Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Seitenaufrufe aus Google werden umgeleitet

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.03.2010, 12:03   #1
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Hallo,
ich habe seit einigen Tagen Probleme und vermutet, dass ich einen Trojaner auf dem PC habe. Folgendes tritt auf:

Seitenaufrufe aus Suchergebnissen von Google werden umgeleitet.
(z.B. auf h**p://www.upliftsearch.com/?keyword=kaspersky&aid=1893&cid=1694&subid=35177). Nach dem zweiten oder dritten Aufruf des Links aus dem Suchergebnis wird die richtige Seite aufgerufen.

Teilweise sind Internetseiten nicht aufrufbar. Der betroffene PC hängt an einem PC mit AVM KEN. Dann meldet sich der Proxy von KEN.
(Während des Versuches, die Anfrage HET h**p://w*w.kaspersky.com/de/ HTTP/1.1 zu verarbeiten, trat der folgende Fehler auf: Ein Teil der HTTP-Anfrage ist ungültig).

Avira AntiVir lässt sich nicht installieren (Setup wird entpackt, startet aber nicht). Antivir wurde durch Nutzer vorher deinstalliert.
Firefox-setup startet ebenfalls nicht.

Im Verzeichnis C:\Dokumente und Einstellungen\***\Anwendungsdaten lag eine b000.exe, welche über die Registry bei jedem Systemstart geladen wurde. Dies wurde über msconfig ausgeschaltet und die Datei umbenannt.

Folgendes wurde durchgeführt:

Scan mit Kaspersky Virus Removal Tool.
Es wurden Trojaner gefunden. Hier der Report:

Code:
ATTFilter
Autoscan: completed 21 hours ago   (events: 29, objects: 121278, time: 00:34:42)	
05.03.2010 13:38:54	Task started			
05.03.2010 13:40:39	Processing error	C:\Dokumente und Einstellungen\Uwe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst	Read error	
05.03.2010 13:40:41	Detected: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll		
05.03.2010 13:40:42	Untreated: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll	Postponed	
05.03.2010 13:41:40	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0000		
05.03.2010 13:41:40	Untreated: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0000	Postponed	
05.03.2010 13:41:40	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0001		
05.03.2010 13:42:32	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0000		
05.03.2010 13:42:32	Untreated: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0000	Postponed	
05.03.2010 13:42:32	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0001		
05.03.2010 13:42:46	Detected: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll		
05.03.2010 13:42:46	Untreated: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll	Postponed	
05.03.2010 13:54:32	Detected: HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack		
05.03.2010 13:54:32	Untreated: HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack	Postponed	
05.03.2010 13:54:32	Detected: HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack		
05.03.2010 14:12:15	Detected: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll		
05.03.2010 14:13:04	Deleted: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\26445.dll		
05.03.2010 14:13:04	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0000		
05.03.2010 14:13:20	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf/data0001		
05.03.2010 14:13:20	Deleted: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CO2BZV2\geticon[1].pdf		
05.03.2010 14:13:20	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0000		
05.03.2010 14:13:23	Detected: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf/data0001		
05.03.2010 14:13:23	Deleted: HEUR:Exploit.Script.Generic	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7P0MUSB8\geticon[1].pdf		
05.03.2010 14:13:23	Detected: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll		
05.03.2010 14:13:28	Deleted: Trojan.Win32.Agent.clrv	C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8Y2HAJXI\hide[1].dll		
05.03.2010 14:13:30	Detected: HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack		
05.03.2010 14:13:36	Detected: HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe/ASPack		
05.03.2010 14:13:36	Deleted: HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP550\A0029608.exe		
05.03.2010 14:13:37	Task completed
         
CCleaner lt. Anleitung durchlaufen lassen.

Malwarebytes-Anti-Malware installiert. Kann aber keinen Scan durchführen. Programm beendet sich nach ca. 5sec. Umbennenung der .exe in .com brachte keinen Erfolg.

