Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner - Google leitet um

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.07.2009, 13:07   #1
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Hallo zusammen,

habe mir einen Trojaner gefangen, der seither alle links auf google umleitet. Freitag hat Antivir zwei Meldungen gebracht (DR/Agent.emb und TR/VB.phe). Diese liesen sich entfernen und werden seither auch nicht mehr gefunden. Das Problem allerdings bleibt. Ad-Aware findet einen win32.trojan.tdss. Dieser lässt sich auch im abgesicherten Modus nicht entfernen.

Hier mal das HJT-log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:52, on 13.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Synaptics\SynTP\SynTPStart.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\BisonCam\BisonHK.exe
C:\Programme\Hotkey\HotKeyDriver.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Dokumente und Einstellungen\****\****.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BisonHK] C:\WINDOWS\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [Hotkey Software] "C:\Programme\Hotkey\HotKeyDriver.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [****] C:\Dokumente und Einstellungen\****\****.exe
O4 - HKCU\..\Run: [\\Future_buero\EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOKUME~1\HARALD~1.MAA\LOKALE~1\Temp\E_SF.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246712763653
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5924 bytes
         
Und das logfile von Ad-Aware:
Code:
ATTFilter
Logfile created: 13.07.2009 12:40:21
Lavasoft Ad-Aware version: 8.0.7
Extended engine version: 8.1
User performing scan: Harald.Maas

*********************** Definitions database information ***********************
Lavasoft definition file: 149.3
Extended engine definition file: 8.1

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan  (ID: smart)
Objects scanned: 2250
Objects detected: 1


Type              Detected
==========================
Processes.......:        1
Registry entries:        0
Hostfile entries:        0
Files...........:        0
Folders.........:        0
LSPs............:        0
Cookies.........:        0
Browser hijacks.:        0
MRU objects.....:        0



Quarantined items:
Description: \\?\globalroot\systemroot\system32\uacxvhakpkxfncnsutwp.dll Family Name: Win32.Trojan.Tdss Clean status: Reboot required Item ID: 942777 Family ID: 5401

Scan and cleaning complete: Stopped by request after 3 seconds

*********************************** Settings ***********************************

Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
  ID: scancriticalareas, enabled:1, value: true
  ID: scanrunningapps, enabled:1, value: true
  ID: scanregistry, enabled:1, value: true
  ID: scanlsp, enabled:1, value: true
  ID: scanads, enabled:1, value: false
  ID: scanhostsfile, enabled:1, value: false
  ID: scanmru, enabled:1, value: false
  ID: scanbrowserhijacks, enabled:1, value: true
  ID: scantrackingcookies, enabled:1, value: true
    ID: closebrowsers, enabled:1, value: false
  ID: folderstoscan, enabled:1, value: 
  ID: usespywareheuristics, enabled:1, value: true
  ID: extendedengine, enabled:0, value: true
    ID: useheuristics, enabled:0, value: true
      ID: heuristicslevel, enabled:0, value: mild, domain: medium,mild,strict
  ID: filescanningoptions, enabled:1
    ID: scanrootkits, enabled:1, value: true
    ID: archives, enabled:1, value: false
    ID: onlyexecutables, enabled:1, value: true
    ID: skiplargerthan, enabled:1, value: 20480

Scan global:
ID: global, enabled:1
  ID: addtocontextmenu, enabled:1, value: true
  ID: playsoundoninfection, enabled:1, value: false
    ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
  ID: launchthreatworksafterscan, enabled:1, value: normal, domain: normal,off,silently
  ID: softwareupdates, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: schedules, enabled:1, value: true
    ID: updatedaily, enabled:1, value: Daily
      ID: time, enabled:1, value: Mon Jul 13 12:11:00 2009
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updateweekly, enabled:1, value: Weekly
      ID: time, enabled:1, value: Mon Jul 13 12:11:00 2009
      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: true
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
  ID: showtrayicon, enabled:1, value: true
  ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
  ID: processprotection, enabled:1, value: true
  ID: registryprotection, enabled:0, value: true
  ID: networkprotection, enabled:0, value: true
  ID: usespywareheuristics, enabled:0, value: true
  ID: extendedengine, enabled:0, value: true
    ID: useheuristics, enabled:0, value: true
      ID: heuristicslevel, enabled:0, value: strict, domain: medium,mild,strict
  ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant


****************************** System information ******************************
Computer name: FUTURE_NOTEBOOK
Processor name: Pentium(R) Dual-Core CPU       T4200  @ 2.00GHz
Processor identifier: x86 Family 6 Model 23 Stepping 10
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 5898, number of processors 2
Physical memory available: 2408308736 bytes
Physical memory total: 3083964416 bytes
Virtual memory available: 2027069440 bytes
Virtual memory total: 2147352576 bytes
Memory load: 21%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 792 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 848 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 872 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 920 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 932 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1120 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1196 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1240 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1356 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1396 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1640 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1736 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1808 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1868 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 576 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 612 name: C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 820 name: C:\WINDOWS\system32\IoctlSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1292 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1440 name: C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1548 name: C:\WINDOWS\system32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 392 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 608 name: C:\Programme\Synaptics\SynTP\SynTPStart.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1792 name: C:\WINDOWS\RTHDCPL.EXE owner: **** domain: FUTURE_NOTEBOOK
PID: 696 name: C:\WINDOWS\BisonCam\BisonHK.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 704 name: C:\Programme\Hotkey\HotKeyDriver.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 712 name: C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 988 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 1316 name: C:\WINDOWS\system32\ctfmon.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1344 name: C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 1436 name: C:\Dokumente und Einstellungen\****\****.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1956 name: C:\WINDOWS\system32\sistray.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 2228 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2300 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2316 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2368 name: C:\Programme\Synaptics\SynTP\SynTPEnh.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 2752 name: C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2860 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 3204 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 3400 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3632 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1152 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 412 name: C:\WINDOWS\system32\SearchProtocolHost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 184 name: C:\WINDOWS\system32\SearchFilterHost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 480 name: C:\WINDOWS\explorer.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 452 name: C:\WINDOWS\system32\imapi.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2260 name: C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: **** domain: FUTURE_NOTEBOOK

Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
          imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
          imagepath: Component Categories cache daemon
Name: PostBootReminder
          imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
          imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
          imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: WPDShServiceObj
          imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
Name: CTFMON.EXE
          imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name: SiSPower
          imagepath: Rundll32.exe SiSPower.dll,ModeAgent
Name: SynTPStart
          imagepath: C:\Programme\Synaptics\SynTP\SynTPStart.exe
Name: RTHDCPL
          imagepath: RTHDCPL.EXE
Name: Alcmtr
          imagepath: ALCMTR.EXE
Name: BisonHK
          imagepath: C:\WINDOWS\BisonCam\BisonHK.exe
Name: Hotkey Software
          imagepath: "C:\Programme\Hotkey\HotKeyDriver.exe"
Name: Adobe Reader Speed Launcher
          imagepath: "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Name: NeroFilterCheck
          imagepath: C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
Name: NBKeyScan
          imagepath: "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
Name: UVS11 Preload
          imagepath: C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\uvPL.exe
Name: QuickTime Task
          imagepath: "C:\Programme\QuickTime\qttask.exe" -atboottime
Name: avgnt
          imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Name: 
          imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name: 
          location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Utility Tray.lnk
          imagepath: C:\WINDOWS\system32\sistray.exe
Name: 
          imagepath: C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini

Bootexecute items:
Name: 
          imagepath: autocheck autochk *
Name: 
          imagepath: lsdelete

