Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Google leitet Suchergebnisse um

Google leitet Suchergebnisse um


Log-Analyse und Auswertung: Google leitet Suchergebnisse um

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.12.2008, 18:30   #1
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Guten Abend.

Bei mir tut sich folgendes Problem auf:
Sämtliche Googlesuchergebnisse werden auf Seiten beginnend Http://go.google.com umgeleitet.

HiJack This liess sich nicht installieren, funktionierte allerdings nachdem ich die .exe zugeschickt bekommen habe.
Was mach am meisten verwundert ist das dieses Problem nicht dauerhaft auftritt, sondern von Computerstart zu Computerstart unterschiedlich vorliegt. Mal funktioniert Google ohne jede Probleme, beim nächsten Systemstart liegen die Probleme wieder vor.
Als Virenscanner ist Steganos Internet Security Installiert, dieser lässt sich auch updaten, findet allerdings nichts.

Fehlermeldungen werden keine Ausgegeben, das System ignorierte Klicks auf zb, die Instalationsdatei von HiJack This einfach, ebenso ist kein Zugriff auf die Download Adresse von dem hier empfohlenem SDFix möglich. Es wird eine leere Seite geöffnet, allerdings kein Download gestartet.


Hier der HiJack log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:40, on 15.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe
C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Opera\opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2008 HotKeys] "C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205578268775
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208555271
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Steganos Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
O23 - Service: Steganos Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
O23 - Service: Steganos Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
O23 - Service: Steganos E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
O23 - Service: Steganos Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - D:\BackItUp\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe (file missing)

--
End of file - 6812 bytes
Betriebssystem ist Windows Xp mit Service Pack 3

Vielen Dank

Alt 15.12.2008, 18:56   #2
Argus
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Lade es vom hier runter,ist von mir umbenannt nach SD-Fix
UploadNet

Benutze malwarebytes-anti-malware
http://www.trojaner-board.de/51187-a...i-malware.html
Note: Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen
Und poste das Log

Benenne MBAM auch um wenn es Probleme gibt
__________________

Geändert von Argus (15.12.2008 um 19:27 Uhr)

Alt 15.12.2008, 20:52   #3
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Okay SDFix habe ich runtergeladen und im Abgesicherten Modus durchlaufen lassen. Unter deim eigentlichen Benutzerkonto ist das System immer abgestürzt, über das Administratorkonto ist es durchgelaufen. Wobei das eigentlich genutze Benutzerkonto ebenfalls ein Administrator Konto ist.

Hier schoneinmal die von SDFix erzeugte Logfile:

Zitat:
SDFix: Version 1.240
Run by Administrator on 15.12.2008 at 19:33

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\TDSSfpmp.dll - Deleted
C:\WINDOWS\system32\TDSSosvn.dat - Deleted
C:\WINDOWS\system32\TDSStkdv.log - Deleted


Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll
Could Not Remove C:\WINDOWS\system32\TDSSnrse.dll
Could Not Remove C:\WINDOWS\system32\TDSSliqp.dll
Could Not Remove C:\WINDOWS\system32\TDSSciou.dll



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 20:12:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Dokumente und Einstellungen\Vincent Shezar\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"D:\\Programme\\EA Games\\Ultima Online Mondain's Legacy\\client.exe"="D:\\Programme\\EA Games\\Ultima Online Mondain's Legacy\\client.exe:*:Enabled:client"
"D:\\Programme\\mIRC\\mirc.exe"="D:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*isabled:Windows Media Player"
"D:\\Programme\\Battelfield\\bfvietnam.exe"="D:\\Programme\\Battelfield\\bfvietnam.exe:*isabled:bfvietnam"
"D:\\Programme\\Opera\\Opera.exe"="D:\\Programme\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Programme\\Hamachi\\hamachi.exe"="C:\\Programme\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"G:\\Programme\\mIRC\\mirc.exe"="G:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Temp\\Rar$EX03.634\\AnGeL.exe"="C:\\Dokumente und Einstellungen\\Vincent Shezar\\Lokale Einstellungen\\Temp\\Rar$EX03.634\\AnGeL.exe:*:Enabled:--- AnGeL IRC Bot ---"
"D:\\Programme\\WinBot\\WinBot.exe"="D:\\Programme\\WinBot\\WinBot.exe:*:Enabled:WinBot IRC Client for Windows"
"G:\\Programme\\ftp-uploader\\FTPUploader.exe"="G:\\Programme\\ftp-uploader\\FTPUploader.exe:*:Enabled:ftpuploader.de"
"C:\\Programme\\Steganos\\Internet Security 2008\\avginet.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Programme\\Steganos\\Internet Security 2008\\avgamsvr.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Programme\\Steganos\\Internet Security 2008\\avgcc.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Programme\\Steganos\\Internet Security 2008\\avgemc.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