Installation von RSIT.
Nachfolgend die Log-Files
Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2010-03-06 11:00:49

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A80000000002}
AVM FRITZ!-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!\Uninst.isu -cC:\Programme\FRITZ!\UNINST.DLL
AVM KEN! Upgrade-->C:\WINDOWS\ISUN0407.EXE -fC:\PROGRA~1\KEN!\Uninst.isu -cC:\PROGRA~1\KEN!\Uninst.dll
Borland Database Engine-->MsiExec.exe /X{55591248-F855-48D2-AEA7-C1CB960A2813}
Brother MFL-Pro Suite MFC-5490CN-->"C:\Programme\InstallShield Installation Information\{F5294001-AACD-4DD4-B228-CE44AD4C0F87}\Setup.exe"  -runfromtemp -l0x0007 UNINSTALL Reg=BH9_C4 -removeonly
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Firebird 1.5.2.4731-->C:\Programme\Firebird\Firebird_1_5\unins000.exe
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
LEFRO - Kalkulationssystem + Preisbücher-->C:\WINDOWS\unin0407.exe -f"C:\Programme\S + S Qualitätsfenster\LEFRO - Kalkulationssystem\DeIsL1.isu"  -c"C:\Programme\S + S Qualitätsfenster\LEFRO - Kalkulationssystem\_ISREG32.DLL"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft SQL Server Native Client-->MsiExec.exe /I{1D1D8ADC-BF08-4E61-9393-5FA305B16864}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA nView Desktop Manager-->C:\Programme\NVIDIA Corporation\nView\nViewSetup.exe -uninstall
OBUK-Tools 2006-->MsiExec.exe /I{187AAEF7-BD47-4FDA-B55A-71BC86BE082E}
PaperPort Image Printer-->MsiExec.exe /X{2BC2781A-F7F6-452E-95EB-018A522F1B2C}
pdf24-->"C:\Programme\pdf24\unins000.exe"
Planung und Ausschreibung 2008 - KBE-->C:\PROGRA~1\profine\KBE\PLANUN~1\UNWISE.EXE C:\PROGRA~1\profine\KBE\PLANUN~1\INSTALL.LOG
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
ScanSoft PaperPort 11-->MsiExec.exe /I{7A8FF745-BBC5-482B-88E4-18D3178249A9}
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe
TeamViewer 5-->C:\Programme\TeamViewer\Version5\uninstall.exe
Tiemann Sales-->MsiExec.exe /X{7DD47CF2-52E7-43FD-B579-9208CD03909B}
VEKA 2005  - Planung und Auschreibung -  D 4.1 A-->MsiExec.exe /X{AB36C5B5-BEC7-4B1A-A706-B3FBA5D66936}
VEKA CD 4.1 A Update 1-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG
VEKA CD 4.1 A Update 2-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG
VEKA CD 4.1 A Update 3-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG
VEKA CD 4.1 A Update 4-->C:\PROGRA~1\VEKA20~1\\UNWISE.EXE C:\PROGRA~1\VEKA20~1\\INSTALL.LOG
VEKA CD-ROM 2008 Version 5.2 K-->C:\PROGRA~1\VEKA_D~1\UNWISE.EXE C:\PROGRA~1\VEKA_D~1\INSTALL.LOG
WIBU-KEY Setup (WIBU-KEY Remove)-->C:\Programme\WIBUKEY\Setup\Setup32.exe /R:{00060000-0000-1004-8002-0000C06B5161}
WilKal-->c:\WilKal\unins000.exe
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_87B606860B720724BEB5DCEB69E8628A61DE0A7E\amdk8.inf
Winkhaus AV-WIN 3.3-->C:\Programme\Winkhaus\AV-WIN\unins000.exe

======Security center information======

AV: Avira AntiVir PersonalEdition (disabled)

======System event log======

Computer Name: *****
Event Code: 29
Message: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb
der nächsten 29 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Record Number: 40971
Source Name: W32Time
Time Written: 20100119065023.000000+060
Event Type: Fehler
User: 

Computer Name: *****
Event Code: 17
Message: Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer
"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30 Minuten
wiederholt.
Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)

Record Number: 40970
Source Name: W32Time
Time Written: 20100119065023.000000+060
Event Type: Fehler
User: 

