Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Falsche google-Links

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2009, 14:07   #1
salu
 
Falsche google-Links - Standard

Falsche google-Links



Hallo,
werde seit kurzem bei der google-Suche auf falsche Websites weitergeleitet. Meist handeln es sich um irgendwelche dubiosen Anbieter von Antivirus-Software.
Bitte dringend um Hilfe. Vielen Dank.

Alt 14.02.2009, 14:45   #2
Redwulf
 
Falsche google-Links - Standard

Falsche google-Links



das gleiche bei mir. schau dir mal meine erste Nachricht an
Trojan.DNSChanger die zweite....leider hat sich bei mir noch niemand gemeldet
__________________


Alt 14.02.2009, 15:01   #3
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



Hallo salu,

habe Dir den zweiten Punkt der Anleitung http://www.trojaner-board.de/69886-a...-beachten.html hier rein kopiert.

Code:
ATTFilter
a) Anleitung -> CCleaner


b) Anleitung -> Malwarebytes-Anti-Malware
(Wenn das Programm schon ausgeführt wurde, bitte den Report kopieren und uns zeigen, steht alles in der Anleitung!)

c) Anleitung -> Anleitung: HijackThis


d) Liste installierter Software ->

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

    * Starte nochmals "HijackThis"
    * Klick "open the Misc Tools section"
    * Klick "Open Uninstall Manager"
    * Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
    * Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis
         

http://www.trojaner-board.de/69886-a...-beachten.html

Bitte gehe diese Liste durch und poste Deine Ergebnisse.

Grüße
45cl3p1u5
__________________

Alt 14.02.2009, 16:19   #4
salu
 
Falsche google-Links - Standard

Falsche google-Links



Hallo,
ersteinmal vielen Dank für die schnelle Hilfe.
Der CCleaner hat unter "Eigene Dateien" Registrierungsdateien gespeichert. Was soll ich mit denen machen?
Anbei die gewünschten Reports:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

14.02.2009 17:07:09
mbam-log-2009-02-14 (17-07-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 162730
Laufzeit: 26 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 1
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\aquaplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{05ba214a-002f-4b56-846b-c54e5d382e69}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{05ba214a-002f-4b56-846b-c54e5d382e69}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5fd478e5-fc35-4cf8-b31d-b9db2d7811d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cc51348b-1f21-4393-af11-73d7784f24cd}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{05ba214a-002f-4b56-846b-c54e5d382e69}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{05ba214a-002f-4b56-846b-c54e5d382e69}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{5fd478e5-fc35-4cf8-b31d-b9db2d7811d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cc51348b-1f21-4393-af11-73d7784f24cd}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{05ba214a-002f-4b56-846b-c54e5d382e69}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{5fd478e5-fc35-4cf8-b31d-b9db2d7811d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{cc51348b-1f21-4393-af11-73d7784f24cd}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINXP\system32\gaopdxswekiqvu.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\autorun.inf (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\resycled\ntldr.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.
C:\WINXP\Temp\tempo-977.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-C65.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxeewxnspw.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxbdpulhll.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxethosyfw.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxhqpxxtkb.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxjgodopkl.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxkeoxxgxo.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxmlqtqlrg.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxmttdwjdv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxofnxraod.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxoyxdhaku.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxqrnwrsvp.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxqubesiww.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxwynecsxy.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxxevssrsn.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\drivers\gaopdxypenlisv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Soll ich die infizierten Dateien, die das Programm in Quarantäne verschoben hat, löschen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:21, on 14.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\WINXP\AGRSMMSG.exe
C:\WINXP\BisonCam\BisonHK.exe
C:\WINXP\BisonCam\BsMnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BisonHK] C:\WINXP\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BsMnt] C:\WINXP\BisonCam\BsMnt.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe

--
End of file - 6812 bytes


Grüße
salu

Alt 14.02.2009, 23:50   #5
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



Hallo salu,

lade nun bitte GMER runter (http://www.gmer.net/gmer.zip) und führe es aus. Lade die Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste hier den Link dazu. Führe anschließend nochmal Malwarebytes' Anti-Malware und HijackThis aus und poste die Logfiles.

Grüße
45cl3p1u5


Alt 15.02.2009, 10:51   #6
salu
 
Falsche google-Links - Standard

Falsche google-Links



Hallo 45cl3p1u5,
File-Upload.net - GMER.log

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

15.02.2009 11:49:01
mbam-log-2009-02-15 (11-49-01).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 162650
Laufzeit: 44 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:50, on 15.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wscntfy.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\AGRSMMSG.exe
C:\WINXP\BisonCam\BisonHK.exe
C:\WINXP\BisonCam\BsMnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BisonHK] C:\WINXP\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BsMnt] C:\WINXP\BisonCam\BsMnt.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe

--
End of file - 6848 bytes



Grüße
salu

Alt 15.02.2009, 11:22   #7
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



sieht nicht gut aus!
Melde mich gleich nochmal.

Grüße
45cl3p1u5

Alt 15.02.2009, 11:51   #8
john.doe
 
Falsche google-Links - Standard

Falsche google-Links



Hallo salu,

bei dem was du da drauf hattest, kann man guten Gewissens nur noch dazu raten:
http://www.trojaner-board.de/51262-a...sicherung.html

Der Grund ist dieser: http://www.trojaner-board.de/65029-t...tml#post394394

Du wirst dem Rechner nie wieder vertrauen können. Sollten wirklich schwerwiegenden Gründe dagegen sprechen, dann muss der Gurkenhobel ran.