C:\WINDOWS\system32\TDSSoiqh.dll Found
C:\WINDOWS\system32\TDSSnrse.dll Found
C:\WINDOWS\system32\TDSSliqp.dll Found
C:\WINDOWS\system32\TDSSciou.dll Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 27 Mar 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 15 Mar 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!
Bei MBAM ist ebenfalls das Problem, das der Download nicht startet, und blockiert wird. Könntest du das auch umbennen und irgendwo hochladen?
__________________
Alt 15.12.2008, 20:59   #4
Argus
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


MBAM download umbenannt nach 1234

Entferne C:\SDFix\backups Papierkorb leeren

Alt 15.12.2008, 21:50   #5
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Danke !
So den Quickscan habe ich durchlaufen lassen, wenn ich nun nach Updates suchen will gibt er mir folgende Fehlermeldung aus:
Zitat:
Aktualisierung fehlgeschlagen. vergewissern sie sich das sie mit dem Internet verbunden sind und ihre Firewall Malwarebyte's Antimalware den Zugriff auf das Internett erlaubt.
Zugriff aufs Internet müsste eigentlich bestehen, die Firewall habe ich für das Update temporär deaktiviert, die Fehlermeldung bleibt die gleiche.

Ich werde es nun ersteinmal mit einem Neustart des Systems versuche, und hoffen das es danach geht.

Hier der Log des Quickscan:

Zitat:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

15.12.2008 21:42:36
mbam-log-2008-12-15 (21-42-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50719
Laufzeit: 5 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSciou.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSliqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrse.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS654f.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS7afb.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8942.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8fc1.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS953b.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS9e9e.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSa974.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSd6c2.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSdcf0.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSSe1ac.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSe6ae.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSede0.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSosvn.dat (Malware.Trace) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Delete on reboot.


Alt 15.12.2008, 22:56   #6
Argus
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Das mit dem Updaten hatte ich Heutemittag auch,anscheinend liegt/lag die Seite unter feuer

Alt 15.12.2008, 23:13   #7
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Ich habe den Downloadspiegel auf die Malware.org umgestellt, von da funktioniert der Download. System wird gerade getestet. Logfile setze ich dann rein sobald der Scan abgeschlossen ist.

Beim Neustarten gab es eine Fehlermeldung das Malwarebytes Antimalware nicht gefunden werden konnte. Ich denke das liegt aber daran das ich die exe umbenennen musste um das Programm überhaupt starten zu können.

Alt 15.12.2008, 23:28   #8
Argus
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Nachdem alles wieder ein bisschen in Ordnung ist kannst du diese 1234 ja wieder entfernen und die richtige downloaden

Alt 16.12.2008, 00:05   #9
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


So, hier nun auch noch einmal die Logfile vom kompletten System Scan:

Zitat:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1502
Windows 5.1.2600 Service Pack 3

16.12.2008 00:02:42
mbam-log-2008-12-16 (00-02-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 148291
Laufzeit: 1 hour(s), 50 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\TDSS7e62.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent Shezar\Lokale Einstellungen\Temp\TDSS9748.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent Shezar\Lokale Einstellungen\Temp\TDSS974d.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent Shezar\Lokale Einstellungen\Temp\TDSS9761.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Alt 16.12.2008, 17:56   #10
Argus
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole
zusammen mit ein neuen log von HijackThis
Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole

