Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Umleitung von Google Suchergebnissen nach ebay

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 25.11.2008, 11:20   #1
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Guten Tag,
ich weiß, daß mein Problem auf diesem Board bereits in ähnlicher Form behandelt wurde, allerdings gibt es bei mir einen nennenswerten Unterschied.
Seit ein paar Tagen werde ich bei einigen der ganz zu Anfang aufgeführten Google Suchergebnisse nicht auf die angegebene URL verlinkt, sondern grundsätzlich nach ebay. Vorne stehende Links wie z.B. Amazon und weiter hinten stehende werden korrekt verlinkt.
Ein Virus (an zwei Stellen) ' Win32:Invo' [Cryp] wurde mittels avast in den Container verschoben (das hat nicht geholfen).

Der online Scan von Kaspersky (mußte ich aus Zeitgründen nach dem bearbeiten von Laufwerk c:/ abbrechen):

C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\adks_l4L.exe.part Infected: Trojan.Win32.Monder.ycl 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\adks_l4L.exe.part Infected: Trojan-Downloader.Win32.Agent.ansq 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\adks_l4L.exe.part Infected: Trojan-Downloader.Win32.Agent.akwa 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\adks_l4L.exe.part Infected: Trojan-Dropper.Win32.Agent.xxe 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\_EjfhULx.exe.part Infected: Trojan.Win32.Monder.ycl 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\_EjfhULx.exe.part Infected: Trojan-Downloader.Win32.Agent.ansq 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\_EjfhULx.exe.part Infected: Trojan-Downloader.Win32.Agent.akwa 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temp\_EjfhULx.exe.part Infected: Trojan-Dropper.Win32.Agent.xxe 1
C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\34ORU3RL\._file[1].exe Infected: Trojan-Downloader.Win32.Agent.aojx 1


dazu das log von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 09:11:44, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
F:\Downloads_Originale\Antiviren & Antispionage\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Downloads_Originale\Antiviren & Antispionage\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Persbackup.lnk = C:\Programme\Personal Backup 4\Persbackup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} (Microsoft Genuine Advantage Self Support Tool) - h**p://go.microsoft.com/fwlink/?LinkId=82580
O17 - HKLM\System\CCS\Services\Tcpip\..\{130A7F57-9602-4335-ADCE-17180CFC5E0F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{130A7F57-9602-4335-ADCE-17180CFC5E0F}: NameServer = 192.168.2.1

Ich bitte um Hilfe.

halong22

Alt 25.11.2008, 12:21   #2
Chris4You
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hi,

welche Viren/Trojaner wurden entfernt und wo waren sie?
Dein HK ist veraltet...

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
__________________

__________________

Alt 25.11.2008, 14:44   #3
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hallo Chris,
zu den Viren:
oben hatte ich die Angaben aus Avast 'Win32:Invo' angegeben (wenn das nicht der Virenname ist, weiß ich im Moment auch nicht mehr).
Der Scan Malwarebytes Antimalware läuft z.Zt. noch.
Was bedeutet bitte HK?
Gruß
Frank
__________________

Alt 25.11.2008, 14:45   #4
Chris4You
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hi,

sollte HJ werden, aktuell ist 2.02

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 25.11.2008, 14:47   #5
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Entschuldige bitte - ich weiß, das nervt jetzt-, aber ich hab's nicht mit Abkürzungen, was ist HJ?
Frank


Alt 25.11.2008, 14:53   #6
Chris4You
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hihi,
have a look at my Signature...
It's called Hijackthis...
chris
__________________
--> Umleitung von Google Suchergebnissen nach ebay

Alt 25.11.2008, 15:29   #7
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Okay, here we go,
got the latest HJ (as recommended) here is the logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:36, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
F:\Downloads_Originale\Antiviren & Antispionage\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Downloads_Originale\Antiviren & Antispionage\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Persbackup.lnk = C:\Programme\Personal Backup 4\Persbackup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} (Microsoft Genuine Advantage Self Support Tool) - http://go.microsoft.com/fwlink/?LinkId=82580
O17 - HKLM\System\CCS\Services\Tcpip\..\{130A7F57-9602-4335-ADCE-17180CFC5E0F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{130A7F57-9602-4335-ADCE-17180CFC5E0F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{130A7F57-9602-4335-ADCE-17180CFC5E0F}: NameServer = 192.168.2.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 6695 bytes