Running services:
Name: ALG
          displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
          displayname: Avira AntiVir Planer
Name: AntiVirService
          displayname: Avira AntiVir Guard
Name: AudioSrv
          displayname: Windows Audio
Name: Browser
          displayname: Computerbrowser
Name: CryptSvc
          displayname: Kryptografiedienste
Name: DcomLaunch
          displayname: DCOM-Server-Prozessstart
Name: Dhcp
          displayname: DHCP-Client
Name: dmserver
          displayname: Verwaltung logischer Datenträger
Name: Dnscache
          displayname: DNS-Client
Name: ERSvc
          displayname: Fehlerberichterstattungsdienst
Name: Eventlog
          displayname: Ereignisprotokoll
Name: EventSystem
          displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
          displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: helpsvc
          displayname: Hilfe und Support
Name: HTTPFilter
          displayname: HTTP-SSL
Name: LanmanServer
          displayname: Server
Name: lanmanworkstation
          displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
          displayname: Lavasoft Ad-Aware Service
Name: LmHosts
          displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Nero BackItUp Scheduler 3
          displayname: Nero BackItUp Scheduler 3
Name: Netman
          displayname: Netzwerkverbindungen
Name: Nla
          displayname: NLA (Network Location Awareness)
Name: NMIndexingService
          displayname: NMIndexingService
Name: PLFlash DeviceIoControl Service
          displayname: PLFlash DeviceIoControl Service
Name: PlugPlay
          displayname: Plug & Play
Name: PolicyAgent
          displayname: IPSEC-Dienste
Name: ProtectedStorage
          displayname: Geschützter Speicher
Name: RasMan
          displayname: RAS-Verbindungsverwaltung
Name: RemoteRegistry
          displayname: Remote-Registrierung
Name: RpcSs
          displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
          displayname: Sicherheitskontenverwaltung
Name: Schedule
          displayname: Taskplaner
Name: seclogon
          displayname: Sekundäre Anmeldung
Name: SENS
          displayname: Systemereignisbenachrichtigung
Name: SharedAccess
          displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
          displayname: Shellhardwareerkennung
Name: Spooler
          displayname: Druckwarteschlange
Name: srservice
          displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
          displayname: SSDP-Suchdienst
Name: stisvc
          displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
          displayname: Telefonie
Name: TermService
          displayname: Terminaldienste
Name: Themes
          displayname: Designs
Name: TrkWks
          displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UleadBurningHelper
          displayname: Ulead Burning Helper
Name: W32Time
          displayname: Windows-Zeitgeber
Name: winmgmt
          displayname: Windows-Verwaltungsinstrumentation
Name: WSearch
          displayname: Windows Search
Name: wuauserv
          displayname: Automatische Updates
Name: WZCSVC
          displayname: Konfigurationsfreie drahtlose Verbindung
         
Vielleicht kann mir ja jemand helfen... Würd mich freuen.

Viele Grüße und vielen Dank
Harald

Alt 13.07.2009, 20:16   #2
kira
/// Helfer-Team
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Hallo Harri_m

Ich befürchte, dass sich bei Dir ein Rootkit/wikipedia.org eingenistet hat

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen::
- Klicke unter Start auf Arbeitsplatz.
- Klicke im Menü Extras auf Ordneroptionen.
- Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
- Geschützte und Systemdateien ausblenden --> Haken entfernen
- Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.
- Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
- lade Dir das filelist.zip auf deinen Desktop herunter
- entpacke die Zip-Datei auf deinen Desktop
- starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
- kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

am besten nutze den Code-Tags für deinen Post:
vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]


** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Alt 14.07.2009, 12:12   #3
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Hallo Cowerflow,

vielen vielen Dank schonmal für Deine Hilfe :-)

Hier die logs in der Reihenfolge Deiner Anweisungen.

filelist:

Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\

14.07.2009  10:44                43 filelist.txt
14.07.2009  10:38     3.084.038.144 hiberfil.sys
14.07.2009  10:38     2.145.386.496 pagefile.sys
14.07.2009  10:38             2.606 aaw7boot.log
04.07.2009  15:00               211 boot.ini
15.06.2009  17:07               518 RHDSetup.log
15.06.2009  16:36                 0 AUTOEXEC.BAT
15.06.2009  16:36                 0 IO.SYS
15.06.2009  16:36                 0 MSDOS.SYS
15.06.2009  16:36                 0 CONFIG.SYS

              13 Datei(en)  5.229.732.246 Bytes
               0 Verzeichnis(se), 302.150.639.616 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\WINDOWS

14.07.2009  10:41           604.505 WindowsUpdate.log
14.07.2009  10:39               159 wiadebug.log
14.07.2009  10:39                 0 0.log
14.07.2009  10:39                50 wiaservc.log
14.07.2009  10:38             2.048 bootstat.dat
13.07.2009  13:11             6.758 SchedLgU.Txt
13.07.2009  12:36           381.666 ntbtlog.txt
13.07.2009  12:11           396.689 setupapi.log
09.07.2009  14:01           219.863 setupact.log
08.07.2009  11:53               345 nsw.log
07.07.2009  12:45                 0 nsreg.dat
04.07.2009  16:08           314.804 msxml4-KB954430-enu.LOG
04.07.2009  16:07           179.106 tsoc.log
04.07.2009  16:07           136.421 comsetup.log
04.07.2009  16:07            21.063 ocmsn.log
04.07.2009  16:07           441.655 iis6.log
04.07.2009  16:07            19.643 tabletoc.log
04.07.2009  16:07            80.941 ntdtcsetup.log
04.07.2009  16:07             1.355 imsins.log
04.07.2009  16:07             4.759 KB954156.log
04.07.2009  16:07            66.687 netfxocm.log
04.07.2009  16:07            26.573 MedCtrOC.log
04.07.2009  16:07           189.176 ocgen.log
04.07.2009  16:07            19.102 msgsocm.log
04.07.2009  16:07           376.383 FaxSetup.log
04.07.2009  16:07           121.052 msmqinst.log
04.07.2009  16:04            56.954 wmsetup.log
04.07.2009  16:00            76.578 DirectX.log
04.07.2009  15:58            13.577 spupdsvc.log
04.07.2009  15:49             1.355 imsins.BAK
04.07.2009  15:49             6.072 KB959772.log
04.07.2009  15:49            23.551 KB952069.log
04.07.2009  15:49             5.629 KB954154.log
04.07.2009  15:49             6.207 KB929399.log
04.07.2009  15:49            14.708 KB936782.log
04.07.2009  15:49             5.935 KB939683.log
04.07.2009  15:49            17.221 KB941569.log
04.07.2009  15:43             4.938 MSCompPackV1.log
04.07.2009  15:43            15.907 wmp11.log
04.07.2009  15:43             2.342 wmsetup10.log
04.07.2009  15:43               837 win.ini
04.07.2009  15:42            26.034 WMFDist11.log
04.07.2009  15:42             7.060 Wudf01000Inst.log
04.07.2009  15:39             5.120 KB961118.log
04.07.2009  15:39             7.462 KB956803.log
04.07.2009  15:37             4.395 WgaNotify.log
04.07.2009  15:24            41.634 updspapi.log
04.07.2009  15:19            22.927 KB969897-IE8.log
04.07.2009  15:19            15.082 KB963093.log
04.07.2009  15:19            22.969 KB970238.log
04.07.2009  15:19            22.290 KB968537.log
04.07.2009  15:19            21.929 KB961501.log
04.07.2009  15:19            14.480 KB969898.log
04.07.2009  15:19            21.422 KB961373.log
04.07.2009  15:19            15.583 KB923561.log
04.07.2009  15:18            20.681 KB967715.log
04.07.2009  15:18            10.666 KB923723.log
04.07.2009  15:18            20.136 KB952954.log
04.07.2009  15:18            13.113 KB946648.log
04.07.2009  15:18            20.506 KB951748.log
04.07.2009  15:10             9.100 KB898461.log
04.07.2009  15:10             6.747 KB892130.log
04.07.2009  15:01             1.174 OEWABLog.txt
04.07.2009  15:00           855.820 setuplog.txt
04.07.2009  14:59             2.741 sessmgr.setup.log
04.07.2009  14:59               646 DtcInstall.log
04.07.2009  14:59             4.064 regopt.log
04.07.2009  14:58               231 system.ini
22.06.2009  07:21                61 smscfg.ini
22.06.2009  07:21                10 setuperr.log
22.06.2009  07:20             8.192 REGLOCS.OLD
15.06.2009  17:32                 0 Sti_Trace.log
15.06.2009  17:17            30.958 ie8_main.log
15.06.2009  17:17            58.302 ie8.log
15.06.2009  17:10                 8 SERI
15.06.2009  17:07           315.392 HideWin.exe
15.06.2009  17:06             1.450 COM+.log
15.06.2009  17:05               243 xUninstall.bat
15.06.2009  17:04               522 SynInst.log
15.06.2009  17:04               188 sisagp.log
15.06.2009  17:04            39.430 KB940157.log
15.06.2009  17:03            18.756 KB915800-v4.log
15.06.2009  17:03             4.702 wortmannupdatelog.txt
15.06.2009  17:03            21.514 KB952004.log
15.06.2009  17:03            20.714 KB956572.log
15.06.2009  17:02            14.479 KB959426.log
15.06.2009  17:02            13.404 KB960803.log
15.06.2009  17:02            13.895 KB963027.log
15.06.2009  17:02            10.646 KB958690.log
15.06.2009  17:01            10.441 KB960225.log
15.06.2009  17:01            11.385 KB951978.log
15.06.2009  17:01            10.123 KB958644.log
15.06.2009  17:01             9.771 KB957097.log
15.06.2009  17:00             9.289 KB954459.log
15.06.2009  17:00             9.317 KB955069.log
15.06.2009  17:00             9.537 KB956802.log
15.06.2009  17:00            19.412 KB955839.log
15.06.2009  17:00             8.804 KB954600.log
15.06.2009  17:00             9.209 KB958687.log
15.06.2009  16:59             8.662 KB960715.log
15.06.2009  16:59             6.997 KB938464.log
15.06.2009  16:59             8.719 KB956391.log
15.06.2009  16:59             8.936 KB952287.log
15.06.2009  16:59             8.894 KB951066.log
15.06.2009  16:59             9.201 KB950974.log
15.06.2009  16:59             8.310 KB953356.log
15.06.2009  16:58             8.493 KB951376-v2.log
15.06.2009  16:58             8.362 KB951698.log
15.06.2009  16:58             1.252 KB949269.log
15.06.2009  16:58             9.087 KB950762.log
15.06.2009  16:47           316.640 WMSysPr9.prx
15.06.2009  16:47           210.415 orun32.isu
15.06.2009  16:47               849 orun32.ini
15.06.2009  16:36                 0 control.ini
15.06.2009  16:36             4.161 ODBCINST.INI
15.06.2009  16:35               749 WindowsShell.Manifest
15.06.2009  16:34                36 vb.ini
15.06.2009  16:34                37 vbaddin.ini
15.06.2009  16:33               200 cmsetacl.log