Alt 16.12.2008, 20:09   #11
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


So hier die Combofix Logfile:

Zitat:
ComboFix 08-12-15.08 - Vincent Shezar 2008-12-16 19:53:41.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.610 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Vincent Shezar\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2008-12-15 21:29 . 2008-12-15 21:29 <DIR> d-------- c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\Malwarebytes
2008-12-15 21:27 . 2008-12-15 21:28 <DIR> d-------- c:\programme\1234
2008-12-15 21:27 . 2008-12-15 21:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-15 21:27 . 2008-12-03 19:59 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-15 21:27 . 2008-12-03 19:59 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-15 19:32 . 2008-12-15 19:32 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-12-15 19:28 . 2008-12-15 19:28 <DIR> d-------- c:\windows\ERUNT
2008-12-15 19:26 . 2008-03-15 11:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Vorlagen
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> dr------- c:\dokumente und einstellungen\Administrator.VINCENT.000\Startmenü
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Netzwerkumgebung
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Lokale Einstellungen
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT.000\Favoriten
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Druckumgebung
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Anwendungsdaten
2008-12-15 19:26 . 2008-12-15 19:26 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT.000
2008-12-15 19:12 . 2008-12-15 21:22 <DIR> d-------- C:\SDFix
2008-12-15 00:10 . 2008-12-15 00:32 <DIR> d-------- c:\programme\Security Task Manager
2008-12-15 00:10 . 2008-12-15 00:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-12-14 11:39 . 2008-03-15 11:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Vorlagen
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> dr------- c:\dokumente und einstellungen\Administrator.VINCENT\Startmenü
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Netzwerkumgebung
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Lokale Einstellungen
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT\Favoriten
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Druckumgebung
2008-12-14 11:39 . 2008-12-14 11:39 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator.VINCENT\Anwendungsdaten
2008-12-14 11:39 . 2008-12-14 11:39 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT
2008-12-13 23:40 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-12-13 23:39 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-12-13 23:38 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-13 23:38 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-13 23:38 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-13 23:38 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-13 23:38 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-13 23:37 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-12-13 23:37 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-12-13 23:29 . 2004-08-04 08:57 221,184 --a------ c:\windows\system32\wmpns.dll
2008-12-13 23:10 . 2008-12-13 23:10 <DIR> d-------- c:\windows\system32\de-de
2008-12-13 23:10 . 2008-12-13 23:10 <DIR> d-------- c:\windows\system32\de
2008-12-13 23:10 . 2008-12-13 23:10 <DIR> d-------- c:\windows\l2schemas
2008-12-12 17:51 . 2008-12-12 17:51 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-12-12 17:42 . 2008-03-15 11:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-12-12 17:42 . 2008-12-12 17:43 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-12-12 17:42 . 2008-12-12 17:51 <DIR> d-------- c:\dokumente und einstellungen\Administrator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-14 21:16 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\FileZilla
2008-12-14 12:46 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-14 12:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-14 12:45 --------- d-----w c:\programme\Google
2008-12-13 14:27 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\OpenOffice.org2
2008-12-11 22:46 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\AVG7
2008-12-11 22:32 --------- d-----w c:\programme\SoundSpectrum
2008-12-11 22:31 --------- d-----w c:\programme\NCH Software
2008-12-02 21:49 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\mIRC
2008-11-26 23:31 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\Skype
2008-11-26 23:07 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\skypePM
2008-11-10 09:49 18,489 ----a-w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\mdbu.bin
2008-11-05 18:00 --------- d-----w c:\programme\Panasonic
2008-11-05 17:49 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-04 21:20 --------- d-----w c:\programme\Skype
2008-11-04 21:20 --------- d-----w c:\programme\Gemeinsame Dateien\Skype
2008-11-04 21:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-10-29 20:02 --------- d-----w c:\programme\Mozilla Thunderbird
2008-10-29 19:44 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\Thunderbird
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
2008-10-13 19:03 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-10-13 19:03 116,472 ------w c:\windows\system32\pxcpyi64.exe
2008-10-08 18:03 9,216 ----a-w c:\windows\system32\avgwlntf.dll
2008-10-08 18:03 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-10-08 18:03 110,592 ----a-w c:\windows\system32\avgfwafu.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ICQ"="d:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"SSS2008 PasswordManagerFFAutoFill"="c:\programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe" [2007-11-29 21504]
"SSS2008 HotKeys"="c:\programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe" [2007-11-29 25088]
"AVG7_CC"="c:\progra~1\Steganos\INTERN~1\avgcc.exe" [2008-10-16 590848]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-10 67488]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="c:\progra~1\Steganos\INTERN~1\avgw.exe" [2008-10-08 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
2008-10-08 19:03 9216 c:\windows\system32\avgwlntf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\EA Games\\Ultima Online Mondain's Legacy\\client.exe"=
"d:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"d:\\Programme\\Battelfield\\bfvietnam.exe"=
"d:\\Programme\\Opera\\Opera.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avginet.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avgamsvr.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avgcc.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avgemc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];\??\c:\windows\system32\drivers\Sleen16.sys [2007-10-11 12:24:00 79104]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-10 124832]
S2 IcRecUsb;IC Recorder Driver;c:\windows\system32\Drivers\IcRecUsb.sys [2008-11-05 17432]
S2 SatSrv;Steganos AntiTheft;c:\windows\system32\\SatSrv.exe []
S3 zlportio;zlportio;\??\d:\programme\UltraStar Deluxe\zlportio.sys []
.
Inhalt des "geplante Tasks" Ordners

