535
Gefundene Viren: 28
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 300
Dauer des Scans bisher: 01:11:55
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:27:38,73
Batchende: 18:28:09,71

Alt 23.07.2007, 17:59   #8
Mobius07
 
Google verlinkt auch bei mir falsch - Standard

Google verlinkt auch bei mir falsch



Allein schon wegen diesem :Trojan-Spy.Win32.Bancos.aam solltest Du an ein Neuaufsetzen denken/Passwörter ändern! Die ntos.exe ist sehr wahrscheinlich ein backdoor.
video activex access deutet zudem auf zlob hin, ich glaube in Deinem Fall hat das Bereinigen keinen Sinn. Ansonsten warte bitte auf feedback von anderen hier im Forum.
http://www.trojaner-board.de/12154-a...sicherung.html

Antwort

Themen zu Google verlinkt auch bei mir falsch
adobe, antivir, avira, bho, document, ebay, einstellungen, excel, explorer, f-secure, google, hijack, hijackthis, hijackthis log, internet, internet explorer, log file, monitor, pdf, problem, seiten, software, symantec, system, temp, urlsearchhook, userinit.exe, vielen dank, windows, windows xp




Ähnliche Themen: Google verlinkt auch bei mir falsch


  1. Google verlinkt sich falsch
    Log-Analyse und Auswertung - 23.10.2012 (23)
  2. Google verlinkt falsch - Lösung?
    Log-Analyse und Auswertung - 29.04.2011 (19)
  3. Google verlinkt falsch
    Log-Analyse und Auswertung - 27.04.2011 (1)
  4. Google verlinkt mich falsch
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (27)
  5. Google verlinkt auch bei mir falsch - Antivir findet nix - Logfile angehängt
    Log-Analyse und Auswertung - 22.12.2010 (26)
  6. Google verlinkt falsch / gomeo
    Log-Analyse und Auswertung - 08.12.2010 (4)
  7. Google verlinkt falsch bzw. andere links leiten falsch weiter!
    Log-Analyse und Auswertung - 01.02.2010 (17)
  8. Google verlinkt falsch im FF und IE
    Log-Analyse und Auswertung - 09.08.2009 (3)
  9. Google verlinkt falsch; Kein Zugriff auf ext. HDD
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  10. Google verlinkt falsch
    Log-Analyse und Auswertung - 07.06.2009 (35)
  11. Google verlinkt falsch
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (0)
  12. Google verlinkt falsch - Laienlösung !!!
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (25)
  13. Google verlinkt falsch
    Log-Analyse und Auswertung - 11.10.2007 (9)
  14. Google verlinkt falsch
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (4)
  15. Google verlinkt falsch und ist automatisch Startseite
    Plagegeister aller Art und deren Bekämpfung - 10.02.2007 (6)
  16. Google Suchergebnisse falsch verlinkt
    Plagegeister aller Art und deren Bekämpfung - 27.09.2006 (1)
  17. Google suche verlinkt auf falsch seiten
    Plagegeister aller Art und deren Bekämpfung - 09.11.2005 (5)

Zum Thema Google verlinkt auch bei mir falsch - Hallo, Ich habe schon seit Längerem das selbe Problem wie einige andere hier. Google verlinkt, sobald ich auf einen Eintrag klicke, auf kommerzielle Seiten wie Ebay oder w*w.genealogie.de. Anbei mein - Google verlinkt auch bei mir falsch...
Archiv
Du betrachtest: Google verlinkt auch bei mir falsch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.