Additionally the mbam logfile:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1422
Windows 5.1.2600 Service Pack 2

25.11.2008 15:09:13
mbam-log-2008-11-25 (15-09-13).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|H:\|)
Durchsuchte Objekte: 168613
Laufzeit: 1 hour(s), 1 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\wcescomm.exe"" [MS]
"SpybotSD TeaTimer" = "F:\Downloads_Originale\Antiviren & Antispionage\Spybot\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe" ["Hewlett-Packard Company"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Malwarebytes' Anti-Malware" = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"
-> {HKLM...CLSID} = "Adobe PDF Link Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"
-> {HKLM...CLSID} = "Mobiles Gerät"
\InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\Wcesview.dll" [MS]
"{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler"
-> {HKLM...CLSID} = "Corel Media Folder Root Menu Handler"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]
"{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler"
-> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]
"{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {HKLM...CLSID} = "Corel Media Folder"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]
"{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {HKLM...CLSID} = "Corel Media Folder"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]
"{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder"
-> {HKLM...CLSID} = "Corel Media Find Folder"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]
"{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler"
-> {HKLM...CLSID} = "Corel Media Folder Copy Hook Handler"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]
"{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "K:\Corel\programs\CNSFlt80.dll" [file not found]
"{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "K:\Corel\programs\CNSFlt80.dll" [file not found]
"{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*Z" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "K:\Corel\programs\CMFFnd80.dll" [file not found]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}"
-> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler"
\InProcServer32\(Default) = "K:\Corel\programs\CMFFld80.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

Lightroom2AutoPlayHandler\
"Provider" = "Adobe Photoshop Lightroom 2.0"
"InvokeProgID" = "Adobe.AdobeLightroom"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Adobe.AdobeLightroom\shell\open\command\(Default) = "C:\Programme\Adobe\Adobe Photoshop Lightroom 2\Lightroom.exe "%L"" ["Adobe Systems"]

PDVDPlayCDAudioOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

PDVDPlayVCDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "VCD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%l"" ["CyberLink Corp."]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
-> {HKLM...CLSID} = "RealNetworks Scheduler"
\LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]


Startup items in "a" & "All Users" startup folders:
---------------------------------------------------

C:\Dokumente und Einstellungen\a.A-0GLS4XMB6FGNK\Startmenü\Programme\Autostart
"Persbackup" -> shortcut to: "C:\Programme\Personal Backup 4\Persbackup.exe /auto" ["J. Rathlev, IEAP, Uni-Kiel"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Create Mobile Favorite"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\INetRepl.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared files\RichVideo.exe"" [empty string]
Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" [file not found]
Canon BJ Language Monitor iP4500 series\Driver = "CNMLM92.DLL" ["CANON INC."]
hpzlnt01\Driver = "hpzlnt01.dll" ["Hewlett-Packard Company"]
hpzlnt04\Driver = "hpzlnt04.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]


---------- (launch time: 2008-11-25 15:24:02)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 59 seconds, including 17 seconds for message boxes)



And besides all this mea culpa, mea maxima culpa, entschuldige bitte, ich hätte natürlich auch mal die Augen aufmachen können und die Signatur....

Gruß
Frank

Alt 25.11.2008, 15:45   #8
Chris4You
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hi,

das HJ-Log sieht gut aus, im Silentrunner konnte ich auf die Schnelle nichts feststellen (muss aber jetzt leider gleich weg);

Ich denke wir sollten uns die Treiber noch genauer ansehen...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 25.11.2008, 16:09   #9
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hi Chris,

Combofix hat automatisch losgelegt, ohne daß ich irgendetwas dazu tun konnte, hier das log:

ComboFix 08-11-24.03 - a 2008-11-25 15:57:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1701 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-25 bis 2008-11-25 ))))))))))))))))))))))))))))))
.

