Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner schickt mich auf komische Seiten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.09.2009, 14:06   #1
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Hallo jungs,
ich hab das Problem dass mich irgend ein Virus wenn ich einen link anklicke auf komische Seiten wie z.b. http://thefeedyard.com/?do=search&q=DownloadLatest%20Version weiterleitet.

als ich das bemerkt habe, hab ich erst einaml den Virenscanner laufen lassen mit dem Ergebnis dass der Pc neustartet gleich nach dem Beginn des scans.

dann habe ich mich hier ein bisschen schlau gemacht und wollte einige programme runterladen doch dies funktionierte nicht da ich immer wieder auf unsinnige seiten weitergeleitet wurde.

systemwiederherstellung geht auch nicht mehr dass einzigste was ich geschafft habe war ein logfile von dem programm Hopsassa dieses heist

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 2 (Automatic)

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmenadrv" not found!
Deletion of driver "podmenadrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmena" not found!
Deletion of driver "podmena" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

ich hoffe ihr könnt mir helfen danke

Alt 13.09.2009, 14:32   #2
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Hallo und

Bitte niemals irgendein Skript benutzen, dass für genau einen User in einer bestimmten Situation geschrieben wurde. Versuche es mit diesem hier:
Code:
ATTFilter
Drivers to delete:
nhkfox

Files to delete:
C:\WINDOWS\system32\drivers\shejqacl.sys
         
Poste das Log von Avenger (aka Hopsassa) und versuche anschliessend die Programme nochmal zu laden. Sollte das nicht funktionieren, dann melde dich.

ciao, andreas
__________________

__________________

Alt 13.09.2009, 16:15   #3
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



so hab jetzt das logfile von anti malware
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2790
Windows 5.1.2600 Service Pack 2

13.09.2009 17:11:11
mbam-log-2009-09-13 (17-10-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 167755
Laufzeit: 1 hour(s), 48 minute(s), 55 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 22

Infizierte Speicherprozesse:
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nordbull (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\msxml71.dll (Worm.Allaple) -> No action taken.
C:\Dokumente und Einstellungen\X\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe (Adware.NaviPromo) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\h.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\i.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\update.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YBO978UC\load[2].exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.lnk (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\iexplore.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\protect.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\protect.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

logfile von hopsassa kommt gleich
danke für die schnelle antwort
__________________

Alt 13.09.2009, 16:17   #4
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Hast du bei Malwarebytes auch Löschen lassen? Dort steht No action taken. Bei den Funden solltest du ernsthaft das in Betracht ziehen => http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.09.2009, 16:26   #5
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



nein ich konnte nichts löschen ist glaube ich nur eine demo
also bei hopsassa habe ich deinen rat befolgt dann wollte der pc neustarten dann kam no operating system found dann musste ich abschalten und neustarten dann kamm dieses logfile

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "nhkfox" deleted successfully.
File "C:\WINDOWS\system32\drivers\shejqacl.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

denkst du ich habe keine andere chace wie formatieren?


Alt 13.09.2009, 16:37   #6
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Zitat:
nein ich konnte nichts löschen ist glaube ich nur eine demo
Dann hast du dir die falsche Version geladen. Halte dich genau an unsere Anleitung.

Man kann (fast) alles bereinigen, nur wenn die Zeit zum Bereinigen ein Mehrfaches dessen überschreitet, die eine Neuinstallation erfordert, dann fragt man sich schon, ob das überhaupt sinnvoll ist.

Bei dem, das du auf dem Rechner hattest und vermutlich noch hast, halte ich das nicht für sinnvoll. Falls du dennoch Bereinigen möchtest, dann werden weitere ca. 10 Programme auf dich zukommen.

Siehst du das Stolen.Data im Log von Malwarebytes? Du kannst davon ausgehen, dass alle deine Kennwörter schon verschickt wurden. Deshalb ändere alle deine Kennwörter von einem sauberen Rechner.

ciao, andreas
__________________
--> Trojaner schickt mich auf komische Seiten

Alt 13.09.2009, 16:42   #7
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



ok dankeschön dann muss ich dass wohl oder übel machen aber woher weis ich dass meine datensicherug die ich mache nicht verseucht ist und dann meinen neuinstalierten rechner wieder infiziert wenn ich die daten rüberzihe?

danke für deine schnelle hilfe

edit:

ich hab antimalware nochmal im schnelldurchlauf scannen lassen also da steht dann entfernen aber wenn ich dass drücke kommt eine fehlermeldung und das programm wird geschlossen
"Malwarebytes' Anti-Malware hat ein Problem festgestellt und muss beendet werden."

