Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Umleitung Internetseite

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.05.2008, 22:57   #1
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



hallo,
ich habe ein Problem und zwar wollte ich heute auf mypace.com gehen und wurde dann umgeleitet auf die seite wiki.de
habe dann spybot drüberlaufen lassen, der findet eigentlich immer was:
tradedoubler, doubleklick, mediaplex, habe mir jetzt nicht alles gemerkt.
habe dann "die markierten Probleme behoben".
zudem ist neu das spybot eine fehlermeldung, während des suchlaufes, bringt:
Warnung
es sind fehler in der Erkennungs-Datenbank aufgetreten. für details sehen sie sich bitte 'include errors.log' an
ich weiß nicht wo dieser log sein soll.der fehler kommt 3mal.
wenn ich jetzt auf myspace.com gehe, lädt mozilla firefox die seite nur so halb, man kann eigentlich nichts mit ihr anfangen.
habe auch adaware danach drüber laufen lassen der hat das gefunden:

[1] MRU Path: C:\Dokumente und Einstellungen\A***\Recent Count: 1
[2] MRU Registry Key: S-1-5-21-1065902809-2838184547-668984868-1004\Software\Microsoft\Search Assistant\ACMru\5603 Count: 1

habe das dann mit remove entfernt.
habe betriebssystem windows xp
muss dazu sagen, dass sich google auch nicht lädt nur wenn man die IP-Adresse direkt eingibt: 66.249.93.104
woran könnte es liegen, habe ich einen virus oder sowas?danke für die Hilfe.

hier das hijacklogfile:


Logfile of HijackThis v1.99.1
Scan saved at 22:29:11, on 14.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\V0250Mon.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\Hijack_programm\hijackthis\starthijack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

Geändert von Orchidea (14.05.2008 um 23:09 Uhr)

Alt 15.05.2008, 08:22   #2
undoreal
/// AVZ-Toolkit Guru
 
Umleitung Internetseite - Standard

Umleitung Internetseite



Hallo Orchidea.

Dein HJT log ist nicht komplett. Poste bitte auch den Rest. Dort muss stehen:
"End of file *** bytes"

Und deinstalliere bitte AdAware. Das ist seit der letzten Version leider absolut schlecht geworden..
__________________

__________________

Alt 15.05.2008, 19:36   #3
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



hallo,
das hijack logfile ist vollständig, da steht am ende nicht mehr.
habe ich eine andere version verwendet?
__________________

Alt 15.05.2008, 19:53   #4
Sunny
Administrator
> Competence Manager
 

Umleitung Internetseite - Standard

Umleitung Internetseite



Zitat:
Zitat von Orchidea Beitrag anzeigen
hallo,
das hijack logfile ist vollständig, da steht am ende nicht mehr.
habe ich eine andere version verwendet?

Ja das hast du. Versuche es mal hiermit:


Erstellung eines Hijacklog
  • Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick auf die Datei mit der rechten Maustaste -> umbenennen)
  • Starte nun mit Doppelklick auf This.exe
  • Klicke auf den Button "Do a system scan and save a log file"
  • Nach der Überprüfung öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag hier Forum ein
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 15.05.2008, 23:34   #5
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



so jetzt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:07, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\V0250Mon.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\++++\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 4592 bytes


Geändert von Orchidea (15.05.2008 um 23:47 Uhr)

Alt 15.05.2008, 23:46   #6
undoreal
/// AVZ-Toolkit Guru
 
Umleitung Internetseite - Standard

Umleitung Internetseite



Zitat:
--
End of file - 4592 bytes


dankeschön.. ^^

Dein log ist sauber. Führe mal bitte einige Programme aus damit wir uns einen Überblick über dein System verschaffen können.


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Überprüfe dein System mit SASW.

8) Mache einen letzten Maleware-Check mit Malewarebytes.

8) Durchsuche mit dem Kaspersky Online Scanner dein System.

9) Checke dein System mit dem ESET Online Scanner.

10) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

11) Führe einen escan durch: MWAV Poste das log!

12) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)


__________________
--> Umleitung Internetseite

Alt 15.05.2008, 23:49   #7
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



soll ich das alles auf dem admin machen oder auf dem benutzerkonto?

Alt 15.05.2008, 23:53   #8
undoreal
/// AVZ-Toolkit Guru
 
Umleitung Internetseite - Standard

Umleitung Internetseite



Admin ist in diesem Fall besser.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.05.2008, 23:56   #9
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



sorry nochmal ne frage: aber nicht im abgesicherten modus?
der erste punkt wo ich die systemwiederherstellung deaktivieren soll, nur bis zum 2. bild, weil es dann noch weitergeht -abgesicherter modus...?
mit so komplizierten sachen wie msconfig?

Alt 16.05.2008, 00:03   #10
undoreal
/// AVZ-Toolkit Guru
 
Umleitung Internetseite - Standard

Umleitung Internetseite



nein, nicht in den abgesicherten Modus wechseln.

