Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


Plagegeister aller Art und deren Bekämpfung: "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.05.2009, 21:11   #1
AbsurdMind
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


Hi,

hier das neue Log von Combofix:

ComboFix 09-05-08.03 - Lino 09.05.2009 22:02.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1459 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lino\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lino\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

FILE ::
c:\windows\DUMP541b.tmp
c:\windows\system32\autochk.dll
c:\windows\system32\lmn_setup.exe
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Avenger
c:\avenger\{79F16D22-FAC6-4656-9746-508FB71FAAC7}\chrome.manifest
c:\avenger\{79F16D22-FAC6-4656-9746-508FB71FAAC7}\chrome\content\overlay.xul
c:\avenger\{79F16D22-FAC6-4656-9746-508FB71FAAC7}\install.rdf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Configuration.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudXPAntivirus.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudXPAntivirus1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudXPAntivirus2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterRegistryTools.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterRegistryTools1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterTaskManager.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterTaskManager1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Overview.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE12.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE13.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondeatr.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn12.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn13.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn14.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn15.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn16.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn17.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn18.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn19.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn20.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn21.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk12.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk13.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk14.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk15.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk16.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk17.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinWinlagonsco.zip
C:\rsit
c:\windows\DUMP541b.tmp
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AUJASNKJ
-------\Service_aujasnkj


((((((((((((((((((((((( Dateien erstellt von 2009-04-09 bis 2009-05-09 ))))))))))))))))))))))))))))))
.

2009-05-09 17:13 . 2009-05-09 17:13 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-09 17:13 . 2009-05-09 17:13 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-07 18:29 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-07 18:27 . 2009-05-07 18:27 -------- d-----w c:\programme\CCleaner
2009-05-05 19:10 . 2009-05-05 19:10 -------- d-----w c:\windows\system32\PPLive
2009-05-05 19:07 . 2009-05-05 19:07 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\PPLive
2009-05-05 19:06 . 2009-05-05 20:34 -------- d-----w c:\programme\PPLive
2009-05-05 18:52 . 2009-05-05 18:52 -------- d-----w c:\programme\sina
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\ABBYY
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\ABBYY
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\windows\ShellNew
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\programme\AutoIt3
2009-04-27 14:54 . 2009-04-28 10:55 -------- d-----w C:\temp
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\programme\TVUPlayer
2009-04-15 09:21 . 2009-04-15 09:21 -------- d--h--w C:\VJVod_Cache
2009-04-15 09:21 . 2009-04-15 09:21 -------- d-----w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\programme\Veetle
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\windows\system32\nagasoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 13:54 . 2008-12-26 12:43 -------- d-----w c:\programme\Warcraft III
2009-04-06 09:43 . 2008-11-29 13:53 -------- d-----w c:\programme\Java
2009-03-29 13:44 . 2008-12-15 17:44 -------- d-----w c:\programme\Motorola Phone Tools
2009-03-29 13:44 . 2008-11-22 19:09 -------- d-----w c:\programme\DivX
2009-03-29 13:44 . 2008-12-15 17:45 -------- d-----w c:\programme\Avanquest update
2009-03-27 20:10 . 2008-11-22 19:19 -------- d-----w c:\programme\Last.fm
2009-03-25 19:40 . 2008-12-04 20:13 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 17:47 . 2009-03-16 17:47 -------- d-----w c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-03-16 13:18 . 2008-11-22 19:17 -------- d-----w c:\programme\ICQ6
2009-03-14 11:54 . 2008-11-22 18:35 -------- d-----w c:\programme\Winamp
2009-03-11 14:19 . 2008-11-22 12:04 71392 ----a-w c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-10 21:05 . 2009-03-10 21:05 -------- d-----w c:\programme\Avira
2009-03-10 20:55 . 2008-11-21 21:41 -------- d-----w c:\programme\MSBuild
2009-03-09 03:19 . 2008-11-29 13:53 410984 ----a-w c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\export ----

