Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Links werden umgeleitet

Links werden umgeleitet


Log-Analyse und Auswertung: Links werden umgeleitet

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.10.2009, 20:33   #1
Kristo Novo
 
Links werden umgeleitet - Standard

Links werden umgeleitet


zu 1.
avenger\backup.zip > gelöscht > papierkorb geleert

zu 2.
nach dem scan von Malwarebytes Anti-Malware und der entfernung der funde ist der "worst case" eingetreten.
windows ließ sich seitdem nicht mehr starten. der bootvorgang lief bis zum windows ladebalken - danach kam immer nur ein blue screen.

daraufhin habe ich windows ein zweites mal installiert um zumindest mal ein laufendes system zu haben und mit der anleitung weiter gemacht.

Malwarebytes Anti-Malware log
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2927
Windows 5.1.2600 Service Pack 3

09.10.2009 01:37:15
mbam-log-2009-10-09 (01-37-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|N:\|)
Durchsuchte Objekte: 231953
Laufzeit: 25 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 4
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
F:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{544735c9-ae13-4721-9de7-d529be675038} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antiviruspro_2010 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AdobeAlerter (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\BN (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D1 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D2 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D3 (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Trojan.Ambler) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: f:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
F:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.
F:\Programme\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\data (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Username\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AntivirusPro_2010.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AVEngn.dll (Adware.XPSecurityCenter) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\wscui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\lizkavd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPEFYHUD\Install[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
F:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
F:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\AntivirusPro_2010.cfg (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\htmlayout.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\pthreadVC2.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\data\daily.cvd (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Programme\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Username\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Username\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ck.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\idm.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\inform.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\nk.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\q1.dat (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\system32\SKYNETlog.dat (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

zu 3.
(ab hier eben mit neu aufgesetztem windows - allerdings ohne die systemfestplatte vorher zu formatieren)

SUPERAntiSpyware Scan Log

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/09/2009 at 08:27 PM

Application Version : 4.29.1002

Core Rules Database Version : 4157
Trace Rules Database Version: 2084

Scan type       : Complete Scan
Total Scan Time : 00:23:53

Memory items scanned      : 409
Memory threats detected   : 0
Registry items scanned    : 3169
Registry threats detected : 0
File items scanned        : 24293
File threats detected     : 121

Adware.Tracking Cookie
	F:\Dokumente und Einstellungen\Username\Cookies\Username@atdmt[1].txt
	F:\Dokumente und Einstellungen\Username\Cookies\Username@adfarm1.adition[2].txt
	F:\Dokumente und Einstellungen\Username\Cookies\Username@msnportal.112.2o7[1].txt
	F:\Dokumente und Einstellungen\Username\Cookies\Username@doubleclick[2].txt

Trojan.Agent/Gen-FakeAlert[Calc]
	D:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DLL
	D:\DOKUMENTE UND EINSTELLUNGEN\Username\NTUSER.DLL
	D:\DOKUMENTE UND EINSTELLUNGEN\Username\STARTMENü\PROGRAMME\AUTOSTART\SCANDISK.DLL
	D:\SANDBOX\Username\DEFAULTBOX\DRIVE\F\WINDOWS\SYSTEM32\CALC.DLL
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000996.DLL
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000997.DLL
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000998.DLL
	D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\NTUSER.DLL
	D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\STARTMENü\PROGRAMME\AUTOSTART\SCANDISK.DLL

Trojan.Dropper/Gen-NV
	D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\SERES.EXE
	D:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\ANWENDUNGSDATEN\SVCST.EXE