Geändert von bong91 (13.09.2009 um 16:49 Uhr)

Alt 13.09.2009, 16:52   #8
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Klar. Das du deine Daten verlierst, möchte ich natürlich nicht. Es gibt mehrere Möglichkeiten.

1.) Du benutzt eine Live-CD zum Daten sichern => http://www.trojaner-board.de/75619-a...x-live-cd.html

2.) Wir bereinigen zumindest soweit, dass du die Daten gefahrlos sichern kannst. Vorher deinen Anmeldenamen ersetzen! Neues Skript für den Avenger:
Code:
ATTFilter
Folders to delete:
C:\WINDOWS\system32\lowsec
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Files to delete:
C:\WINDOWS\msa.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe
C:\WINDOWS\system32\msxml71.dll
C:\Dokumente und Einstellungen\X\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\a.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\h.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\i.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\update.exe
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.dll
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.lnk
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\drivers\str.sys
C:\WINDOWS\system32\sdra64.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\nsrbgxod.bak
C:\Dokumente und Einstellungen\X\iexplore.exe
C:\Dokumente und Einstellungen\X\protect.dll
C:\Dokumente und Einstellungen\NetworkService\protect.dll
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
         
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.09.2009, 17:10   #9
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



danke schön hier das logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\WINDOWS\system32\lowsec" deleted successfully.
Folder "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temporary Internet Files\Content.IE5" deleted successfully.
File "C:\WINDOWS\msa.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\b.exe" deleted successfully.
File "C:\WINDOWS\system32\msxml71.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\a.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\h.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\i.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\update.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Startmenü\Programme\Autostart\ChkDisk.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Startmenü\Programme\Autostart\ChkDisk.lnk" deleted successfully.
File "C:\WINDOWS\system32\autochk.dll" deleted successfully.
File "C:\WINDOWS\system32\drivers\str.sys" deleted successfully.
File "C:\WINDOWS\system32\sdra64.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\nsrbgxod.bak" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\x\iexplore.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\x\iexplore.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Dokumente und Einstellungen\x\protect.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\NetworkService\protect.dll" deleted successfully.
File "C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job" deleted successfully.
File "C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

danke für schnelle hilfe

kann ich jetzt datensicherung machen ohne probleme ?

Alt 13.09.2009, 17:16   #10
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Jetzt bitte ich dich um einen Gefallen.

Packe den Ordner c:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.
Zitat:
kann ich jetzt datensicherung machen ohne probleme ?
Das weiß ich noch nicht. Du hattest zumindest ein Rootkit, dass mittlerweile beseitigt ist, aber da können noch mehr sein. Wie geht es denn dem Rechner? Gibt es eine Besserung? Gibt es noch Umleitungen im Browser? Da du die gesicherten Daten sowieso scannen musst, können wir das auch gleich machen.

1.) http://www.trojaner-board.de/51871-a...tispyware.html

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.09.2009, 17:30   #11
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



ordner wird gezipped und pc wird gescannt melde mich wenn alles abgeschlossen ist
noch einmal vielen dank für deine behühungen

rechner geht es besser wurde bis jetzt nichtmehr weitergeleitet aber ich glaube bei antivir wird der pc immernoch neugestartet muss ich aber nochmal schauen bis gleich

Alt 13.09.2009, 19:17   #12
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



ok link an dich verschickt und logfile von atispyware erstellt:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/13/2009 at 08:02 PM

Application Version : 4.28.1010

Core Rules Database Version : 4097
Trace Rules Database Version: 2037

Scan type : Complete Scan
Total Scan Time : 01:31:30

Memory items scanned : 807
Memory threats detected : 1
Registry items scanned : 5413
Registry threats detected : 2
File items scanned : 67377
File threats detected : 66