Nur die Systemwiederherstellung deaktivieren.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.05.2008, 00:50   #11
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



also habe das jetzt mal gemacht bis Punkt 8 der rest folgt, vielleicht kannst du ja schon was dazu sagen?!

blacklight:

05/16/08 22:34:23 [Info]: BlackLight Engine 1.0.70 initialized
05/16/08 22:34:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/16/08 22:34:24 [Note]: 7019 4
05/16/08 22:34:24 [Note]: 7005 0
05/16/08 22:34:35 [Note]: 7006 0
05/16/08 22:34:35 [Note]: 7011 3176
05/16/08 22:34:35 [Note]: 7035 0
05/16/08 22:34:35 [Note]: 7026 0
05/16/08 22:34:35 [Note]: 7026 0
05/16/08 22:34:37 [Note]: FSRAW library version 1.7.1024
05/16/08 22:35:27 [Note]: 2000 1012
05/16/08 22:35:45 [Note]: 7007 0

Silentrunners ging nicht wenn ich auf den download gegangen bin kam nur eine seite wo ganz viel geschrieben stand.also kein programm oder so.


smitfraud:


SmitFraudFix v2.320

Scan done at 22:42:49,66, 16.05.2008
Run from C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\V0250Mon.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GameSpy\Comrade\Comrade.exe
C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\admin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 194.98.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE1241F0-440E-4AD3-8E7F-0D6BF6B714DE}: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE1241F0-440E-4AD3-8E7F-0D6BF6B714DE}: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CE1241F0-440E-4AD3-8E7F-0D6BF6B714DE}: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 194.98.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


nach dem scan im abgesicherten modus, 2. log:
smitfraud:



SmitFraudFix v2.320

Scan done at 22:53:42,25, 16.05.2008
Run from C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE1241F0-440E-4AD3-8E7F-0D6BF6B714DE}: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE1241F0-440E-4AD3-8E7F-0D6BF6B714DE}: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CE1241F0-440E-4AD3-8E7F-0D6BF6B714DE}: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 194.98.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 194.98.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

combofix:

ComboFix 08-05-15.3 - admin 2008-05-16 22:45:01.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.604 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\t\

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 ))))))))))))))))))))))))))))))
.

2008-05-16 22:42 . 2008-05-16 22:42 2,352 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-16 22:39 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-16 22:39 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-16 22:39 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-16 22:39 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-16 22:39 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-16 22:39 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-16 22:39 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-16 22:39 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-16 22:33 . 2008-05-16 22:34 0 --a------ C:\WINDOWS\system32\REN27D.tmp
2008-05-16 22:33 . 2008-05-16 22:34 0 --a------ C:\WINDOWS\system32\REN27C.tmp
2008-04-23 22:19 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-04-23 22:19 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys
2008-04-23 22:19 . 2004-08-10 20:00 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-04-23 22:19 . 2004-08-10 20:00 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 13:56 9,844 ----a-w C:\Dokumente und Einstellungen\*** \Anwendungsdaten\wklnhst.dat
2008-04-09 11:34 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-04-09 11:29 --------- d-----w C:\Programme\iTunes
2008-04-09 11:29 --------- d-----w C:\Programme\iPod
2008-04-09 11:29 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Apple Computer
2008-04-09 11:28 --------- d-----w C:\Programme\QuickTime
2008-04-09 11:28 --------- d-----w C:\Programme\Bonjour
2008-04-09 11:28 --------- d-----w C:\Programme\Apple Software Update
2008-04-09 11:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-09 11:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-04-09 11:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-03-28 14:13 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Creative
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-21 15:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Creative
2008-03-21 15:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-03-21 14:52 --------- d-----w C:\Programme\SightSpeed
2008-03-21 14:50 --------- d-----w C:\Programme\Creative
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2007-05-13 22:12 11,470,608 ----a-w C:\Programme\avgas-setup-7.5.0.50.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
"Comrade.exe"="C:\Programme\GameSpy\Comrade\Comrade.exe" [2007-05-27 03:19 36864]
"Creative Live! Cam Manager"="C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 16:00 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 15:38 2749440 C:\WINDOWS\ALCWZRD.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 14:53 77824 C:\WINDOWS\SoundMan.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 18:43 262401]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-28 19:01 6731312]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"AVFX Engine"="C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-06-09 01:11 24576]
"V0250Mon.exe"="C:\WINDOWS\V0250Mon.exe" [2006-06-07 18:00 32768]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 20:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\MSMSGS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-21 09:52]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2004-11-03 09:06]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\6.tmp []
S3 V0250Dev;Live! Cam Notebook Pro;C:\WINDOWS\system32\DRIVERS\V0250Dev.sys [2006-06-27 04:25]
S3 V0250Vfx;V0250Vfx;C:\WINDOWS\system32\DRIVERS\V0250Vfx.sys [2006-03-24 09:24]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-14 20:02:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-16 22:47:05
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\6.tmp"
.
Zeit der Fertigstellung: 2008-05-16 22:47:34
ComboFix-quarantined-files.txt 2008-05-16 20:47:26

10 Verzeichnis(se), 33,270,726,656 Bytes frei
13 Verzeichnis(se), 33,298,481,152 Bytes frei

157 --- E O F --- 2008-05-15 19:00:31


superantispyware hat nichts gefunden!

malewarebytes: (hat was gefunden!!!) habe ich dann entfernen lassen.
habe das 2.log auch gespeichert, finde es gerade nicht. habe es in der aufregung falsch abgespeichert.