Rootkit.Agent/Gen-Skynet
	D:\WINDOWS\TEMP\SKYNETIUJXQCBULI.TMP
	D:\WINDOWS\TEMP\SKYNETVCWKIXXUVV.TMP
	D:\WINDOWS\TEMP\SKYNETUOFJQKOYWG.TMP
	D:\WINDOWS\TEMP\SKYNETSJAXIGOGLQ.TMP
	D:\WINDOWS\TEMP\SKYNETFYFRPXTKVN.TMP
	D:\WINDOWS\TEMP\SKYNETCAGIENXORS.TMP
	D:\WINDOWS\TEMP\SKYNETLXKIDBNSSA.TMP
	D:\WINDOWS\TEMP\SKYNETLXMPCFDLQA.TMP
	D:\WINDOWS\TEMP\SKYNETWACEUEQNOT.TMP
	D:\WINDOWS\TEMP\SKYNETOTUCYSVMBR.TMP
	D:\WINDOWS\TEMP\SKYNETKNCGPXRCTX.TMP
	D:\WINDOWS\TEMP\SKYNETFEFVQHBTRH.TMP
	D:\WINDOWS\TEMP\SKYNETPSWKXQDTAE.TMP
	D:\WINDOWS\TEMP\SKYNETVUHSCTHVJC.TMP
	D:\WINDOWS\TEMP\SKYNETQDJXBUYRFU.TMP
	D:\WINDOWS\TEMP\SKYNETLIOXUAMMWM.TMP
	D:\WINDOWS\TEMP\SKYNETSMYMXTXQOW.TMP
	D:\WINDOWS\TEMP\SKYNETUOBNHYIPJV.TMP
	D:\WINDOWS\TEMP\SKYNETOXIVNVNDNX.TMP
	D:\WINDOWS\TEMP\SKYNETXJKREWPAOK.TMP
	D:\WINDOWS\TEMP\SKYNETFMXHDCRQBL.TMP
	D:\WINDOWS\TEMP\SKYNETBDRQCGOSWM.TMP
	D:\WINDOWS\TEMP\SKYNETBPHWROSBCO.TMP
	D:\WINDOWS\TEMP\SKYNETDGCCCGDLGP.TMP
	D:\WINDOWS\TEMP\SKYNETYYCDBDEAOH.TMP
	D:\WINDOWS\TEMP\SKYNETPXUTGOCOAJ.TMP
	D:\WINDOWS\TEMP\SKYNETCWBDUWIIRT.TMP
	D:\WINDOWS\TEMP\SKYNETTFYXBMSLOO.TMP
	D:\WINDOWS\TEMP\SKYNETIOMBAPOBDF.TMP
	D:\WINDOWS\TEMP\SKYNETNSHMMRDLLQ.TMP
	D:\WINDOWS\TEMP\SKYNETCKNHHMOYJA.TMP
	D:\WINDOWS\TEMP\SKYNETRJLQSWXFCX.TMP
	D:\WINDOWS\TEMP\SKYNETMDIGWKCPRD.TMP
	D:\WINDOWS\TEMP\SKYNETIJEWTITEDK.TMP
	D:\WINDOWS\TEMP\SKYNETLUIYFKGYMQ.TMP
	D:\WINDOWS\TEMP\SKYNETJOORXPDDGB.TMP
	D:\WINDOWS\TEMP\SKYNETCWRFFDENON.TMP
	D:\WINDOWS\TEMP\SKYNETHOSTRQMRPX.TMP
	D:\WINDOWS\TEMP\SKYNETDYTFGOIFNB.TMP
	D:\WINDOWS\TEMP\SKYNETEDWWJGWXRG.TMP
	D:\WINDOWS\TEMP\SKYNETUHENBFGFBQ.TMP
	D:\WINDOWS\TEMP\SKYNETBBGBMCPHII.TMP
	D:\WINDOWS\TEMP\SKYNETDWTCEJPSNA.TMP
	D:\WINDOWS\TEMP\SKYNETYEYFCIMNTR.TMP
	D:\WINDOWS\TEMP\SKYNETKRJYEBYXER.TMP
	D:\WINDOWS\TEMP\SKYNETQOSIRQOIWW.TMP
	D:\WINDOWS\TEMP\SKYNETEXYIJMHYAO.TMP
	D:\WINDOWS\TEMP\SKYNETFLILHTLPFA.TMP
	D:\WINDOWS\TEMP\SKYNETRYIXJDEDUW.TMP
	D:\WINDOWS\TEMP\SKYNETEPMXFPLQSW.TMP
	D:\WINDOWS\TEMP\SKYNETCDXYVGVPUY.TMP
	D:\WINDOWS\TEMP\SKYNETOARNMDETNW.TMP
	D:\WINDOWS\TEMP\SKYNETFAWIPOUWBD.TMP
	D:\WINDOWS\TEMP\SKYNETRXYAVSTADN.TMP
	D:\WINDOWS\TEMP\SKYNETCMXNQWMIRX.TMP
	D:\WINDOWS\TEMP\SKYNETVMCHORTCYR.TMP
	D:\WINDOWS\TEMP\SKYNETUEJBOWNFLA.TMP
	D:\WINDOWS\TEMP\SKYNETXTRBWKPCFU.TMP
	D:\WINDOWS\TEMP\SKYNETWWCFLABISF.TMP
	D:\WINDOWS\TEMP\SKYNETUMXGNBBIQF.TMP
	D:\WINDOWS\TEMP\SKYNETFVISYCIERW.TMP
	D:\WINDOWS\TEMP\SKYNETJEEKTRVIFT.TMP
	D:\WINDOWS\TEMP\SKYNETPEXEJQIHQV.TMP
	D:\WINDOWS\TEMP\SKYNETDQRVCWLNCL.TMP
	D:\WINDOWS\TEMP\SKYNETLBXRTOVSMP.TMP
	D:\WINDOWS\TEMP\SKYNETNHQPCBQPQU.TMP
	D:\WINDOWS\TEMP\SKYNETWPAXSUYDOH.TMP
	D:\WINDOWS\TEMP\SKYNETVDIOYWYPYS.TMP
	D:\WINDOWS\TEMP\SKYNETONCINPDQTE.TMP
	D:\WINDOWS\TEMP\SKYNETFQSJFTXPWQ.TMP
	D:\WINDOWS\TEMP\SKYNETSPQPANFFNL.TMP
	D:\WINDOWS\TEMP\SKYNETWRGSSEQIIN.TMP
	D:\WINDOWS\TEMP\SKYNETMNBBUTOWKE.TMP
	D:\WINDOWS\TEMP\SKYNETYCVUMSWKFJ.TMP
	D:\WINDOWS\TEMP\SKYNETFQWFKQFLEX.TMP
	D:\WINDOWS\TEMP\SKYNETCWIPJUXTOB.TMP
	D:\WINDOWS\TEMP\SKYNETUXXKPUOIPH.TMP
	D:\WINDOWS\TEMP\SKYNETLPVRHPQDOH.TMP
	D:\WINDOWS\TEMP\SKYNETTRQUFPXXNS.TMP
	D:\WINDOWS\TEMP\SKYNETUBFUYGBDWM.TMP
	D:\WINDOWS\TEMP\SKYNETVCDBDWOROE.TMP