2008-10-15 c:\windows\Tasks\20081014_231700_Vincent Shezar.job
- d:\backitup\Nero BackItUp\BackItUp.exe [2007-05-24 16:37]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
LSP: c:\windows\system32\avgfwafu.dll

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\programme\Samsung\Samsung PC Studio 3\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader5.ocx
O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243}
hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208555271
c:\windows\Downloaded Program Files\ImageUploader5.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 19:59:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(496)
c:\windows\system32\avgwlntf.dll

- - - - - - - > 'lsass.exe'(560)
c:\windows\system32\avgfwafu.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\progra~1\Steganos\INTERN~1\avgrssvc.exe
c:\programme\Steganos\Internet Security 2008\avgamsvr.exe
c:\programme\Steganos\Internet Security 2008\avgupsvc.exe
c:\progra~1\Steganos\INTERN~1\avgrssvc.exe
c:\programme\Steganos\Internet Security 2008\avgemc.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Steganos\Internet Security 2008\avgfwsrv.exe
c:\programme\Steganos\Internet Security 2008\avgcc.exe
c:\windows\system32\wscntfy.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 20:04:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-16 19:04:18

Vor Suchlauf: 2.609.078.272 Bytes frei
Nach Suchlauf: 2,832,658,432 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

219 --- E O F --- 2008-12-15 16:47:16
Da das System zurzeit bei laufendem Opera browser sehr instabil ist, und sehr häufig abstürzt werde ich den HiJack This log nachträgich rein editieren, bevor hier wieder alles abstürzt.

EDIT:

So hier nun der neue HiJack This Log:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:43, on 16.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe
C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe
C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2008 HotKeys] "C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205578268775
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208555271
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Steganos Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
O23 - Service: Steganos Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
O23 - Service: Steganos Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
O23 - Service: Steganos E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
O23 - Service: Steganos Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - D:\BackItUp\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe (file missing)

--
End of file - 6733 bytes
Geändert von VincentSheza (16.12.2008 um 20:18 Uhr)

Alt 16.12.2008, 20:26   #12
bbirkhahn
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


ich habe das selbe problem.

habe sdfix im abgesicherten modus durchlaufen lassen, hier das log:
Code:
ATTFilter
SDFix: Version 1.240 
Run by Administrator on 16.12.2008 at 19:06