Trojan.Agent/Gen-FakeAlert
C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
[xouuz] C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
C:\WINDOWS\Prefetch\XOUUZ.EXE-13703722.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\x\Cookies\fege@bluestreak[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tto2.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zanox[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@fastclick[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@clicks.pangora[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@mediaplex[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adbrite[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@casalemedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@www.etracker[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adrevolver[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@advertising[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zedo[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@invitemedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@www.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ak[1].txt
C:\Dokumente und Einstellungen\xCookies\fege@burstnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tradedoubler[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@beepbanner[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@revsci[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@apmebf[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tacoda[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.adnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ads.lucidmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ads.heias[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@realmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.3gnet[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@specificclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@beacons.hottraffic[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.trackbar[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adtech[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@interclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@247realmedia[1].txteGe\Cookies\fege@at.atwola[2].txt
C:\Dokumente und Einstellungen\
C:\Dokumente und Einstellungen\x\Cookies\fege@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@wendybanner888[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@doubleclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@atdmt[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@paperbanner[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@go.dynamic-tracking[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@12finder[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.zanox[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.mindshare[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tribalfusion[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@atwola[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@trafficmp[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adserver.adtechus[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@webmasterplan[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@overture[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking[2].txt

Trojan.Agent/Gen
HKU\S-1-5-21-2738817857-1055559545-666353811-1006\SOFTWARE\XML

Trojan.Unclassified/MSXML71
C:\DOKUMENTE UND EINSTELLUNGEN\FEGE\LOKALE EINSTELLUNGEN\TEMP\MSXML71.DLL

Trojan.Dropper/Win-NV
C:\WINDOWS\MSB.EXE


dankeschön noch weitere arbeiten vornehmen?

Alt 13.09.2009, 20:03   #13
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Ich bin gerade am Grübeln, ob wir nicht doch lieber bereinigen. Denn das Zeitraubende, sprich das Scannen kommt ja sowieso auf dich zu, für den Fall, dass du sicherst. Das ist jetzt deine Entscheidung. Sichern kannst du jetzt erstmal. Denn als nächstes kommt ComboFix und da besteht immer die Möglichkeit, dass etwas schiefgeht.

Hier schonmal die Ergebnisse von Virustotal: Rustock, Renos, Bredolab, NaviPromo. Du hast so gut wie nichts ausgelassen.

Virustotal. MD5: 752bf69409f14231c3beb877bddc2094 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.GW SHeur2.BDDI
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 33eb325dcf2d41bedaf11be5d48d7ce7 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JI Trojan.Click.27629
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 25c2c8ebb30b6545f47be8732b77ce69 Suspect-29!25C2C8EBB30B a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JI
Virustotal. MD5: 020c2205f4cfc85ebb914305983c1127 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JM Suspicious File
Virustotal. MD5: 732634672572b3cf9b2982c5b51dd934 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JM Suspicious File
Virustotal. MD5: 5cf522c2ff58ec5286149fcd9ffee3a1 Win32/TrojanDownloader.FakeAlert.AIX TrojanDownloader:Win32/Renos.JM Trojan.Packed.458
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 1bddf3e39368961719814f251a426a3f Trojan.Dropper.Gen Trojan-Downloader:W32/Bredolab.gen!C a variant of Win32/Kryptik.ALK
Virustotal. MD5: 2a3602131840edd6147af42fe68bb36b Heuristic.BehavesLike.Win32.Rootkit.B Backdoor:WinNT/Rustock.gen!B TR/Crypt.ZPACK.Gen
Virustotal. MD5: 7a3c560b6a15d4ca0889a58d05fe1ca1 SHeur2.BDEI (Suspicious) - DNAScan Trojan.Botnetlog.11
Virustotal. MD5: 2424168a2a62d8a9f72ef97bd77f9224 WebMediaPlayer Heuristic.LooksLike.Win32.NaviPromo.H a variant of Win32/Adware.Agent.NMZ

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.09.2009, 20:12   #14
bong91
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



wie verstehe ich ich habe nichts ausgelassen soll ich da die ironie raushören dass ich mir einfach so gut wie alles eingefangen habe oder habe ich schon einiges bereinigt... hoffe das zweite glaube aber das erste
naja also wenn es dir nichts ausmacht würde ich gerne bereinigen dann bin ich mir sicher dass erst mal alles weg ist habe bis jetzt noch nie so genau gearbeitet sonst immer virenscan durchlaufen lassen und dachte alles wäre i.o. scheint wohl nicht so...

ich frage mich gerade nur wo ich mir die ganzen pferde eingefangen habe? kann soetwas auch bei legalen downloads passieren?