Trojan.Agent/Gen-Cryptor
	D:\WINDOWS\TEMP\SKYNETYBBEYONJPO.TMP
	D:\WINDOWS\TEMP\SKYNETYULRPDHNOS.TMP
	D:\WINDOWS\TEMP\SKYNETRPXJLLIKMH.TMP
	D:\WINDOWS\TEMP\SKYNETPBUYPJMSAB.TMP
	D:\WINDOWS\TEMP\SKYNETGBEQVNSECY.TMP
	D:\WINDOWS\TEMP\SKYNETTTQOBECIFR.TMP
	D:\WINDOWS\TEMP\SKYNETHVILFPYNDM.TMP
	D:\WINDOWS\TEMP\SKYNETNLVRKBKGPS.TMP
	D:\WINDOWS\TEMP\SKYNETXNSTSIYQXN.TMP
	D:\WINDOWS\TEMP\SKYNETBCFHSLXNSV.TMP
	D:\WINDOWS\TEMP\SKYNETRSJVIXWXQL.TMP
	D:\WINDOWS\TEMP\SKYNETEHSRIXECCO.TMP
	D:\WINDOWS\TEMP\SKYNETMCCBJVXYLH.TMP
	D:\WINDOWS\TEMP\SKYNETMBUAIRMFJV.TMP
	D:\WINDOWS\TEMP\SKYNETGXCIOFBCOA.TMP
	D:\WINDOWS\TEMP\SKYNETPVXBRNFYYC.TMP
	D:\WINDOWS\TEMP\SKYNETQJKNKSPWXR.TMP
	D:\WINDOWS\TEMP\SKYNETIKATRJXNEY.TMP
	D:\WINDOWS\TEMP\SKYNETCVRLYPISNW.TMP
	D:\WINDOWS\TEMP\SKYNETXKFMEFCHQR.TMP
	D:\WINDOWS\TEMP\SKYNETNOGFYULTFK.TMP
	D:\WINDOWS\TEMP\SKYNETCQQKPOKCCH.TMP
	D:\WINDOWS\TEMP\SKYNETVSSGJNWUAP.TMP
	D:\WINDOWS\TEMP\SKYNETWIWORPGXNE.TMP
	D:\WINDOWS\TEMP\SKYNETPDFNDTISIT.TMP