             180 Datei(en)     50.516.676 Bytes
               0 Verzeichnis(se), 302.150.606.848 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\WINDOWS\system


              30 Datei(en)      1.501.767 Bytes
               0 Verzeichnis(se), 302.150.610.944 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\WINDOWS\system32

14.07.2009  10:39             1.158 wpa.dbl
07.07.2009  12:17           290.088 FNTCACHE.DAT
04.07.2009  15:55               188 MsiExec.exe.log
04.07.2009  15:52           441.458 perfh009.dat
04.07.2009  15:52           484.220 perfh007.dat
04.07.2009  15:52            71.394 perfc009.dat
04.07.2009  15:52            94.528 perfc007.dat
04.07.2009  15:52         1.105.658 PerfStringBackup.INI
04.07.2009  15:43            23.392 nscompat.tlb
04.07.2009  15:43            16.832 amcompat.tlb
04.07.2009  15:00               336 $winnt$.inf
04.07.2009  14:59             4.444 pid.PNF
03.07.2009  16:49            15.688 lsdelete.exe
22.06.2009  07:21               333 $ncsp$.inf
15.06.2009  17:33                 0 h323log.txt
15.06.2009  17:10           146.650 BuzzingBee.wav
15.06.2009  17:10           940.794 LoopyMusic.wav
15.06.2009  17:05           128.743 VGAunistlog.ini
15.06.2009  17:00           211.660 TZLog.log
15.06.2009  16:36             2.951 CONFIG.NT
15.06.2009  16:35               488 logonui.exe.manifest
15.06.2009  16:35               488 WindowsLogon.manifest
15.06.2009  16:35               749 ncpa.cpl.manifest
15.06.2009  16:35               749 wuaucpl.cpl.manifest
15.06.2009  16:35               749 cdplayer.exe.manifest
15.06.2009  16:35               749 nwc.cpl.manifest
15.06.2009  16:35               749 sapi.cpl.manifest
15.06.2009  16:34            21.740 emptyregdb.dat
01.06.2009  09:51        23.635.392 MRT.exe
25.05.2009  00:24           350.208 mssph.dll
13.05.2009  07:02           915.456 wininet.dll
13.05.2009  07:02         5.936.128 mshtml.dll
12.05.2009  15:12            26.144 spupdsvc.exe
07.05.2009  17:32           348.160 localspl.dll
30.04.2009  23:13         1.985.024 iertutil.dll
30.04.2009  23:13        11.064.832 ieframe.dll
30.04.2009  23:12            25.600 jsproxy.dll
30.04.2009  23:12         1.207.808 urlmon.dll
30.04.2009  23:12         1.469.440 inetcpl.cpl
30.04.2009  23:12           385.536 iedkcs32.dll
30.04.2009  13:21           173.056 ie4uinit.exe
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
21.03.2009  16:06         1.063.424 kernel32.dll
10.03.2009  22:18         1.482.112 LegitCheckControl.dll
10.03.2009  22:18           970.632 WgaTray.exe
10.03.2009  22:18           265.096 WgaLogon.dll
08.03.2009  14:29         1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28             2.560 mshta.exe.mui
08.03.2009  14:27             4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35           385.024 html.iec
08.03.2009  04:34           208.384 WinFXDocObj.exe
08.03.2009  04:34           236.544 webcheck.dll
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34           105.984 url.dll
08.03.2009  04:34           193.536 msrating.dll
08.03.2009  04:34           109.568 occache.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33           726.528 jscript.dll
08.03.2009  04:33           229.376 ieaksie.dll
08.03.2009  04:33           420.352 vbscript.dll
08.03.2009  04:33           125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32           163.840 ieakui.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32           128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32           594.432 msfeeds.dll
08.03.2009  04:32           611.840 mstime.dll
08.03.2009  04:31           183.808 iepeers.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            55.296 msfeedsbs.dll
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31           348.160 dxtmsft.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31           216.064 dxtrans.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31         1.638.912 mshtml.tlb
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22           164.352 ieui.dll
08.03.2009  04:22           156.160 msls31.dll
08.03.2009  04:15            57.667 ieuinit.inf
08.03.2009  04:11           445.952 ieapfltr.dll
06.03.2009  16:19           286.720 pdh.dll
03.03.2009  01:10         1.499.136 shdocvw.dll
12.02.2009  22:20             6.873 IE8Eula.rtf
09.02.2009  13:21         2.026.496 ntkrnlpa.exe
09.02.2009  13:21         2.147.840 ntoskrnl.exe
09.02.2009  13:21           111.104 services.exe
09.02.2009  12:51           401.408 rpcss.dll
09.02.2009  12:51           736.768 lsasrv.dll
09.02.2009  12:51           678.400 advapi32.dll
09.02.2009  12:51           740.352 ntdll.dll
06.02.2009  21:07         3.698.584 ieapfltr.dat
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:57            56.832 secur32.dll
07.01.2009  18:21           121.856 xmllite.dll
07.01.2009  18:20            24.576 nlsdl.dll
07.01.2009  18:20            66.384 normnfkc.nls
07.01.2009  18:20            39.284 normnfd.nls
07.01.2009  18:20            45.794 normnfc.nls
07.01.2009  18:20            59.342 normidna.nls
07.01.2009  18:20            23.552 normaliz.dll
07.01.2009  18:20            26.112 idndl.dll
07.01.2009  18:20            60.294 normnfkd.nls
07.01.2009  18:20             1.988 ticrf.rat
07.01.2009  18:20             8.798 icrav03.rat
07.01.2009  18:20           265.720 msdbg2.dll
21.12.2008  00:13         1.293.824 quartz.dll