2008-11-25 14:05 . 2008-11-25 14:05 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-25 14:05 . 2008-11-25 14:05 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-11-25 14:05 . 2008-11-25 14:05 <DIR> d-------- c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Anwendungsdaten\Malwarebytes
2008-11-25 14:05 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-25 14:05 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-20 11:19 . 2008-11-20 11:20 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2008-11-20 11:18 . 2008-11-20 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-20 06:56 . 2008-11-20 06:56 <DIR> d-------- c:\programme\Trend Micro
2008-11-18 19:35 . 2008-11-18 19:40 20 ---h----- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLeh.DAT
2008-11-16 17:43 . 2008-11-16 17:43 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-16 15:38 . 2008-11-24 10:52 20 ---h----- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLbz.DAT
2008-11-12 17:46 . 2008-11-12 17:46 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Image Units
2008-11-11 09:12 . 2008-07-09 05:05 120,568 --------- c:\windows\system32\pxcpyi64.exe
2008-11-07 15:23 . 2008-11-07 15:23 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Hybrid Chords
2008-11-07 15:23 . 2008-11-07 15:23 20 ---h----- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLck.DAT
2008-11-07 14:38 . 2008-11-18 19:38 <DIR> d-------- c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Anwendungsdaten\Nikon
2008-11-07 14:37 . 2008-11-18 19:35 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Ultima_T15
2008-11-07 14:37 . 2008-11-18 19:35 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\EnterNHelp
2008-11-07 14:37 . 2008-11-18 19:12 20 ---h----- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLbx.DAT
2008-11-02 08:22 . 2008-11-02 08:30 <DIR> d-------- c:\programme\Winamp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 13:29 --------- d-----w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Anwendungsdaten\Simple Sudoku
2008-11-25 04:13 --------- d-----w c:\programme\eMule
2008-11-24 06:13 --------- d-----w c:\programme\IrfanView
2008-11-21 12:20 --------- d-----w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Anwendungsdaten\XnView
2008-11-20 10:19 --------- d-----w c:\programme\Lavasoft
2008-11-20 10:10 --------- d---a-w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-11-18 18:38 --------- d-----w c:\programme\Gemeinsame Dateien\Nikon
2008-11-18 18:35 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-18 18:35 --------- d-----w c:\programme\Nikon
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-14 05:40 --------- d-----w c:\programme\NCH Swift Sound
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-28 03:49 --------- d-----w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Anwendungsdaten\foobar2000
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2007-11-27 19:46 24,192 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\usbsermptxp.sys
2007-11-27 19:46 22,768 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\usbsermpt.sys
2007-11-27 17:59 92,064 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmmdm.sys
2007-11-27 17:59 9,232 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmmdfl.sys
2007-11-27 17:59 79,328 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmserd.sys
2007-11-27 17:59 66,656 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmbus.sys
2007-11-27 17:59 6,208 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmcmnt.sys
2007-11-27 17:59 5,936 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmwhnt.sys
2007-11-27 17:59 4,048 ----a-w c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\mqdmcr.sys
2006-10-02 03:00 32,336 -c--a-w c:\dokumente und einstellungen\a\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-04-25 13:53 2,318,926 -c--a-w c:\programme\IsoBuster 1.6 (All languages) Setup.exe
2001-03-28 11:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"SpybotSD TeaTimer"="f:\downloads_originale\Antiviren & Antispionage\Spybot\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe" [2004-04-15 233539]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb01.exe" [2000-07-26 192512]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-11 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Startmen\Programme\Autostart\
Persbackup.lnk - c:\programme\Personal Backup 4\Persbackup.exe [2007-11-07 3192840]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK
backup=c:\windows\pss\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
--a------ 2007-04-04 02:50 1603152 c:\programme\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
--a------ 2007-05-15 02:01 644696 c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2000-07-26 22:56 192512 c:\windows\system32\spool\drivers\w32x86\3\hpztsb01.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 11:09 49152 c:\programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
--a------ 2007-09-25 12:59 532776 c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2005-12-07 22:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-01-11 07:28 180269 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"c:\\Programme\\SmartStore\\SmartStore.biz 5\\SMBiz5.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 110160]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560]
R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\system32\drivers\GDTdiIcpt.sys [2007-11-06 28307]
R3 dmxfire;DMX6fire WDM Audio;c:\windows\system32\drivers\dmx6fire.sys [2003-08-29 148724]
R3 dmxsens;dmxsens;c:\windows\system32\drivers\dmxsens.sys [2003-07-22 403968]
S4 hpt3xx;hpt3xx; []