2009-05-07 19:41 . 2009-05-07 19:41 2967800 ----a-w c:\export\mbam-setup.exe

---- Directory of C:\temp ----



((((((((((((((((((((((((((((( SnapShot@2009-05-09_16.46.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-09 20:04 . 2009-05-09 20:04 16384 c:\windows\temp\Perflib_Perfdata_79c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\uusee\\UUSeePlayer.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [16.03.2009 19:34 215040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9} = 192.168.0.127
TCP: {324A1893-9A14-4197-8BD9-D92792FC00CF} = 192.168.0.127
TCP: {58684F28-5FF2-4ED7-8916-D84E15A7D17D} = 192.168.0.127
TCP: {78D8D86F-7454-4536-BBC2-3CE40066544D} = 192.168.0.127
TCP: {8D4913A3-3F18-4055-9FB6-99A66965E3FE} = 192.168.0.127
TCP: {B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} = 192.168.0.127
TCP: {C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E} = 192.168.0.127
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\
FF - plugin: c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-09 22:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:6e,f6,da,3e,01,a8,22,d9,0e,cd,7f,dd,05,5f,05,6a,44,e0,a6,5c,ac,46,ad,
68,29,46,20,84,ce,a5,73,21,84,ff,d2,ca,6e,3c,a0,7a,c9,41,4f,f8,c9,c2,7e,70,\
"??"=hex:8a,b9,f5,99,9a,fc,16,bb,de,6f,3c,05,0b,06,61,17
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2604)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-09 22:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-09 20:08
ComboFix2.txt 2009-05-09 16:47

Vor Suchlauf: 17 Verzeichnis(se), 38.108.610.560 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 38.028.308.480 Bytes frei

257 --- E O F --- 2008-11-25 01:26

Alt 09.05.2009, 21:45   #2
john.doe
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


Da haben wir ihn: ThreatExpert Report: Troj/Dropr-K, Worm:Win32/Nuj.A, Virus.Win32.OnLineGames.BFT..

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
vvdsvc

NetSvc::
vvdsvc

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vvdsvc]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\GifShower.DLL]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{B6188993-A07B-40E9-ADF8-CB3E53305870}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05C43810-244F-4630-A9A2-F4CB5D2FB6D1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1932C124-77DA-4151-99AA-234FEA09F463}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2BAD2D8E-2B5C-4E1C-BDFE-D4D561D986E2}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{765035B3-5944-4A94-806B-20EE3415F26F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{941A4793-A705-4312-8DFC-C11CA05F397E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4003189-95B1-4A2F-9A87-F2B03665960D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9845282-F694-4BBC-89B1-708619FE53D9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E21BE468-5C18-43EB-B0CC-DB93A847D769}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{05C43810-244F-4630-A9A2-F4CB5D2FB6D1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{071825D4-FA84-45A6-A82F-B492DD197E3B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\{e436eb83-524f-11ce-9f53-0020af0ba770}\{57428EC6-C2B2-44A2-AA9C-28F0B6A5C48E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1D416E10-79D7-4F06-9ED8-C4DF23AA6DF6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{85087867-B23C-4425-864A-88AE60CD924D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GifShower.GifShow]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VJ.VodClient]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\vjvod]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SPVOD Player1.8]

Folder::
C:\temp
C:\export
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
C:\VJVod_Cache
c:\windows\system32\nagasoft
c:\programme\Misc. Support Library (Spybot - Search & Destroy)

File::
c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\deploytk.dll
c:\windows\system32\pncrt.dll
c:\windows\system32\spvod_player.dat
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten ohne zu editieren (es sei denn, dein voller Name ist ersichtlich)


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas
__________________

__________________
Alt 09.05.2009, 21:57   #3
AbsurdMind
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


So, hier der nächste Logfile:

ComboFix 09-05-08.03 - Lino 09.05.2009 22:49.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1639 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lino\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lino\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

FILE ::
c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
C:\export
c:\export\mbam-setup.exe
c:\programme\Misc. Support Library (Spybot - Search & Destroy)
c:\programme\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll
C:\temp
C:\VJVod_Cache
c:\windows\system32\deploytk.dll
c:\windows\system32\nagasoft
c:\windows\system32\nagasoft\Codecs\asyncflt.ax
c:\windows\system32\nagasoft\Codecs\atrc.dll
c:\windows\system32\nagasoft\Codecs\cook.dll
c:\windows\system32\nagasoft\Codecs\drvc.dll
c:\windows\system32\nagasoft\Codecs\raac.dll
c:\windows\system32\nagasoft\Codecs\RealMediaSplitter.ax
c:\windows\system32\nagasoft\Codecs\WMFDemux.dll
c:\windows\system32\nagasoft\GifShower.dll
c:\windows\system32\nagasoft\vjocx.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VVDSVC


((((((((((((((((((((((( Dateien erstellt von 2009-04-09 bis 2009-05-09 ))))))))))))))))))))))))))))))
.