            2103 Datei(en)    453.178.589 Bytes
               0 Verzeichnis(se), 302.150.426.624 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\WINDOWS\Prefetch

14.07.2009  10:44            16.560 FIND.EXE-0EC32F1E.pf
14.07.2009  10:44            27.070 CMD.EXE-087B4001.pf
14.07.2009  10:43            21.274 VERCLSID.EXE-3667BD89.pf
14.07.2009  10:43           107.462 EXPLORER.EXE-082F38A9.pf
14.07.2009  10:43            23.856 SEARCHFILTERHOST.EXE-148579FB.pf
14.07.2009  10:43            31.236 SEARCHPROTOCOLHOST.EXE-34E0253A.pf
14.07.2009  10:40            19.484 AD-AWAREADMIN.EXE-1618EEEB.pf
14.07.2009  10:40            26.900 WUAUCLT.EXE-399A8E72.pf
14.07.2009  10:40            19.754 AAWTRAY.EXE-31E33C30.pf
14.07.2009  10:40            84.302 FIREFOX.EXE-1D57670A.pf
14.07.2009  10:40            47.884 SVCHOST.EXE-3530F672.pf
14.07.2009  10:40            22.924 UNSECAPP.EXE-1A95A33B.pf
14.07.2009  10:40         1.022.122 NTOSBOOT-B00DFAAD.pf
13.07.2009  13:01            23.106 NOTEPAD.EXE-336351A9.pf
13.07.2009  12:55            58.876 AVCENTER.EXE-1D2DB8A2.pf
13.07.2009  12:42            49.456 WMIPRVSE.EXE-28F301A9.pf
13.07.2009  12:41            26.500 HIJACKTHIS.EXE-07A1A037.pf
13.07.2009  12:41            22.992 IMAPI.EXE-0BF740A4.pf
13.07.2009  12:41            20.786 THREATWORK.EXE-2CC668FF.pf
13.07.2009  12:39            51.840 AD-AWARE.EXE-2B8B58D1.pf
13.07.2009  12:22            24.158 LOGONUI.EXE-0AF22957.pf
13.07.2009  12:11            60.096 AAWSERVICE.EXE-1E1DE6D1.pf
13.07.2009  12:11            66.172 AAWDRIVERTOOL.EXE-3120C237.pf
13.07.2009  12:11           121.342 MSIEXEC.EXE-2F8A8CAE.pf
13.07.2009  12:10            50.810 AD-AWAREAE.EXE-21B22F4A.pf
13.07.2009  12:10            14.598 LAVASOFTGCHELPER.EXE-000613F0.pf
13.07.2009  12:10            48.578 AD-AWAREAE.EXE-1B916B1C.pf
13.07.2009  12:01            15.234 HJTINSTALL.EXE-2A2FAC16.pf
13.07.2009  11:52            54.012 AVNOTIFY.EXE-31D7686A.pf
13.07.2009  11:52            53.820 UPDATE.EXE-3398FCD6.pf
13.07.2009  11:51            52.990 RSTRUI.EXE-03C49A96.pf
10.07.2009  15:37            25.642 CLEARPROG.EXE-1934C98F.pf
10.07.2009  15:37            64.572 WINWORD.EXE-0B995611.pf
10.07.2009  15:37            51.362 EXCEL.EXE-3AB61D88.pf
10.07.2009  15:36            50.634 RUNDLL32.EXE-365598D1.pf
10.07.2009  15:36            82.040 IEXPLORE.EXE-2CA9778D.pf
10.07.2009  15:34            22.750 SETUP_CLEARPROG_1.6.0_FINAL.E-02A48FC3.pf
10.07.2009  15:33            50.690 AVSCAN.EXE-25724B6E.pf
10.07.2009  15:33            19.462 SISTRAY.EXE-245DBCED.pf
10.07.2009  15:33            21.004 SYNTPENH.EXE-3967AE36.pf
10.07.2009  15:33            17.648 READER_SL.EXE-2FAFE67A.pf
10.07.2009  15:33            27.764 HOTKEYDRIVER.EXE-17414144.pf
10.07.2009  15:33            49.982 RTHDCPL.EXE-06918CFA.pf
10.07.2009  15:33            24.458 BISONHK.EXE-22F5030C.pf
10.07.2009  15:33            36.052 USERINIT.EXE-30B18140.pf
10.07.2009  15:33            23.296 SYNTPSTART.EXE-1F6C3895.pf
10.07.2009  15:33            15.694 ALCMTR.EXE-235F9538.pf
10.07.2009  15:33            19.380 RUNDLL32.EXE-2C2091C4.pf
10.07.2009  15:33            53.600 WGATRAY.EXE-0ED38BED.pf
10.07.2009  15:20            21.466 HARALD.MAAS.EXE-274417E1.pf
10.07.2009  15:19            82.040 UVPL.EXE-138ED5B7.pf
10.07.2009  15:16            36.790 HELPHOST.EXE-247D2792.pf
10.07.2009  15:16            56.384 HELPSVC.EXE-2878DDA2.pf
10.07.2009  15:16            57.654 HELPCTR.EXE-3862B6F5.pf
10.07.2009  15:15            48.412 RUNDLL32.EXE-2905E326.pf
10.07.2009  15:15            32.406 RUNDLL32.EXE-44A0B4BC.pf
10.07.2009  14:30            19.544 CTFMON.EXE-0E17969B.pf
10.07.2009  13:21            35.238 MSTORDB.EXE-0440081C.pf
10.07.2009  13:12            18.266 RUNDLL32.EXE-268BFF96.pf
09.07.2009  15:57            66.108 OUTLOOK.EXE-2FC6F8AB.pf
09.07.2009  15:05           552.542 Layout.ini
08.07.2009  11:53            14.936 WSCNTFY.EXE-1B24F5EB.pf
08.07.2009  11:51            24.698 SPOOLSV.EXE-282F76A7.pf
07.07.2009  12:59            84.652 MSCORSVW.EXE-1BF30400.pf
07.07.2009  12:29            23.864 REGSVR32.EXE-25EEFE2F.pf
07.07.2009  12:29            16.440 GRPCONV.EXE-111CD845.pf
04.07.2009  15:51            35.452 WMIADAP.EXE-2DF425B2.pf
04.07.2009  15:49            57.986 UNREGMP2.EXE-07CACB61.pf
04.07.2009  15:49             8.890 SPUPDSVC.EXE-21B36524.pf
04.07.2009  15:43             8.318 WMPENC.EXE-18EEC116.pf
04.07.2009  15:42            16.970 LOGAGENT.EXE-027AF92B.pf
04.07.2009  15:39            12.140 NGEN.EXE-38021CCC.pf
04.07.2009  15:27           105.704 SERVICEMODELREG.EXE-1FB5DD06.pf
04.07.2009  15:27            24.990 CSC.EXE-01730C27.pf
04.07.2009  15:27            11.894 CVTRES.EXE-2329DCD5.pf
04.07.2009  15:27            29.448 LODCTR.EXE-1009C3B4.pf
04.07.2009  15:27            33.010 REGSVCS.EXE-11A17120.pf
04.07.2009  15:27            39.162 ASPNET_REGIIS.EXE-009D6E80.pf
04.07.2009  15:27            28.488 MOFCOMP.EXE-01718E95.pf
04.07.2009  15:27            10.378 REGTLIBV12.EXE-0E2FA54B.pf
04.07.2009  15:21            11.668 MSOHTMED.EXE-37A06F08.pf
04.07.2009  15:00            30.420 MSDTC.EXE-0E6E4AF7.pf
22.06.2009  07:21            12.932 REG.EXE-0D2A95F7.pf
15.06.2009  17:00             4.494 TZCHANGE.EXE-13537581.pf
              84 Datei(en)      4.616.008 Bytes
               0 Verzeichnis(se), 302.150.500.352 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\WINDOWS\tasks