Microsoft Windows XP [Version 5.1.2600]
Running From: E:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP1.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP11.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP12.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP13.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP2.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP3.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP4.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP6.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP7.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP8.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPA.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPB.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPC.tmp - Deleted
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPD.tmp - Deleted
E:\WINDOWS\system32\TDSSnrsr.dll - Deleted
E:\WINDOWS\system32\TDSSriqp.dll - Deleted
E:\WINDOWS\system32\TDSScfum.dll - Deleted
E:\WINDOWS\system32\TDSSlxwp.dll - Deleted
E:\WINDOWS\system32\TDSSosvd.dat - Deleted
E:\WINDOWS\system32\TDSStkdv.log - Deleted


Could Not Remove E:\WINDOWS\system32\TDSSofxh.dll



Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 19:19:07
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: E:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: E:\WINDOWS\system32\config\software, 0
disk error: E:\Dokumente und Einstellungen\Administrator\ntuser.dat, 0
scanning hidden files ...

disk error: E:\WINDOWS\

please note that you need administrator rights to perform deep scan

Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"E:\\Programme\\ICQ6\\ICQ.exe"="E:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"E:\\Dokumente und Einstellungen\\Administrator\\Anwendungsdaten\\U3\\3514630A09430E82\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"="E:\\Dokumente und Einstellungen\\Administrator\\Anwendungsdaten\\U3\\3514630A09430E82\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe:*:Enabled:Skype"
"E:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="E:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabled:Die Schlacht um Mittelerde (tm)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

E:\WINDOWS\system32\TDSSofxh.dll Found

File Backups: - E:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 14 Sep 2008             0 A.SH. --- "E:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 23 Oct 2007     3,350,528 A..H. --- "E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\temp\Launchpad Removal.exe"

Finished!
dann hab ich Anti-Malware benutzt (komplett scan), log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1507
Windows 5.1.2600 Service Pack 3

16.12.2008 20:20:37
mbam-log-2008-12-16 (20-20-37).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 148207
Laufzeit: 47 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 18

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
E:\WINDOWS\system32\oqwqujub.dll (Trojan.Vundo.H) -> Delete on reboot.
E:\WINDOWS\system32\yayaXRhf.dll (Trojan.Vundo.H) -> Delete on reboot.
E:\WINDOWS\system32\luintc.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{085b60e5-d7d1-43f7-bb79-737157ab3150} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{085b60e5-d7d1-43f7-bb79-737157ab3150} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19ae3c1f-55f7-4380-9ea0-5183d8fc7c77} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{19ae3c1f-55f7-4380-9ea0-5183d8fc7c77} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{19ae3c1f-55f7-4380-9ea0-5183d8fc7c77} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{085b60e5-d7d1-43f7-bb79-737157ab3150} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\887407b3 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\65824453710840004453420047652202 (Rogue.A360Antivirus) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: e:\windows\system32\yayaxrhf -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: e:\windows\system32\yayaxrhf  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\WINDOWS\system32\yayaXRhf.dll (Trojan.Vundo.H) -> Delete on reboot.
E:\WINDOWS\system32\fhRXayay.ini (Trojan.Vundo.H) -> Delete on reboot.
E:\WINDOWS\system32\fhRXayay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\luintc.dll (Trojan.Vundo.H) -> Delete on reboot.
E:\WINDOWS\system32\oqwqujub.dll (Trojan.Vundo.H) -> Delete on reboot.
E:\WINDOWS\system32\bujuqwqo.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{5C20F3F2-2050-4C1D-B7A7-22083026E8D5}\RP240\A0045569.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\TDSSofxh.dll (Trojan.TDSS) -> Delete on reboot.
E:\WINDOWS\system32\qebedefp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\euziiv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\dicpxxkw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\drivers\TDSSmhxt.sys (Trojan.TDSS) -> Delete on reboot.
E:\WINDOWS\Temp\TDSS14bb.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\TDSS1ebe.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\TDSS296c.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\TDSS654.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\TDSSe24.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
edit: nach nem neustart hab ich nochmal Anti-Malware drüber laufen lassen:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1507
Windows 5.1.2600 Service Pack 3