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\a.A-0GLS4XMB6FGNK\Anwendungsdaten\Mozilla\Firefox\Profiles\7thkyl80.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxps://signin.ebay.de/ws/eBayISAPI.dll?SignIn&co_partnerId=2&pUserId=&siteid=77&pageType=1883&pa1=&i1=&bshowgif=&UsingSSL=0&ru=http%3A%2F%2Fmy.ebay.de%2Fws%2FeBayISAPI.dll%3FM yeBay&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 15:59:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 16:00:30
ComboFix-quarantined-files.txt 2008-11-25 15:00:16

Vor Suchlauf: 803.962.880 Bytes frei
Nach Suchlauf: 1,259,474,944 Bytes frei

158 --- E O F --- 2008-11-16 16:46:02

Da ich bisher außer den lästigen Auswirkungen auf das Anklicken der Suchergebnisse noch nichts Böses bemerkt habe, ist die Sache für mich auch nicht soo eilig.

Bis morgen?
Frank

Alt 25.11.2008, 16:19   #10
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Ich habe noch eine Kleinigkeit entdeckt, vielleicht ist das wichtig:

2008-11-25 15:55:46 A------- 54 C:\Qoobox\Quarantine\catchme.log
2008-11-25 15:58:40 A------- 5,747 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-11-25 15:59:45 A------- 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-11-25 15:59:45 A------- 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-11-25 15:59:45 A------- 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-11-25 16:00:07 A------- 704 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-updateMgr.reg.dat

Alt 26.11.2008, 08:10   #11
Chris4You
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hi,

zwei Ansatzpunkte ergeben sich aus dem ComboFix-Log:
R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\s ystem32\drivers\GDTdiIcpt.sys [2007-11-06 28307]
-> http://spywaredlls.prevx.com/RRBIEI44484791/GDTDIINTERCEPTOR.SYS.html
und
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxps://signin.ebay.de/ws/eBayISAPI.dll?SignIn&co_partnerId=2&pUserId=&sitei d=77&pageType=1883&pa1=&i1=&bshowgif=&UsingSSL=0&r u=http%3A%2F%2Fmy.ebay.de%2Fws%2FeBayISAPI.dll%3FM yeBay&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct =&sid=&favoritenav=&migrateVisitor=1
Das zweite ist OK, wenn Du eBay als Startseite genommen hast.

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\pxcpyi64.exe
c:\windows\system32\drivers\GDTdiIcpt.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Versuchen wir mal PrevX:
http://www.prevx.com/freescan.asp
Falls er was findet, posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.11.2008, 13:48   #12
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hallo Chris,

Ergebnis GDTdiIcpt.sys

MD5: 8916b6ead856da32b5183cad114447f4
First received: -
Datum 2008.08.22 19:52:57 (CET) [>95D]
Ergebnisse 0/36
Permalink: analisis/8d50222244872d86019f23a9db530767

Ergebnis pxcpyi64.exe

MD5: d2767cb08b232cbe00665e369a2dd6c8
First received: -
Datum 2008.08.25 16:38:05 (CET) [>92D]
Ergebnisse 0/36
Permalink: analisis/4e54731dfdd442bef00f6ae7cfa3c132

Die Startseite im Firefox ist bei mir ebay, insofern also okay.
PrevX mache ich jetzt gleich anschließend.