14.07.2009  10:38                 6 SA.DAT
13.07.2009  12:11               458 Ad-Aware Update (Weekly).job

               3 Datei(en)            529 Bytes
               0 Verzeichnis(se), 302.150.500.352 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\WINDOWS\Temp

14.07.2009  10:38               483 WGAErrLog.txt
               1 Datei(en)            483 Bytes
               0 Verzeichnis(se), 302.150.500.352 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 101B-FEBC

 Verzeichnis von C:\DOKUME~1\HARALD~1.MAA\LOKALE~1\Temp

14.07.2009  10:39                 0 etilqs_T2fEjKzg2hfSpZVP8CBE
14.07.2009  10:39            16.384 ~DFE788.tmp
13.07.2009  12:38            16.384 ~DF56A9.tmp
13.07.2009  12:20            16.384 ~DF6D97.tmp
13.07.2009  12:14            16.384 ~DF789F.tmp
13.07.2009  11:50            22.263 Turkish.bin
13.07.2009  11:50            22.868 Finnish.bin
13.07.2009  11:50            24.321 Czech.bin
13.07.2009  11:50            25.082 Portuguese(Brazil).bin
13.07.2009  11:50            24.232 Polish.bin
13.07.2009  11:50            19.564 Hebrew.bin
13.07.2009  11:50            26.094 Hungarian.bin
13.07.2009  11:50            21.975 Norwegian.bin
13.07.2009  11:50            21.987 Thai.bin
13.07.2009  11:50            25.093 Greek.bin
13.07.2009  11:50            16.420 SimChin.bin
13.07.2009  11:50            20.991 Arabic.bin
13.07.2009  11:50            26.271 Portuguese.bin
13.07.2009  11:50            26.136 Russian.bin
13.07.2009  11:50            24.093 SWEDISH.bin
13.07.2009  11:50            21.944 English.bin
13.07.2009  11:50            27.764 Spanish.bin
13.07.2009  11:50            25.764 German.bin
13.07.2009  11:50            27.421 Italian.bin
13.07.2009  11:50            16.962 TradChin.bin
13.07.2009  11:50            27.246 French.bin
13.07.2009  11:50            22.794 Danish.bin
13.07.2009  11:50            20.145 Korean.bin
13.07.2009  11:50            25.758 Dutch.bin
13.07.2009  11:50            24.340 Japanese.bin
13.07.2009  11:50            16.384 ~DF5EC2.tmp
10.07.2009  15:32            16.384 ~DF25E7.tmp
              32 Datei(en)        685.832 Bytes
               0 Verzeichnis(se), 302.150.496.256 Bytes frei
         
ccleaner:
Code:
ATTFilter
2007 Microsoft Office system
Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Avira AntiVir Personal - Free Antivirus
BisonCam
CCleaner (remove only)
ClearProg 1.6.0 Final
HijackThis 2.0.2
Hotkey
JMicron JMB38X Flash Media Controller
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Suite Activation Assistant
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB925673)
Nero 8 Essentials
QuickTime
Realtek High Definition Audio Driver
REALTEK RTL8187B Wireless LAN Driver
Security Update for Windows Search 4 - KB963093
Sicherheitsupdate für Windows Media Encoder (KB954156)
SiS VGA Utilities
SiSAGP driver
SmartSound Quicktracks Plugin
Synaptics Pointing Device Driver
Ulead VideoStudio 11 SE DVD
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Encoder 9 Series
Windows Media Format 11 runtime
Windows Media Player 11
Windows Search 4.0
         
GMER kommt gleich, weil der Text sonst zu lang ist...
__________________

Alt 14.07.2009, 12:16   #4
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Mist, das GMER-Log ist für einen Beitrag zu lang. Deshalb in zwei Teilen:

Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-14 12:00:05
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code            8A125C58                                                                                                                                              ZwEnumerateKey
Code            8A118370                                                                                                                                              ZwFlushInstructionCache
Code            8A0C7A7E                                                                                                                                              IofCallDriver
Code            8A1089C6                                                                                                                                              IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                                                                                            804EF1A6 5 Bytes  JMP 8A0C7A83 
.text           ntkrnlpa.exe!IofCompleteRequest                                                                                                                       804EF236 5 Bytes  JMP 8A1089CB 
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                                                                  805B6812 5 Bytes  JMP 8A118374 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                                                           80623FF0 5 Bytes  JMP 8A125C5C 