16.12.2008 21:08:55
mbam-log-2008-12-16 (21-08-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 147822
Laufzeit: 41 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\TDSSbf3f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WINDOWS\Temp\TDSSf54c.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
und dann hijackthis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:09:43, on 16.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
E:\WINDOWS\system32\rundll32.exe
E:\max\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [UCam_Menu] "E:\Programme\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "E:\Programme\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [hpWirelessAssistant] E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [InstantAccess] E:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] E:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] E:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] E:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = E:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: luintc.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 9954 bytes
ist mein system jetzt virenfrei? wie kann ich mir da sicher sein?
Geändert von bbirkhahn (16.12.2008 um 21:12 Uhr)

Alt 16.12.2008, 21:37   #13
VincentSheza
 
Google leitet Suchergebnisse um - Standard

Google leitet Suchergebnisse um


Bitte wie in den Boardregeln beschrieben ein neues Thema aufmachen, damit es nicht zu Verwirrungen führt.

Ich bin jetzt über einen anderen Rechner drinne, bei mir ist das System bei einem laufenden Browser (egal ob IE oder Opera) dermaßem instabil das es keine 2 Minuten bei laufendem Browser übersteht, und immer abstürzt.

Antwort

Themen zu Google leitet Suchergebnisse um
adobe, alert, bho, bonjour, downloader, e-mail, einstellungen, explorer, firewall, google, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kein download, logfile, monitor, photoshop, problem, rundll, scan, security, seiten, server, software, unterschiedlich, windows, windows xp, windows xp sp3, xp sp3


« Pc meldet sich automatisch ab | Malware/Trojaner oder irgendwas »


Ähnliche Themen: Google leitet Suchergebnisse um


  1. Win 7: Google Chrome/Mozilla firefox lässt vermehrt Werbung auf Webseiten zu & Google Suchergebnisse scheinen manipuliert zu sein
    Log-Analyse und Auswertung - 29.04.2014 (8)
  2. Google-Suchergebnisse verfälscht...
    Plagegeister aller Art und deren Bekämpfung - 06.02.2013 (31)
  3. Google Suchergebnisse - leitet beim Klick auf das Suchergebnis um
    Log-Analyse und Auswertung - 05.11.2012 (9)
  4. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  5. (2x) google suchergebnisse
    Mülltonne - 15.06.2012 (2)
  6. Google leitet mich immer auf andere Websites( manchmal sogar auf google selbst)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (21)
  7. Google Chrome leitet Trojaner-Board Treffer bei Google auf dollarade.com um!
    Diskussionsforum - 07.02.2012 (18)
  8. Browser Hijack: Firefox 9.0.1 leitet Google Suchergebnisse um
    Log-Analyse und Auswertung - 25.01.2012 (3)
  9. Google leitet Suchergebnisse auf andere Seiten um und Rechner spielt unverlangt Hintergrundmusik ab
    Plagegeister aller Art und deren Bekämpfung - 03.08.2011 (1)
  10. Google-Suchergebnisse umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 04.03.2010 (1)
  11. Umleitung der Google-Suchergebnisse
    Log-Analyse und Auswertung - 17.02.2009 (9)
  12. Falsche Google Suchergebnisse
    Log-Analyse und Auswertung - 16.02.2009 (8)
  13. SPAM -Suchergebnisse bei Google
    Log-Analyse und Auswertung - 20.01.2009 (3)
  14. Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ ....
    Mülltonne - 23.12.2008 (2)
  15. Google Suchergebnisse umgeleitet
    Log-Analyse und Auswertung - 27.09.2008 (2)
  16. Umleitung der Google-Suchergebnisse
    Log-Analyse und Auswertung - 14.02.2007 (5)
  17. Umleitung der Suchergebnisse bei Google, Help!
    Plagegeister aller Art und deren Bekämpfung - 31.01.2006 (35)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Google leitet Suchergebnisse um - Guten Abend. Bei mir tut sich folgendes Problem auf: Sämtliche Googlesuchergebnisse werden auf Seiten beginnend Http://go.google.com umgeleitet. HiJack This liess sich nicht installieren, funktionierte allerdings nachdem ich die .exe zugeschickt - Google leitet Suchergebnisse um...
Archiv
Du betrachtest: Google leitet Suchergebnisse um auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129