Computer Name: *****
Event Code: 20
Message: Druckertreiber HP Officejet Pro K5400 Series für Windows NT x86 Version-3 wurde hinzugefügt oder aktualisiert. Dateien:- UNIDRV.DLL, UNIDRVUI.DLL, hpwk5403.GPD, UNIDRV.HLP, hpwhk540.cfg, hpcdmc32.dll, hpbcfgre.dll, hpwk540a.ini, hpzst4sa.dll, hpwk5403.xml, hpzsc4sa.dtd, hpzui4sa.dll, hpz3r4sa.dll, hpzpr4sa.dll, hpzsm4sa.gpd, hpz3m4sa.gpd, hpzev4sa.dll, hpzhl4sa.cab, STDNAMES.GPD, hpfie4sa.dll, hpfig4sa.dll, hpfrs4sa.dll, UNIRES.DLL.

Record Number: 40969
Source Name: Print
Time Written: 20100119064632.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: *****
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet".

Record Number: 40968
Source Name: Service Control Manager
Time Written: 20100119063619.000000+060
Event Type: Informationen
User: 

Computer Name: *****
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 40967
Source Name: Service Control Manager
Time Written: 20100119063535.000000+060
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: *****
Event Code: 999
Message: WIBU-KEY Dienst Trace-Testausgabe: Init Thread = 0FC4
.

Record Number: 3265
Source Name: WIBU-KEY Server
Time Written: 20090310144717.000000+060
Event Type: Informationen
User: 

Computer Name: *****
Event Code: 4096
Message: 
Record Number: 3264
Source Name: Avira AntiVir
Time Written: 20090310144049.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: *****
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 3263
Source Name: SecurityCenter
Time Written: 20090310144047.000000+060
Event Type: Informationen
User: 

Computer Name: *****
Event Code: 999
Message: WIBU-KEY Dienst Trace-Testausgabe: Init Thread = 00E4
.

Record Number: 3262
Source Name: WIBU-KEY Server
Time Written: 20090309140153.000000+060
Event Type: Informationen
User: 

Computer Name: *****
Event Code: 999
Message: WIBU-KEY Dienst Trace-Testausgabe: Init Thread = 0D3C
.

Record Number: 3261
Source Name: WIBU-KEY Server
Time Written: 20090309140148.000000+060
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\Programme\Business Objects\Common\3.5\bin\NOTES\;C:\Programme\Business Objects\Common\3.5\bin\NOTES\DATA\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 79 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
         
und die log.txt

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2010-03-06 11:00:37
Microsoft Windows XP Professional Service Pack 3
System drive C: has 16 GB (63%) free of 25 GB
Total RAM: 447 MB (31% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:45, on 06.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\pdf24\PDFBackend.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\TeamViewer\Version5\TeamViewer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\trend micro\Uwe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.168.115.1:3128/ken2000.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - h**p://w**.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WIBU-KEY Server (WKSVW32) - WIBU-SYSTEMS AG - C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe

--
End of file - 5899 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Google Software Updater.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-07-21 668656]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-01 16208384]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"KEN Taskbar Client"=C:\Programme\KEN!\kentbcli.exe [2006-04-20 258048]
"PDFPrint"=C:\Programme\pdf24\PDFBackend.exe [2008-01-31 134144]
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2006-10-25 210472]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2007-10-11 29984]
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2007-10-11 46368]
"PPort11reminder"=C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe [2007-08-31 328992]
"BrMfcWnd"=C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2008-04-11 1085440]
"ControlCenter3"=C:\Programme\Brother\ControlCenter3\brctrcen.exe [2007-12-21 86016]
"nwiz"=nwiz.exe /installquiet []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2010-01-11 110696]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2010-01-11 13666408]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-07-21 39408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Win32load]
C:\Dokumente und Einstellungen\***\Anwendungsdaten\b000.exe -lds []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\KEN!\kentbcli.exe"="C:\Programme\KEN!\kentbcli.exe:LocalSubNet:Enabled:AVM KEN! - kentbcli.exe"
"C:\Programme\KEN!\KICKMCLI.EXE"="C:\Programme\KEN!\KICKMCLI.EXE:LocalSubNet:Enabled:AVM KEN! - kickmcli.exe"
"C:\WINDOWS\system32\mmc.exe"="C:\WINDOWS\system32\mmc.exe:*:Disabled:Microsoft Management Console"
"C:\Programme\Brother\Brmfl08d\FAXRX.exe"="C:\Programme\Brother\Brmfl08d\FAXRX.exe:*:Enabled:FAXRX.EXE"
"C:\Programme\TeamViewer\Version5\TeamViewer.exe"="C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application"
"C:\Dokumente und Einstellungen\***\Anwendungsdaten\b000.exe"="C:\Dokumente und Einstellungen\***\Anwendungsdaten\b000.exe:*:Enabled:Win32load"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
shell\AutoRun\command - E:\unilux.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3beb464-285a-11df-a530-00138fd655e4}]
shell\AutoRun\command - P:\PortableApps\PStart.exe