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 755

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 189401
Scan Dauer: 24 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\KCMDNIns.exe (Trojan.Inject) -> No action taken.

was ist das für ein trojaner? werde jetzt die online scans machen! hoffe es passt alles soweit.danke.

Alt 17.05.2008, 01:13   #12
undoreal
/// AVZ-Toolkit Guru
 
Umleitung Internetseite - Standard

Umleitung Internetseite



Die online Scans brauchst du leider nicht mehr machen. Dein System ist absolut kompromitiert und wird damit ferngesteuert.

Setzte deinen rechner umgehend neu auf und ändere danach alle Passwörter, Zugansdaten und Acc. Insb. wenn du online-Banking, eBay, PayPal oder sonst wie aktiv bist..

Neuaufsetzten

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch.

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateieendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.05.2008, 01:16   #13
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



was so schlimm? was ist denn das für ein teil?
wo habe ich mir den geholt? wie lange ist es schon da? kann man das sagen?
meiner bilder und musik sind auch nicht mehr sicher?
es sind doch nur bilder
woran hast du das jetzt erkannt würde mich doch sehr interssieren.
.

Alt 17.05.2008, 01:34   #14
Orchidea
 
Umleitung Internetseite - Standard

Umleitung Internetseite



ich finde dazu nichts wirklich hilfreiches im internet, hat es noch einen anderen namen und was ist das jetzt ein wurm oder was ?
das wäre für mich auch nett, wenn ich das wissen würde.weil so ist das ja alles sehr unbefriedigend!

Alt 17.05.2008, 01:54   #15
undoreal
/// AVZ-Toolkit Guru
 
Umleitung Internetseite - Standard

Umleitung Internetseite



Wenn du nichtmal mehr darauf vertrauen kannst auf die richtigen Seiten geleitet zu werden und Anti-Malware einen derart bösen Trojaner findet dann muss man davon ausgehen, dass der Angreifer Hintertüren ins System eingebaut hat die man nicht wieder schließen kann.

Aus diesem Grund ist es für die Systemsicherheit unabdingbar den Rechner neuaufzusetzten.

Deine Bilder kannst du ohne Probleme sichern!

Und auch Dokumente und Musik darfst du dir sichern wenn du sie mit einem guten AV Scanner wie zum Beispiel eScan/MWAV scannst. Steht ja auch alles in der Anleitung..

Woher der Schädling gekommen ist lässt sich schwer sagen aber meistens installiert man sich irgendein falsches Programm aus dem Internet..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Umleitung Internetseite
ad-aware, adobe, antivir, avg, avira, bho, bonjour, einstellungen, explorer, fehlermeldung, firefox, google, hijackthis, internet, internet explorer, ip-adresse, jusched.exe, microsoft, mozilla, mozilla firefox, neu, pdf, problem, programme, registry, registry key, software, unknown file in winsock lsp, virus, windows



Ähnliche Themen: Umleitung Internetseite


  1. Werbung auf jeder Internetseite
    Plagegeister aller Art und deren Bekämpfung - 15.04.2015 (11)
  2. DNS Error 2 und chinesische Internetseite
    Plagegeister aller Art und deren Bekämpfung - 13.11.2014 (5)
  3. BKA Trojaner? nur auf einer Internetseite!
    Plagegeister aller Art und deren Bekämpfung - 22.07.2014 (9)
  4. Schadlink auf vertrauter Internetseite
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (39)
  5. Internetseite Lokal Speichern
    Alles rund um Windows - 29.05.2010 (3)
  6. Tronjaner auf meiner Internetseite
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (2)
  7. Virus per Internetseite?
    Plagegeister aller Art und deren Bekämpfung - 04.09.2009 (4)
  8. Immer gleiche internetseite
    Log-Analyse und Auswertung - 06.07.2009 (2)
  9. Internetseite auf Virus überprüfen
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (5)
  10. internetseite gefährlich
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (3)
  11. Getarnte Internetseite mit Trojaner
    Mülltonne - 26.08.2008 (0)
  12. Maleware nach internetseite
    Log-Analyse und Auswertung - 12.08.2008 (12)
  13. Internetseite ohne Endungen?
    Netzwerk und Hardware - 09.06.2008 (6)
  14. verseuchte internetseite
    Plagegeister aller Art und deren Bekämpfung - 23.04.2008 (7)
  15. Internetseite offline stellen
    Mülltonne - 20.04.2008 (9)
  16. internetseite öffnet automatisch
    Log-Analyse und Auswertung - 06.07.2005 (1)
  17. Internetseite
    Plagegeister aller Art und deren Bekämpfung - 07.08.2004 (20)

Zum Thema Umleitung Internetseite - hallo, ich habe ein Problem und zwar wollte ich heute auf mypace.com gehen und wurde dann umgeleitet auf die seite wiki.de habe dann spybot drüberlaufen lassen, der findet eigentlich immer - Umleitung Internetseite...
Archiv
Du betrachtest: Umleitung Internetseite auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.