Anleitung Avenger (by swandog46)

Lade dir das Tool Gurkenhobel und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINXP\system32\drivers\gaopdxeewxnspw.sys
C:\WINXP\system32\gaopdxswekiqvu.dll
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Alt 15.02.2009, 12:09   #9
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



- lade Dir bitte Avenger runter (http://swandog46.geekstogo.com/avenger2/download.php)
- starten und folgenden Code eingeben:
Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxeewxnspw.sys
C:\WINDOWS\system32\gaopdxswekiqvu.dll
         
- Schliesse nun alle Programme und Browser-Fenster
- klicke auf "Execute"
- klicke auf "Yes" -> der Rechner startet neu
- poste den Inhalt der Datei "C:\avenger.txt

edit: Toll, war zu langsam!

Alt 15.02.2009, 12:28   #10
salu
 
Falsche google-Links - Standard

Falsche google-Links



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "gaopdxserv.sys" deleted successfully.

Error: file "C:\WINXP\system32\drivers\gaopdxeewxnspw.sys" not found!
Deletion of file "C:\WINXP\system32\drivers\gaopdxeewxnspw.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINXP\system32\gaopdxswekiqvu.dll" not found!
Deletion of file "C:\WINXP\system32\gaopdxswekiqvu.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

Gruß,
salu

Alt 15.02.2009, 12:39   #11
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



- dann jetzt bitte nochmal GMER laufen lassen und logfile hochladen und verlinken, damit wir sicher sein können, dass auch alles weg ist.
- dann Malwarebytes' Anti-Malware nochmal laufen lassen und logfile posten.

Alt 15.02.2009, 12:56   #12
john.doe
 
Falsche google-Links - Standard

Falsche google-Links



@45cl3p1u5

Klick mal oben rechts auf Private Nachrichten.

ciao, andreas

Alt 15.02.2009, 13:17   #13
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



@john.doe:
Danke für den Hinweis. Habe ich schlicht und einfach übersehen!
Mich würde es freuen, wenn Du in Zukunft einen Hinweis mehr als Hinweis und etwas weniger als Beleidigung formulieren würdest. Viele Beiträge im Board bleiben unbeantwortet - und da wäre es doch doof, Mithelfer zu verschrecken, oder?

@salu:
john.doe hat mich darauf aufmerksam gemacht, dass Du einen Backdoor-Befall hast. Die einzig sichere Möglichkeit ist somit in Neuaufsetzen des gesamten System.

Grüße
45cl3p1u5

Alt 15.02.2009, 13:27   #14
john.doe
 
Falsche google-Links - Standard

Falsche google-Links



@45cl3p1u5
Zitat:
Mich würde es freuen, wenn Du in Zukunft einen Hinweis mehr als Hinweis und etwas weniger als Beleidigung formulieren würdest.
Ich habe das Original nicht mehr da. Würdest du es bitte hier posten. Wenn ich mich recht entsinne, habe ich zitiert und dir den Hinweis gegeben, die Forensuche nach dem Wort backdoor zu nutzen.

Was empfindest du daran als Beleidigung?

ciao, andreas

Alt 15.02.2009, 13:39   #15
45cl3p1u5
Gast
 
Falsche google-Links - Standard

Falsche google-Links



@john.doe:

auf rethorische Fragen stehe ich nicht so:
Zitat:
Weißt du eigentlich was du da gerade tust?
Kommt für mich ehrlich gesagt rüber wie "Bist Du doof?"

Antwort

Themen zu Falsche google-Links
anbieter, bieter, dringend, dubiose, falsche, handel, kurzem, websites



Ähnliche Themen: Falsche google-Links


  1. Weiterleitung auf falsche links bei google
    Plagegeister aller Art und deren Bekämpfung - 17.08.2013 (3)
  2. Falsche Links in Google-Suche
    Log-Analyse und Auswertung - 14.11.2012 (13)
  3. Falsche Google Links
    Plagegeister aller Art und deren Bekämpfung - 20.10.2011 (5)
  4. Falsche Weiterleitung bei Google-Links
    Log-Analyse und Auswertung - 10.06.2011 (7)
  5. 40 Tan Postbank + falsche Links bei Google (u.a.)
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (25)
  6. Google öffnet falsche links
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (26)
  7. Google-Links - falsche Umleitungen
    Log-Analyse und Auswertung - 09.11.2009 (1)
  8. Google erzwingt falsche Links
    Log-Analyse und Auswertung - 22.03.2009 (27)
  9. Falsche Weiterleitung bei Google-Links
    Plagegeister aller Art und deren Bekämpfung - 10.02.2009 (15)
  10. Falsche Google-Links
    Log-Analyse und Auswertung - 13.01.2009 (4)
  11. Falsche Google Links
    Plagegeister aller Art und deren Bekämpfung - 04.01.2009 (12)
  12. Falsche google Links und CPU Auslastung 100%
    Plagegeister aller Art und deren Bekämpfung - 30.11.2008 (5)
  13. Falsche Links bei google
    Log-Analyse und Auswertung - 01.11.2008 (37)
  14. Google öffnet falsche Links
    Log-Analyse und Auswertung - 05.10.2008 (4)
  15. Falsche Links in Google
    Plagegeister aller Art und deren Bekämpfung - 24.09.2008 (1)
  16. Falsche Links mit Google
    Log-Analyse und Auswertung - 21.05.2007 (8)
  17. Falsche Links bei Google !!!!
    Plagegeister aller Art und deren Bekämpfung - 24.04.2007 (2)

Zum Thema Falsche google-Links - Hallo, werde seit kurzem bei der google-Suche auf falsche Websites weitergeleitet. Meist handeln es sich um irgendwelche dubiosen Anbieter von Antivirus-Software. Bitte dringend um Hilfe. Vielen Dank. - Falsche google-Links...
Archiv
Du betrachtest: Falsche google-Links auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.