2009-05-09 17:13 . 2009-05-09 17:13 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-09 17:13 . 2009-05-09 19:56 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-07 18:29 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-07 18:27 . 2009-05-07 18:27 -------- d-----w c:\programme\CCleaner
2009-05-05 19:10 . 2009-05-05 19:10 -------- d-----w c:\windows\system32\PPLive
2009-05-05 19:07 . 2009-05-05 19:07 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\PPLive
2009-05-05 19:06 . 2009-05-05 20:34 -------- d-----w c:\programme\PPLive
2009-05-05 18:52 . 2009-05-05 18:52 -------- d-----w c:\programme\sina
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\ABBYY
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\ABBYY
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\windows\ShellNew
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\programme\AutoIt3
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\programme\TVUPlayer
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\programme\Veetle

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 13:54 . 2008-12-26 12:43 -------- d-----w c:\programme\Warcraft III
2009-04-06 09:43 . 2008-11-29 13:53 -------- d-----w c:\programme\Java
2009-03-29 13:44 . 2008-12-15 17:44 -------- d-----w c:\programme\Motorola Phone Tools
2009-03-29 13:44 . 2008-11-22 19:09 -------- d-----w c:\programme\DivX
2009-03-29 13:44 . 2008-12-15 17:45 -------- d-----w c:\programme\Avanquest update
2009-03-27 20:10 . 2008-11-22 19:19 -------- d-----w c:\programme\Last.fm
2009-03-25 19:40 . 2008-12-04 20:13 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 13:18 . 2008-11-22 19:17 -------- d-----w c:\programme\ICQ6
2009-03-14 11:54 . 2008-11-22 18:35 -------- d-----w c:\programme\Winamp
2009-03-10 21:05 . 2009-03-10 21:05 -------- d-----w c:\programme\Avira
2009-03-10 20:55 . 2008-11-21 21:41 -------- d-----w c:\programme\MSBuild
.

((((((((((((((((((((((((((((( SnapShot@2009-05-09_16.46.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-09 20:50 . 2009-05-09 20:50 16384 c:\windows\temp\Perflib_Perfdata_7cc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\uusee\\UUSeePlayer.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [16.03.2009 19:34 215040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9} = 192.168.0.127
TCP: {324A1893-9A14-4197-8BD9-D92792FC00CF} = 192.168.0.127
TCP: {58684F28-5FF2-4ED7-8916-D84E15A7D17D} = 192.168.0.127
TCP: {78D8D86F-7454-4536-BBC2-3CE40066544D} = 192.168.0.127
TCP: {8D4913A3-3F18-4055-9FB6-99A66965E3FE} = 192.168.0.127
TCP: {B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} = 192.168.0.127
TCP: {C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E} = 192.168.0.127
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\
FF - plugin: c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-09 22:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:6e,f6,da,3e,01,a8,22,d9,0e,cd,7f,dd,05,5f,05,6a,44,e0,a6,5c,ac,46,ad,
68,29,46,20,84,ce,a5,73,21,84,ff,d2,ca,6e,3c,a0,7a,c9,41,4f,f8,c9,c2,7e,70,\
"??"=hex:8a,b9,f5,99,9a,fc,16,bb,de,6f,3c,05,0b,06,61,17
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2856)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-09 22:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-09 20:54
ComboFix2.txt 2009-05-09 20:08
ComboFix3.txt 2009-05-09 16:47

Vor Suchlauf: 15 Verzeichnis(se), 38.031.450.112 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 38.012.223.488 Bytes frei

176 --- E O F --- 2008-11-25 01:26

Gruß,

AbsurdMind
__________________
Alt 09.05.2009, 23:09   #4
john.doe
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


Gibt es eine Besserung?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 09.05.2009, 23:34   #5
AbsurdMind
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


hi,

Ja hab im Moment keinerlei Anzeichen von dem Wurm. Sieht also schonmal sehr gut aus

Ich warte dann nochmal bis morgen und gib dann Rückmeldung.