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\ctfmon.exe[128] ntdll.dll!LdrLoadDll                                                                                              7C9263C3 5 Bytes  JMP 00A7000A 
.text           C:\WINDOWS\system32\ctfmon.exe[128] ntdll.dll!LdrUnloadDll                                                                                            7C92738B 5 Bytes  JMP 00A8000A 
.text           C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe[176] ntdll.dll!LdrLoadDll                                                                7C9263C3 5 Bytes  JMP 00D5000A 
.text           C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe[176] ntdll.dll!LdrUnloadDll                                                              7C92738B 5 Bytes  JMP 00D6000A 
.text           C:\Dokumente und Einstellungen\***\H***[188] ntdll.dll!LdrLoadDll                                                                  7C9263C3 5 Bytes  JMP 00E7000A 
.text           C:\Dokumente und Einstellungen\H***\H***.exe[188] ntdll.dll!LdrUnloadDll                                                                7C92738B 5 Bytes  JMP 00E8000A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[200] ntdll.dll!LdrLoadDll                                                                                   7C9263C3 5 Bytes  JMP 00BC000A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[200] ntdll.dll!LdrUnloadDll                                                                                 7C92738B 5 Bytes  JMP 00BD000A 
.text           C:\WINDOWS\system32\sistray.exe[240] ntdll.dll!LdrLoadDll                                                                                             7C9263C3 5 Bytes  JMP 00B4000A 
.text           C:\WINDOWS\system32\sistray.exe[240] ntdll.dll!LdrUnloadDll                                                                                           7C92738B 5 Bytes  JMP 00B5000A 
.text           C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[412] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 007B000A 
.text           C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[412] ntdll.dll!LdrUnloadDll                                                            7C92738B 5 Bytes  JMP 007C000A 
.text           C:\WINDOWS\Explorer.EXE[620] ntdll.dll!LdrLoadDll                                                                                                     7C9263C3 5 Bytes  JMP 00D0000A 
.text           C:\WINDOWS\Explorer.EXE[620] ntdll.dll!LdrUnloadDll                                                                                                   7C92738B 5 Bytes  JMP 00D1000A 
.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[712] ntdll.dll!LdrLoadDll                                                                              7C9263C3 5 Bytes  JMP 00AA000A 
.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[712] ntdll.dll!LdrUnloadDll                                                                            7C92738B 5 Bytes  JMP 00AB000A 
.text           C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[768] ntdll.dll!LdrLoadDll                                                                         7C9263C3 5 Bytes  JMP 0092000A 
.text           C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[768] ntdll.dll!LdrUnloadDll                                                                       7C92738B 3 Bytes  JMP 0093000A 
.text           C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[768] ntdll.dll!LdrUnloadDll + 4                                                                   7C92738F 1 Byte  [84]
.text           C:\WINDOWS\system32\winlogon.exe[876] ntdll.dll!LdrLoadDll                                                                                            7C9263C3 5 Bytes  JMP 0073000A 
.text           C:\WINDOWS\system32\winlogon.exe[876] ntdll.dll!LdrUnloadDll                                                                                          7C92738B 5 Bytes  JMP 0074000A 
.text           C:\WINDOWS\system32\services.exe[924] ntdll.dll!LdrLoadDll                                                                                            7C9263C3 5 Bytes  JMP 0073000A 
.text           C:\WINDOWS\system32\services.exe[924] ntdll.dll!LdrUnloadDll                                                                                          7C92738B 5 Bytes  JMP 0074000A 
.text           C:\WINDOWS\system32\lsass.exe[936] ntdll.dll!LdrLoadDll                                                                                               7C9263C3 5 Bytes  JMP 007D000A 
.text           C:\WINDOWS\system32\lsass.exe[936] ntdll.dll!LdrUnloadDll                                                                                             7C92738B 5 Bytes  JMP 0080000A 
.text           C:\WINDOWS\BisonCam\BisonHK.exe[1060] ntdll.dll!LdrLoadDll                                                                                            7C9263C3 5 Bytes  JMP 00AF000A 
.text           C:\WINDOWS\BisonCam\BisonHK.exe[1060] ntdll.dll!LdrUnloadDll                                                                                          7C92738B 5 Bytes  JMP 00B0000A 
.text           C:\WINDOWS\system32\SearchIndexer.exe[1300] ntdll.dll!LdrLoadDll                                                                                      7C9263C3 5 Bytes  JMP 00D4000A 
.text           C:\WINDOWS\system32\SearchIndexer.exe[1300] ntdll.dll!LdrUnloadDll                                                                                    7C92738B 5 Bytes  JMP 00D5000A 
.text           C:\WINDOWS\system32\SearchIndexer.exe[1300] kernel32.dll!WriteFile                                                                                    7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text           C:\WINDOWS\system32\IoctlSvc.exe[1308] ntdll.dll!LdrLoadDll                                                                                           7C9263C3 5 Bytes  JMP 007B000A 
.text           C:\WINDOWS\system32\IoctlSvc.exe[1308] ntdll.dll!LdrUnloadDll                                                                                         7C92738B 5 Bytes  JMP 007C000A 
.text           C:\WINDOWS\system32\spoolsv.exe[1748] ntdll.dll!LdrLoadDll                                                                                            7C9263C3 5 Bytes  JMP 00A6000A 
.text           C:\WINDOWS\system32\spoolsv.exe[1748] ntdll.dll!LdrUnloadDll                                                                                          7C92738B 5 Bytes  JMP 00A7000A 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1812] ntdll.dll!LdrLoadDll                                                                               7C9263C3 5 Bytes  JMP 00A8000A 
.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1812] ntdll.dll!LdrUnloadDll                                                                             7C92738B 5 Bytes  JMP 00A9000A 
.text           C:\Programme\Synaptics\SynTP\SynTPStart.exe[1928] ntdll.dll!LdrLoadDll                                                                                7C9263C3 5 Bytes  JMP 00A7000A 
.text           C:\Programme\Synaptics\SynTP\SynTPStart.exe[1928] ntdll.dll!LdrUnloadDll                                                                              7C92738B 5 Bytes  JMP 00A8000A 
.text           C:\WINDOWS\RTHDCPL.EXE[1940] ntdll.dll!LdrLoadDll                                                                                                     7C9263C3 5 Bytes  JMP 01BD000A 
.text           C:\WINDOWS\RTHDCPL.EXE[1940] ntdll.dll!LdrUnloadDll                                                                                                   7C92738B 5 Bytes  JMP 01BE000A 
.text           C:\Programme\Hotkey\HotKeyDriver.exe[1972] ntdll.dll!LdrLoadDll                                                                                       7C9263C3 5 Bytes  JMP 012E000A 
.text           C:\Programme\Hotkey\HotKeyDriver.exe[1972] ntdll.dll!LdrUnloadDll                                                                                     7C92738B 5 Bytes  JMP 012F000A 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2044] ntdll.dll!LdrLoadDll                                                                               7C9263C3 5 Bytes  JMP 00C3000A 
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2044] ntdll.dll!LdrUnloadDll                                                                             7C92738B 5 Bytes  JMP 00C4000A 
.text           C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe[2380] ntdll.dll!LdrLoadDll                                                             7C9263C3 5 Bytes  JMP 0087000A 
.text           C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe[2380] ntdll.dll!LdrUnloadDll                                                           7C92738B 5 Bytes  JMP 0088000A 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2584] ntdll.dll!LdrLoadDll                                                                                      7C9263C3 5 Bytes  JMP 008D000A 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2584] ntdll.dll!LdrUnloadDll                                                                                    7C92738B 5 Bytes  JMP 0090000A 
.text           C:\WINDOWS\System32\alg.exe[2848] ntdll.dll!LdrLoadDll                                                                                                7C9263C3 5 Bytes  JMP 0081000A 
.text           C:\WINDOWS\System32\alg.exe[2848] ntdll.dll!LdrUnloadDll                                                                                              7C92738B 5 Bytes  JMP 0082000A 
.text           C:\WINDOWS\system32\wbem\unsecapp.exe[3152] ntdll.dll!LdrLoadDll                                                                                      7C9263C3 5 Bytes  JMP 00C2000A 
.text           C:\WINDOWS\system32\wbem\unsecapp.exe[3152] ntdll.dll!LdrUnloadDll                                                                                    7C92738B 5 Bytes  JMP 00C3000A 
.text           C:\Dokumente und Einstellungen\H***\Eigene Dateien\Downloads\4vyhxm9g.exe[3912] ntdll.dll!LdrLoadDll                                           7C9263C3 5 Bytes  JMP 00AD000A 
.text           C:\Dokumente und Einstellungen\H***\Eigene Dateien\Downloads\4vyhxm9g.exe[3912] ntdll.dll!LdrUnloadDll                                         7C92738B 5 Bytes  JMP 00AE000A 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                             Lbd.sys (Boot Driver/Lavasoft AB)
---- Processes - GMER 1.0.15 ----

Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [620]                                         0x00E00000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1200]                                0x00B10000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1244]                                0x00B10000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1372]                                0x00B10000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1404]                                0x00B10000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1564]                                0x00B10000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1872]                                0x00B10000                                                                                        
Library         \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [3616]                                0x00B10000                                                                                        