zu 4.
schritte ausgeführt dann neustart


zu 5.
Trend Micro HijackThis-Logfile

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:15:56, on 09.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgwdsvc.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgtray.exe
F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
F:\Programme\SYSTEM\SUPERAntiSpyware\SUPERAntiSpyware.exe
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgemc.exe
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgrsx.exe
F:\PROGRA~1\SYSTEM\AVGFRE~1\avgnsx.exe
F:\Programme\SYSTEM\AVG Free\avgcsrvx.exe
F:\Programme\SYSTEM\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - F:\Programme\SYSTEM\AVG Free\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - F:\Programme\SYSTEM\AVG Free\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYSTEM\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [AVG8_TRAY] F:\PROGRA~1\SYSTEM\AVGFRE~1\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programme\SYSTEM\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A19DDEC9-9AE8-4813-B492-07DFEE766C88}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - F:\Programme\SYSTEM\AVG Free\avgpp.dll
O20 - Winlogon Notify: !SASWinLogon - F:\Programme\SYSTEM\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - F:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\SYSTEM\AVGFRE~1\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\SYSTEM\AVGFRE~1\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\SYSTEM\Sygate Personal Firewall\smc.exe

--
End of file - 4322 bytes

filelist.bat

(Siehe Anhang)

Alt 09.10.2009, 23:23   #2
kira
/// Helfer-Team
 
Links werden umgeleitet - Standard

Links werden umgeleitet


Zitat:
Zitat von Kristo Novo Beitrag anzeigen
allerdings ohne die systemfestplatte vorher zu formatieren)
hatte ich schon in diese Situation mein System komplett neu aufgesetzt

- Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
- Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans
__________________
Alt 10.10.2009, 00:10   #3
Kristo Novo
 
Links werden umgeleitet - Standard

Links werden umgeleitet


Zitat:
Vor dem Scan Einstellungen im Internet Explorer
soll ich die einstellungen im internet explorer auch dann machen, wenn ich über firefox scanne?
__________________
Alt 10.10.2009, 02:10   #4
Kristo Novo
 
Links werden umgeleitet - Standard

Links werden umgeleitet


Kaspersky Online wird z.Zt. überarbeitet.
werde also morgen weiter machen.

hier mal noch ein SUPERAntiSpyware Scan Log vom "alten" windows
(denn das lässt sich nach den scans und entfernungen mit der neuen windows installation wieder starten)

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/10/2009 at 02:46 AM

Application Version : 4.29.1002

Core Rules Database Version : 4157
Trace Rules Database Version: 2084

Scan type       : Complete Scan
Total Scan Time : 01:30:09

Memory items scanned      : 431
Memory threats detected   : 0
Registry items scanned    : 4606
Registry threats detected : 22
File items scanned        : 24209
File threats detected     : 10

Rogue.XP AntiSpyware 2009
	HKU\.DEFAULT\Control Panel\don't load#wscui.cpl [ No ]
	HKU\S-1-5-18\Control Panel\don't load#wscui.cpl [ No ]

Trojan.Agent/Gen-AlerterALG
	HKU\.DEFAULT\Software\S45
	HKU\S-1-5-18\Software\S45

