Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Falsche Google-Links

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.01.2009, 11:11   #1
Paule_123
 
Falsche Google-Links - Standard

Falsche Google-Links



Hallo zusammen,
ich habe das bekannte Problem mit den verfälschten Links in Google und habe schon diverse Anleitungen zur Behebung gelesen und auch Verschiedenes versucht: AntiVir meldet keine Viren, SpyBot habe ich mehrere Male laufen lassen (keine Funde), MalwareBytes lief ebenso mehrmals ohne Funde und auch zuletzt AVG Anti-SpyWare. Alle Programme waren frisch aktualisiert.

Hier ist das HiJackThis-Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:00, on 13.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageWorkstation\TimounterMonitor.exe
C:\Programme\Lexmark 4300 Series\lxcemon.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageWorkstation\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} (Silverwire Image Uploader Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167340641000
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168203686218
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://s175690928.online.de/TSWeb/msrdp.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4_2-windows-i586.cab
O16 - DPF: {CAFECAFE-0013-0001-0013-ABCDEFABCDEF} (JInitiator 1.3.1.13) - http://145.253.241.28:7777/forms90/jinitiator/jinit.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe

--
End of file - 7562 bytes

Könnt ihr da mal bitte drüberschauen? Irgendwo steckt noch was drin.

Alt 13.01.2009, 11:46   #2
Chris4You
 
Falsche Google-Links - Standard

Falsche Google-Links



Hi,

bitte editiere Deine Links, wie es Dir u.a. hier angezeigt wird:
Aktive Links und persönliche Informationen in HJT Log-Files (http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958), sonst darf nicht geholfen werden!

Ist das ein geschäftlich genutzter PC? Ich nehme an, dass hier ist von Oracle:
O16 - DPF: {CAFECAFE-0013-0001-0013-ABCDEFABCDEF} (JInitiator 1.3.1.13) - http://145.253.241.28:7777/forms90/jinitiator/jinit.exe ...

chris
__________________

__________________

Alt 13.01.2009, 16:39   #3
capt
 
Falsche Google-Links - Standard

Falsche Google-Links



Es handelt sich hier wie bei http://www.trojaner-board.de/68472-t...nol-b-6-a.html um Daonol.B - ein polymorphes Rootkit unter Windows\System32\wdmaud.sys. "Getarnt" ist es als Audio-Device, und wird entsprechend auch unter HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 als aux* (erstes freies) registriert, und so automatisch gestartet. Zum entfernen reicht es, die Datei zu löschen bzw. den Registry-Eintrag zu entfernen. Auf keinen Fall system32\drivers\wdmaud.sys oder system32\wdmaud.drv löschen!
Wegen der Polymorphie haben die meisten AV-Programme noch Probleme damit, Avast, G-Data und Microsoft OneCare hatten das relativ früh im Griff, ich denke die anderen werden bald nachziehen.
Quelle der aktuellen Infektionswelle ist vermutlich ein PDF-Exploit von veralteten Acrobatversionen (7/8) über einen kompromittierten Webserver für Bannerwerbung, der eine .exe von einem russischen Server geladen hat.
__________________

Alt 13.01.2009, 17:15   #4
Chris4You
 
Falsche Google-Links - Standard

Falsche Google-Links



@capt:
Wie kommst Du zu diesem Schluss?
@Paule_123, lass mal den Freescanner Prevx laufen
http://www.prevx.com/freescan.asp
chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 13.01.2009, 17:37   #5
capt
 
Falsche Google-Links - Standard

Falsche Google-Links



Selbst Betroffener. Und da mir das sonst nicht passiert, wollte ich dem Ganzen mal auf den Grund gehen, das oben sind die Ergebnisse meiner Nachforschungen.
Das "grassiert" zur Zeit recht ordentlich, du musst nur mal in die Suchmaschinen-Foren zu dem Thema schaun. Wie gesagt, polymorph, bei mir schlagen unter Virustotal folgende an:
Avast Win32aonol
GData Win32aonol
Microsoft Trojan:Win32/Daonol.B
Prevx1 Malicious Software
Bei mir führt der Exploit in der CWSandbox folgendes aus: :: CWSandbox - Automated Malware Analysis ::
Wie man sieht, wird auch noch eine WINDOWS\system32\cliconf.chm angelegt. Wie gesagt, einfach mal nachschaun ob das passen könnte...


Antwort

Themen zu Falsche Google-Links
adobe, alle programme, antivir, antivir meldet, avg, avira, behebung, bho, diverse, excel, explorer, google, hijack, hkus\s-1-5-18, internet, internet explorer, keine funde, keine viren, magix, malwarebytes, microsoft, object, pdf, problem, programme, rundll, software, system, viren, windows, windows xp, yahoo



Ähnliche Themen: Falsche Google-Links


  1. Weiterleitung auf falsche links bei google
    Plagegeister aller Art und deren Bekämpfung - 17.08.2013 (3)
  2. Falsche Links in Google-Suche
    Log-Analyse und Auswertung - 14.11.2012 (13)
  3. Falsche Google Links
    Plagegeister aller Art und deren Bekämpfung - 20.10.2011 (5)
  4. Falsche Weiterleitung bei Google-Links
    Log-Analyse und Auswertung - 10.06.2011 (7)
  5. 40 Tan Postbank + falsche Links bei Google (u.a.)
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (25)
  6. Google öffnet falsche links
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (26)
  7. Google-Links - falsche Umleitungen
    Log-Analyse und Auswertung - 09.11.2009 (1)
  8. Google erzwingt falsche Links
    Log-Analyse und Auswertung - 22.03.2009 (27)
  9. Falsche google-Links
    Plagegeister aller Art und deren Bekämpfung - 15.02.2009 (19)
  10. Falsche Weiterleitung bei Google-Links
    Plagegeister aller Art und deren Bekämpfung - 10.02.2009 (15)
  11. Falsche Google Links
    Plagegeister aller Art und deren Bekämpfung - 04.01.2009 (12)
  12. Falsche google Links und CPU Auslastung 100%
    Plagegeister aller Art und deren Bekämpfung - 30.11.2008 (5)
  13. Falsche Links bei google
    Log-Analyse und Auswertung - 01.11.2008 (37)
  14. Google öffnet falsche Links
    Log-Analyse und Auswertung - 05.10.2008 (4)
  15. Falsche Links in Google
    Plagegeister aller Art und deren Bekämpfung - 24.09.2008 (1)
  16. Falsche Links mit Google
    Log-Analyse und Auswertung - 21.05.2007 (8)
  17. Falsche Links bei Google !!!!
    Plagegeister aller Art und deren Bekämpfung - 24.04.2007 (2)

Zum Thema Falsche Google-Links - Hallo zusammen, ich habe das bekannte Problem mit den verfälschten Links in Google und habe schon diverse Anleitungen zur Behebung gelesen und auch Verschiedenes versucht: AntiVir meldet keine Viren, SpyBot - Falsche Google-Links...
Archiv
Du betrachtest: Falsche Google-Links auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.