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\UACqibphweavxewmdbwe.sys (*** hidden *** )                                                                                [SYSTEM] UACd.sys                                                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys                                                                                                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start                                                                                                 1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type                                                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath                                                                                             \systemroot\system32\drivers\UACqibphweavxewmdbwe.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group                                                                                                 file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules                                                                                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd                                                                                          \\?\globalroot\systemroot\system32\drivers\UACqibphweavxewmdbwe.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc                                                                                          \\?\globalroot\systemroot\system32\UACmovrypmprqjbebuyx.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr                                                                                        \\?\globalroot\systemroot\system32\UACmbnlsiyuuueloygll.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr                                                                                         \\?\globalroot\systemroot\system32\UAClwlmhxysaeqqfoofx.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask                                                                                       \\?\globalroot\systemroot\system32\UACmiqbsljpixabkxdpt.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf                                                                                       \\?\globalroot\systemroot\system32\UACagxdnribrljecxhst.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal                                                                                        \\?\globalroot\systemroot\system32\UACfrjrardujpieddkyh.db
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem                                                                                        \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys                                                                                                           
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start                                                                                                     1
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type                                                                                                      1
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath                                                                                                 \systemroot\system32\drivers\UACqibphweavxewmdbwe.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group                                                                                                     file system
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules                                                                                                   
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd                                                                                              \\?\globalroot\systemroot\system32\drivers\UACqibphweavxewmdbwe.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc                                                                                              \\?\globalroot\systemroot\system32\UACmovrypmprqjbebuyx.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr                                                                                            \\?\globalroot\systemroot\system32\UACmbnlsiyuuueloygll.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr                                                                                             \\?\globalroot\systemroot\system32\UAClwlmhxysaeqqfoofx.dat
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmask                                                                                           \\?\globalroot\systemroot\system32\UACmiqbsljpixabkxdpt.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf                                                                                           \\?\globalroot\systemroot\system32\UACagxdnribrljecxhst.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal                                                                                            \\?\globalroot\systemroot\system32\UACfrjrardujpieddkyh.db
Reg             HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem                                                                                            \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll
         

Alt 14.07.2009, 12:20   #5
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



und hier Teil 2:

Code:
ATTFilter
---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Quarantine\uacxvhakpkxfncnsutwp.dll.f376ca4a672e76102b96ef6c3247e0.aawqff  30212 bytes
File            C:\Dokumente und Einstellungen\H***\Lokale Einstellungen\Temp\UAC55fa.tmp                                                                      343040 bytes executable
File            C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_MP3.dat                                                                  1781 bytes
File            C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_MP4.dat                                                                  5387 bytes
File            C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_MPA.dat                                                                  3475 bytes
File            C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_OGG.dat                                                                  2020 bytes
File            C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_WAV.dat                                                                  1555 bytes
File            C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_WMA.dat                                                                  7175 bytes
File            C:\WINDOWS\system32\drivers\UACqibphweavxewmdbwe.sys                                                                                                  56320 bytes executable                                                                             <-- ROOTKIT !!!
File            C:\WINDOWS\system32\UACagxdnribrljecxhst.dll                                                                                                          19456 bytes executable
File            C:\WINDOWS\system32\UACfrjrardujpieddkyh.db                                                                                                           1110399 bytes
File            C:\WINDOWS\system32\uacinit.dll                                                                                                                       6589 bytes
File            C:\WINDOWS\system32\UAClwlmhxysaeqqfoofx.dat                                                                                                          310 bytes
File            C:\WINDOWS\system32\UACmbnlsiyuuueloygll.dll                                                                                                          70656 bytes executable
File            C:\WINDOWS\system32\UACmiqbsljpixabkxdpt.dll                                                                                                          18432 bytes executable
File            C:\WINDOWS\system32\UACmovrypmprqjbebuyx.dll                                                                                                          28672 bytes executable
File            C:\WINDOWS\system32\uactmp.db                                                                                                                         0 bytes
File            C:\WINDOWS\system32\UACxvhakpkxfncnsutwp.dll                                                                                                          30208 bytes executable
File            C:\WINDOWS\Temp\UAC1519.tmp                                                                                                                           69120 bytes executable
File            C:\WINDOWS\Temp\UAC27b.tmp                                                                                                                            310 bytes
File            C:\WINDOWS\Temp\UAC80c4.tmp                                                                                                                           1110399 bytes
File            C:\WINDOWS\Temp\UAC85b5.tmp                                                                                                                           30208 bytes executable
File            C:\WINDOWS\Temp\UAC8cca.tmp                                                                                                                           28672 bytes executable
File            C:\WINDOWS\Temp\UAC9238.tmp                                                                                                                           56320 bytes executable
File            C:\WINDOWS\Temp\UACa3ad.tmp                                                                                                                           18432 bytes executable
File            C:\WINDOWS\Temp\UACb169.tmp                                                                                                                           19456 bytes executable

---- EOF - GMER 1.0.15 ----
         
So das war's. Bin gespannt, was Du da raus ließt...

Viele Grüße
Harri


Alt 14.07.2009, 17:55   #6
kira
/// Helfer-Team
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



hi

1.
Wichtig!:
Zitat:
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
Starte jetzt "gmer" nochmal und verneine die Frage nach einem Scan.
Geh auf den Reiter "Services".
Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete".
Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell

2.
Dann lass` "gmer" erneut scannen
Scanner wieder einschalten, bevor Du ins Netz gehst!
und poste den Bericht.

Alt 15.07.2009, 13:31   #7
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Servus,

hab alles so gemacht. Hier ist das log:

Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-15 13:27:04
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            BAF54C1E                                                            ZwCreateKey
SSDT            BAF54C14                                                            ZwCreateThread
SSDT            BAF54C23                                                            ZwDeleteKey
SSDT            BAF54C2D                                                            ZwDeleteValueKey
SSDT            BAF54C32                                                            ZwLoadKey
SSDT            BAF54C00                                                            ZwOpenProcess
SSDT            BAF54C05                                                            ZwOpenThread
SSDT            BAF54C3C                                                            ZwReplaceKey
SSDT            BAF54C37                                                            ZwRestoreKey
SSDT            BAF54C28                                                            ZwSetValueKey
SSDT            BAF54C0F                                                            ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[1876] kernel32.dll!WriteFile  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                             SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                             SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                           Lbd.sys (Boot Driver/Lavasoft AB)

---- EOF - GMER 1.0.15 ----
         
Wie schaut's aus?

Viele Grüße
Harri

Alt 15.07.2009, 15:02   #8
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Antivir hat gerade nochmal nen Nachschlag geliefert:

Zitat:
In der Datei 'C:\System Volume Information\_restore{9DDB6976-A2E0-48AD-B6C4-DD4D675D1174}\RP16\A0002451.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.adzz' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Muss mir das Sorge machen?

Alt 15.07.2009, 16:53   #9
kira
/// Helfer-Team
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



hi

OK, dann mal weiter:

1.
Lade Dir Malwarebytes Anti-Malware von -> malwarebytes.org oder von hier-> MajorGeeks.com
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne säuberung) mit Kaspersky Online - Scanner:
Internet Explorer-> Extras-> Internetoptionen-> Sicherheit:

alles auf Standardstufe stellen
Active X erlauben
Speichere und poste das Logfile des Scans - speichere die Ergebnis als *.txt

4.
poste erneut:
Trend Micro HijackThis-Logfile

Alt 16.07.2009, 20:48   #10
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Soooo... kann bald keine scanner mehr sehen :-)

Hier die Protokolle:

Malwarebytes

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2438
Windows 5.1.2600 Service Pack 3

16.07.2009 14:14:55
mbam-log-2009-07-16 (14-14-55).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 127874
Laufzeit: 19 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\UACmbnlsiyuuueloygll.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         
SUPER

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/16/2009 at 02:43 PM

Application Version : 4.26.1006

Core Rules Database Version : 3998
Trace Rules Database Version: 1938

Scan type       : Complete Scan
Total Scan Time : 00:16:52

Memory items scanned      : 482
Memory threats detected   : 0
Registry items scanned    : 5683
Registry threats detected : 0
File items scanned        : 13687
File threats detected     : 2

Rootkit.Agent/Gen-UAC
	C:\WINDOWS\SYSTEM32\UACLWLMHXYSAEQQFOOFX.DAT

Trojan.IRCBot/Dropper-Gen
	C:\PROGRAMME\HOTKEY\XPCLOSEHOTKEY.EXE
         
Kaspersky

Code:
ATTFilter
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
 Thursday, July 16, 2009
 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner  version: 7.0.26.13
 Program database last update: Thursday, July 16, 2009 15:34:08
 Records in database: 2474237
--------------------------------------------------------------------------------

Scan settings:
	Scan using the following database: extended
	Scan archives: yes
	Scan mail databases: yes

Scan area - My Computer:
	C:\
	D:\

Scan statistics:
	Files scanned: 41805
	Threat name: 0
	Infected objects: 0
	Suspicious objects: 0
	Duration of the scan: 01:05:28

No malware has been detected. The scan area is clean.