Ich danke auf jeden Fall vielmals für die super Hilfe hier, hätte mir niemals erhofft, dass sich jemand solche Mühe gibt, einem Fremden zu helfen

also: VIELEN DANK

Top Board hier, muss ich echt sagen. Respekt.

Grüße,

AbsurdMind


Alt 10.05.2009, 10:08   #6
AbsurdMind
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


hi,

Ich bins wieder.
Seit grade sind wieder erste Probleme aufgetaucht. Und zwar kam ich auf eine seltsame Seite die mir eine Datei zum Download anbot "http://zeis.org.ua/eu/DE/k2/".
Auf diese wurde ich durch eine Addresse namens "velinta.net" umgeleitet.
Ich lass jetzt mal diverse Scanprogramme laufen und versuch diese zu entfernen. AntiVir hat außerdem Alarm im Ordner Qoobox/Quarantine geschlagen. Ist das die Quarantäne von ComboFix? Und wenn ja, wie kann ich die löschen?

Gruß, AbsurdMind

Alt 10.05.2009, 10:15   #7
john.doe
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


Zitat:
Ist das die Quarantäne von ComboFix? Und wenn ja, wie kann ich die löschen?
Start => Ausführen => combofix /u => OK

1.) Lade dir den Regseeker

  • Klick auf Clean the registry
  • Klick auf OK
  • Warte bis er fertig gesucht hat
  • Klick auf Select => markiere nur die Grünen
  • Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.

2.) Lade dir den Microsoft RegClean - Download - CHIP Online, starte ihn und klicke auf Fix Errors und zwar solange, bis Fix Errors grau bleibt.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 10.05.2009, 11:57   #8
AbsurdMind
 
"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Standard

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


Hi,

Während der Kapersky noch gescannt hat, kam eine nächste Meldung von AntiVir:
"In der Datei 'C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ChkDisk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.IL.2' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben"

Hier das Log von Kapersky (es wurde anscheinend nichts verdächtiges gefunden):
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 10. Mai 2009 12:55:21
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 10/05/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1950792
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 60275
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:44:33

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\temp\etilqs_xjOLyi0RPBbsgjgj3Axj Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_104.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Gruß,

AbsurdMind

Antwort

Themen zu "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe
.com, .dll, abgesicherten modus, antivir, brauche hilfe, computer, dateien, diverse, firefox, flash player, format, google, hijack, hijackthis, infizierte, installation, logfile, logfiles, malwarebytes, problem, programm, seiten, trojan.agent, vlc media player, windows, windows xp, worm.autorun, wurm


« Fehler Meldung: Windows kein Datenträger "exeption processing..." | Google_Virus-Falsche Suchergebnisse »


Ähnliche Themen: "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows 8.1: Avira findet "TR/Swrort.A.10259" in "C:\Program Files (x86)\Google\Chrome\Application\old_chrome.exe"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (3)
  3. Windows7: Datei "dwm.exe" im Ordner "iswizard05" lässt sich nicht löschen
    Log-Analyse und Auswertung - 20.02.2014 (19)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Windows XP Nach Installation von HP Player immer zwei Startseiten beim Öffnen von Google chrome "start.iminent.com" und "Search gol"
    Log-Analyse und Auswertung - 08.10.2013 (5)
  6. "Redirect-Virus" unter Windows 8 / "document has moved redirecting..."
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (11)
  7. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  8. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  12. Virus oder Wurm " Perflib_Perfdata_1cc " & " Perflib_Perfdata_228 "
    Log-Analyse und Auswertung - 23.08.2010 (23)
  13. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  14. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  15. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe - Hi, hier das neue Log von Combofix: ComboFix 09-05-08.03 - Lino 09.05.2009 22:02.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1459 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Lino\Desktop\ComboFix.exe Benutzte Befehlsschalter :: - "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe...
Archiv
Du betrachtest: "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131