Alt 13.09.2009, 20:26   #15
john.doe
 
Trojaner schickt mich auf komische Seiten - Standard

Trojaner schickt mich auf komische Seiten



Zitat:
soll ich da die ironie raushören dass ich mir einfach so gut wie alles eingefangen habe

Zitat:
sonst immer virenscan durchlaufen lassen
Ja, das denken viele, ich habe eine Antivirenprogramm, ich bin doch sicher. Völlig falsch.

Schau doch nur, wie wenig von den Antivirenprogrammen die neuen Schädlinge überhaupt erkennen. 3 von 41, 6 von 41. Ein Antivirenprogramm ist kein Schutz. Klicke auf den dritten Link in meiner Signatur, lies alles und lerne es auswendig.
Zitat:
kann soetwas auch bei legalen downloads passieren?
Grundsätzlich schon, aber recht unwahrscheinlich. Die meisten infizieren sich, weil sie sich Keygens, Cracks und Patches laden oder Software mit P2P-Programmen laden.

Wenn du deine Daten gesichert hast, dann weiter mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Trojaner schickt mich auf komische Seiten
0xc0000034, c:\windows, driver, ergebnis, failed, immer wieder, klicke, link, logfile, nicht mehr, not, object, problem, programme, registry, registry key, scan, seite, seiten, services, system32, trojaner, version, virenscanner, virus, weitergeleitet, windows



Ähnliche Themen: Trojaner schickt mich auf komische Seiten


  1. Firefox startet automatisch und schickt mich auf eine unbekannte Internetseite.
    Log-Analyse und Auswertung - 20.08.2015 (8)
  2. Weiterleitungen auf komische Seiten und Werbung
    Plagegeister aller Art und deren Bekämpfung - 24.05.2015 (3)
  3. Win32/Ponmocup.AA Trojaner - Google leitet mich auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (9)
  4. Google schickt mich auf Seite dollarad
    Plagegeister aller Art und deren Bekämpfung - 11.02.2012 (3)
  5. Browser starten nicht mehr, google schickt mich auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 08.02.2012 (21)
  6. Firefox Home Page schickt mich zu browsersafesearch.com
    Log-Analyse und Auswertung - 17.12.2011 (33)
  7. Internet Explorer leitet mich immer auf andere Seiten um, Trojaner gefunden
    Log-Analyse und Auswertung - 06.12.2011 (10)
  8. Trojaner lotst mich auf andere Seiten.
    Plagegeister aller Art und deren Bekämpfung - 02.12.2011 (16)
  9. Google schickt mich zu falschen Seiten, Facebook Virus?
    Plagegeister aller Art und deren Bekämpfung - 10.11.2011 (3)
  10. Google verlinkt mich zu trojaner Seiten
    Plagegeister aller Art und deren Bekämpfung - 02.07.2011 (10)
  11. google chrome schickt mich auf andere seiten !
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (1)
  12. Google bringt mich immer auf falsche Seiten...habe ich einen Trojaner?
    Log-Analyse und Auswertung - 02.05.2011 (27)
  13. google wird auf komische seiten umgeleitet
    Log-Analyse und Auswertung - 28.05.2010 (3)
  14. Google schickt mich auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 09.03.2010 (3)
  15. Google schickt mich auf falsche Internetseiten - Anti-Virus Programme finden nichts
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (4)
  16. Träge Internetverbindung und Firefox schickt mich irgendwo hin
    Log-Analyse und Auswertung - 27.10.2008 (12)
  17. Teilweise Weiterleitung Auf Komische Seiten
    Log-Analyse und Auswertung - 07.09.2007 (12)

Zum Thema Trojaner schickt mich auf komische Seiten - Hallo jungs, ich hab das Problem dass mich irgend ein Virus wenn ich einen link anklicke auf komische Seiten wie z.b. http://thefeedyard.com/?do=search&q=DownloadLatest%20Version weiterleitet. als ich das bemerkt habe, hab ich - Trojaner schickt mich auf komische Seiten...
Archiv
Du betrachtest: Trojaner schickt mich auf komische Seiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.