The selected area was scanned.
         
HJT

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:19, on 16.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPStart.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\BisonCam\BisonHK.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hotkey\HotKeyDriver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\Harald.Maas\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BisonHK] C:\WINDOWS\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [Hotkey Software] "C:\Programme\Hotkey\HotKeyDriver.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Harald.Maas] C:\Dokumente und Einstellungen\Harald.Maas\Harald.Maas.exe
O4 - HKCU\..\Run: [\\Future_buero\EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOKUME~1\HARALD~1.MAA\LOKALE~1\Temp\E_SF.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246712763653
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6586 bytes
         
Sooo...nochmals vielen vielen Dank...was sagst Du??

Gruß Harri

Alt 17.07.2009, 18:37   #11
kira
/// Helfer-Team
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Zitat:
Zitat von Harri_m Beitrag anzeigen
Soooo... kann bald keine scanner mehr sehen :-)
aufgrund von integrierten Rootkit-Angriff, solch ein "Prozedur" eigentlich erspart werden sollte - Format C: " mit anschließender Neuinstallation

1.
den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
deinstalliere:
- das Malwarebytes
- Kaspersky Online Scanner
- SUPERAntiSpyware
- Entferne Gmer
- Papierkorb leeren

2.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
- Erstelle einen neuen Wiederherstellungspunkt:
1. Öffne den Arbeitsplatz und klicke deine Systemplatte ( C: ) rechts an.
2. Gehe im Kontext auf "Eigenschaften"
3. Klicke auf "Bereinigen"
4. Klicke im Register "Weitere Optionen" bei "Systemwiederherstellung" auf
"Bereinigen"
5. Bestätige 2x mit "OK"

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
  • [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
- empfehle ich Dir noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- nach jedem Scanvorgang starte dein system neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern
Code:
ATTFilter
bitdefender
emsisoft
f-secure
         

Alt 21.07.2009, 12:06   #12
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Soooo....hier sind die logs.

bitdefender:
Code:
ATTFilter
BitDefender Online Scanner - Echtzeit-Virenmeldung
	

 
	

 

Erstellt am: Mon, Jul 20, 2009 - 15:28:49

 
	

 
	

 

Prüf-Info
	

 
	

 

Geprüfte Dateien
	

51344

Infizierte Dateien
	

0
	
 

Erkannte Viren
	

Keine Viren gefunden
	
Diese Zusammenfassung des Prüfvorgangs wird vom BitDefender Virus Labor dazu verwendet detaillierte Berichte über die weltweite Aktivität von Viren zu erstellen.
         
Code:
ATTFilter
a-squared Web Malware Scanner v. 4.0

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\
Archiv Scan: Ein
Heuristik: Aus
ADS Scan: Ein

Scan Start:	21.07.2009 11:06:45


Gescannt

Dateien: 	42869
Traces: 	458937
Cookies: 	158
Prozesse: 	42

Gefunden

Dateien: 	0
Traces: 	0
Cookies: 	6
Prozesse: 	0

Scan Ende:	21.07.2009 11:24:11
Scan Zeit:	00:17:26
         
f-secure

Code:
ATTFilter
Scanning Report
Tuesday, July 21, 2009 11:40:30 - 11:55:38

Computer name: ****_NOTEBOOK
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\
No malware found
Statistics
Scanned:

    * Files: 32571
    * System: 3138
    * Not scanned: 7 

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * Not cleaned: 0
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\HIBERFIL.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * C:\WINDOWS\SYSTEM32\CONFIG\SAM
    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
         
Das war's...war's das?

Viele Grüße
Harri

Alt 21.07.2009, 16:38   #13
kira
/// Helfer-Team
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



hi

tja...100%ige Sicherheit gibt es immer nur wenn man Windows neu installiert
Ansonsten die Systemreinigung (umfasst viele Möglichkeiten), wird zum jeweiligen Stand der Technik durchgeführt...
Du solltest aber auf jedenfall deinen Rechner weiter beobachten und verschiedene Online Scanner ab und zu mal laufen lassen: *Online-Virenscanner
(benutzen meist ActiveX und/oder Java)*

Alt 23.07.2009, 11:37   #14
Harri_m
 
Trojaner - Google leitet um - Standard

Trojaner - Google leitet um



Naja...wo gibt's schon 100%ige Sicherheit :-)

Sieht auf jeden Fall wieder recht sauber aus...deshalb Tausend Dank an Dich!

Grüße Harri

Antwort

Themen zu Trojaner - Google leitet um
abgesicherten modus, ad-aware, antivir, antivir guard, avira, awareness, bho, cleaning, cpu, desktop, einstellungen, entfernen, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, kompatibilität, logfile, problem, required, rundll, software, system, trojaner, uleadburninghelper, updates, windows, windows xp



Ähnliche Themen: Trojaner - Google leitet um


  1. Google leitet mich ungewollt auf Google
    Plagegeister aller Art und deren Bekämpfung - 05.02.2014 (17)
  2. Google Redirect - Malware - Google leitet falsch um
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (21)
  3. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  4. Win32/Ponmocup.AA Trojaner - Google leitet mich auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (9)
  5. Google leitet mich immer auf andere Websites( manchmal sogar auf google selbst)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (21)
  6. Google leitet um, und ist Langsam..
    Plagegeister aller Art und deren Bekämpfung - 03.03.2012 (12)
  7. Google leitet auf falsche Seiten weiter - Virus/Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.02.2012 (7)
  8. Google Chrome leitet Trojaner-Board Treffer bei Google auf dollarade.com um!
    Diskussionsforum - 07.02.2012 (18)
  9. Google leitet auf 95p.com um
    Plagegeister aller Art und deren Bekämpfung - 02.01.2012 (1)
  10. Trotz Trojaner-Löschung durch Malwarebytes leitet Google Seiten um
    Log-Analyse und Auswertung - 20.12.2011 (37)
  11. Google leitet auf GOMEO weiter (Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 24.06.2011 (5)
  12. Google leitet Link um
    Log-Analyse und Auswertung - 09.06.2011 (26)
  13. Google leitet auf falsche Seite weiter / Trojaner eingefangen
    Antiviren-, Firewall- und andere Schutzprogramme - 15.11.2010 (28)
  14. Google leitet auf falsche Tabs weiter, nach vorherigem Befall von Windosw Security Center Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.10.2010 (1)
  15. Google leitet falsch weiter, wo ist der Trojaner?
    Log-Analyse und Auswertung - 16.07.2009 (3)
  16. Google leitet immmer auf windowsclick.com / Trojaner TR/FakeAV.IA
    Plagegeister aller Art und deren Bekämpfung - 28.03.2009 (1)
  17. Google leitet unberechtigt um auf 3..2..1
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (0)

Zum Thema Trojaner - Google leitet um - Hallo zusammen, habe mir einen Trojaner gefangen, der seither alle links auf google umleitet. Freitag hat Antivir zwei Meldungen gebracht (DR/Agent.emb und TR/VB.phe). Diese liesen sich entfernen und werden seither - Trojaner - Google leitet um...
Archiv
Du betrachtest: Trojaner - Google leitet um auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.