Rootkit.Agent/Gen
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#start
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#type
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#group
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB#imagepath
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main#aid
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main#sid
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\delete
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\injector
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\injector#*
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\main\tasks
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETrk.sys
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETcmd.dll
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETlog.dat
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNETwsp.dll
	HKLM\System\CURRENTCONTROLSET\SERVICES\SKYNETTTKOSBPB\modules#SKYNET.dat

Rootkit.Agent/Gen-Skynet
	F:\WINDOWS\SYSTEM32\SKYNETEVXTNTVP.DAT
	F:\WINDOWS\SYSTEM32\SKYNETFOEXNWYT.DAT
	F:\WINDOWS\SYSTEM32\SKYNETXWSAKAXW.DAT
	F:\WINDOWS\SYSTEM32\SKYNETBWQVMPCB.DLL
	F:\WINDOWS\SYSTEM32\SKYNETETLIRNVP.DLL
	F:\WINDOWS\SYSTEM32\SKYNETVJBBOUOI.DLL
	F:\WINDOWS\SYSTEM32\SKYNETXTETLWXV.DLL

Trojan.Agent/Gen-FakeAlert[Calc]
	F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0000999.DLL
	F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0001000.DLL
	F:\SYSTEM VOLUME INFORMATION\_RESTORE{642A4F1F-8D50-451A-8647-6D6215661AF2}\RP6\A0001001.DLL

Alt 10.10.2009, 20:35   #5
kira
/// Helfer-Team
 
Links werden umgeleitet - Standard

Links werden umgeleitet


Zitat:
Zitat von Kristo Novo Beitrag anzeigen
soll ich die einstellungen im internet explorer auch dann machen, wenn ich über firefox scanne?
bitte nutze den IE!

ausserdem erneut ein Scan mit Gmer (laut Anleitung)


Antwort

Themen zu Links werden umgeleitet
adobe, antivir, antivir guard, askbar, avira, bonjour, browser, desktop, dll, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, log files, logfile, nvidia, opera, problem, programme, rundll, sdra64.exe, software, system, userinit.exe, windows, windows xp


« logfile. | Internet Explorer öffnet sich von alleine »


Ähnliche Themen: Links werden umgeleitet


  1. Googlelinks/Links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 20.06.2013 (52)
  2. Googlelinks/Links werden umgeleitet
    Alles rund um Windows - 26.05.2013 (8)
  3. Google-Links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (22)
  4. google links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 12.02.2012 (6)
  5. Dringend! Google Links werden umgeleitet - OTL & GMER werden von Virus beendet
    Plagegeister aller Art und deren Bekämpfung - 25.07.2011 (1)
  6. google links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 17.03.2011 (18)
  7. Links von Google werden ständig umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  8. Google Suchergebnisse und Links werden umgeleitet
    Log-Analyse und Auswertung - 24.09.2010 (16)
  9. google links werden falsch umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (7)
  10. links werden umgeleitet und werbe-links öffnen sich von allein (firefox)
    Log-Analyse und Auswertung - 08.04.2010 (18)
  11. firefox: links werden umgeleitet und werbe-links öffnen sich von allein
    Log-Analyse und Auswertung - 30.03.2010 (11)
  12. Browser - Links werden auf Werbeseiten umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (9)
  13. Google Links werden umgeleitet
    Log-Analyse und Auswertung - 14.05.2009 (0)
  14. Links in Google werden umgeleitet
    Log-Analyse und Auswertung - 26.12.2008 (1)
  15. Google und Yahoo links werden umgeleitet
    Log-Analyse und Auswertung - 13.12.2008 (1)
  16. Google Links werden umgeleitet
    Log-Analyse und Auswertung - 09.09.2008 (5)
  17. Google links werden umgeleitet
    Log-Analyse und Auswertung - 02.10.2006 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Links werden umgeleitet - zu 1. avenger\backup.zip > gelöscht > papierkorb geleert zu 2. nach dem scan von Malwarebytes Anti-Malware und der entfernung der funde ist der "worst case" eingetreten. windows ließ sich seitdem - Links werden umgeleitet...
Archiv
Du betrachtest: Links werden umgeleitet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132