Frank

Alt 26.11.2008, 13:55   #13
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



PrevX ergibt folgendes: C:\windows\system32\wineyyzs.dll malicious software, license required

Alt 26.11.2008, 14:06   #14
Chris4You
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Hi,

die taucht sonst in keinem Log auf, gut versteckt, daher Rootkitsuche:

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

wineyyzs.dll

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text


Bitte File prüfen lassen (mal sehen welche Scanner das Teil erkennen):

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\windows\system32\wineyyzs.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.11.2008, 14:59   #15
halong22
 
Umleitung von Google Suchergebnissen nach ebay - Standard

Umleitung von Google Suchergebnissen nach ebay



Okay, weiter geht's
1.) AVIRA findet nichts
2.) MBR-log:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

3.) Regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.11.2008 14:54:47 for strings:
; 'wineyyzs.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"h"="C:\\WINDOWS\\system32\\wineyyzs.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="C:\\WINDOWS\\system32\\wineyyzs.dll"

; End Of The Log...

4.) Virustotal:
MD5: d7e627e86cd0e131c3329fa650ac3200
First received: 2008.11.02 00:38:16 (CET)
Datum 2008.11.02 00:38:16 (CET) [>24D]
Ergebnisse 1/36
Permalink: analisis/405a00adcc0a7f0ddf758f0af77230b8

Frank

Antwort

Themen zu Umleitung von Google Suchergebnissen nach ebay
ad-aware, adobe, anfang, askbar, avast, avast!, bho, content.ie5, ebay, einstellungen, excel, explorer, firefox, google, google suchergebnisse, hijack, hijackthis, internet, internet explorer, kaspersky, laufwerk c, mozilla, problem, programme, scan, software, system, temp, virus, windows, windows xp



Ähnliche Themen: Umleitung von Google Suchergebnissen nach ebay


  1. Umleitung nach Klick auf Link in Google Suche
    Log-Analyse und Auswertung - 29.01.2015 (28)
  2. Firefox: Bei Anklicken von Links nach Google-Suche erfolgt Umleitung auf Werbeseiten
    Log-Analyse und Auswertung - 12.07.2013 (13)
  3. Umleitung von Google-Suchergebnissen, Windows-Sicherheitscenter lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 18.02.2013 (23)
  4. Nach Google Suche Umleitung auf Seiten wie z.B. Monstermarketplace. Anfänger!
    Plagegeister aller Art und deren Bekämpfung - 20.01.2013 (27)
  5. Umleitung auf falsche Seiten bei Google-Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 31.12.2012 (23)
  6. Problem mit Google Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 25.12.2012 (3)
  7. Weiterleitung bei google Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 18.07.2012 (9)
  8. Nach Google Suche umleitung über Rocketnews zu safeseeking.com
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (16)
  9. Unerwünschte Umleitung von Suchergebnissen
    Log-Analyse und Auswertung - 31.01.2012 (12)
  10. Nach Facebook-Link Umleitung von Google-Ergebnissen + Mozilla Toolbar mit Sexanzeigen...
    Log-Analyse und Auswertung - 09.01.2012 (7)
  11. Nach GEMA-Blockade nun Google-Umleitung
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (1)
  12. Umleitung/Weiterleitung bei Google-Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (8)
  13. Google Suche Umleitung ebay
    Log-Analyse und Auswertung - 04.06.2009 (5)
  14. Spybot S&D nicht installierbar, Umleitung von Google Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 26.05.2009 (7)
  15. Umleitung nach go.google.de
    Log-Analyse und Auswertung - 02.05.2009 (2)
  16. Umleitung aus Google-Suchergebnissen
    Log-Analyse und Auswertung - 10.02.2008 (11)
  17. ungewollte Umleitung von Google auf Ebay oder andere Suchmaschinen; bitte log auswert
    Log-Analyse und Auswertung - 28.01.2008 (2)

Zum Thema Umleitung von Google Suchergebnissen nach ebay - Guten Tag, ich weiß, daß mein Problem auf diesem Board bereits in ähnlicher Form behandelt wurde, allerdings gibt es bei mir einen nennenswerten Unterschied. Seit ein paar Tagen werde ich - Umleitung von Google Suchergebnissen nach ebay...
Archiv
Du betrachtest: Umleitung von Google Suchergebnissen nach ebay auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.