======List of files/folders created in the last 1 months======

2010-03-06 11:00:38 ----D---- C:\Programme\trend micro
2010-03-06 11:00:37 ----D---- C:\rsit
2010-03-05 15:16:28 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2010-03-05 15:16:06 ----D---- C:\WINDOWS\system32\de
2010-03-05 15:16:05 ----D---- C:\WINDOWS\system32\bits
2010-03-05 15:01:46 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-05 14:56:32 ----D---- C:\WINDOWS\CSC
2010-03-05 14:53:20 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-05 14:53:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-05 14:42:34 ----D---- C:\WINDOWS\Prefetch
2010-03-05 14:38:51 ----N---- C:\WINDOWS\system32\msxml6r.dll
2010-03-05 14:38:51 ----N---- C:\WINDOWS\system32\msxml6.dll
2010-03-05 14:38:43 ----N---- C:\WINDOWS\system32\smtpapi.dll
2010-03-05 14:38:43 ----N---- C:\WINDOWS\system32\rwnh.dll
2010-03-05 14:38:43 ----N---- C:\WINDOWS\system32\comsdupd.exe
2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati3d1ag.dll
2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati2dvag.dll
2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati2dvaa.dll
2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\ati2cqag.dll
2010-03-05 14:38:41 ----N---- C:\WINDOWS\system32\aaclient.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3svc.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3msm.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3gpclnt.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dot3cfg.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dimsroam.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\dhcpqec.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\credssp.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\bitsprx4.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\azroles.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\ativvaxx.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\ativtmxx.dll
2010-03-05 14:38:40 ----N---- C:\WINDOWS\system32\ati3duag.dll
2010-03-05 14:38:40 ----A---- C:\WINDOWS\system32\dot3dlg.dll
2010-03-05 14:38:40 ----A---- C:\WINDOWS\system32\dot3api.dll
2010-03-05 14:38:40 ----A---- C:\WINDOWS\system32\dimsntfy.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\hsfcisp2.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapsvc.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapqec.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapphost.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eappgnui.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\eapp3hst.dll
2010-03-05 14:38:39 ----N---- C:\WINDOWS\system32\dot3ui.dll
2010-03-05 14:38:39 ----A---- C:\WINDOWS\system32\eappprxy.dll
2010-03-05 14:38:39 ----A---- C:\WINDOWS\system32\eappcfg.dll
2010-03-05 14:38:39 ----A---- C:\WINDOWS\system32\eapolqec.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mmcperf.exe
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mmcfxcommon.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mmcex.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\microsoft.managementconsole.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\mdmxsdk.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\l2gpstore.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kmsvc.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdpash.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdnepr.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdiultn.dll
2010-03-05 14:38:38 ----N---- C:\WINDOWS\system32\kbdbhc.dll
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\photometadatahandler.dll
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\napstat.exe
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\napmontr.dll
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\napipsec.dll
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\mtxparhd.dll
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\msshavmsg.dll
2010-03-05 14:38:37 ----N---- C:\WINDOWS\system32\mssha.dll
2010-03-05 14:38:37 ----A---- C:\WINDOWS\system32\onex.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slserv.exe
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slrundll.exe
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slgen.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slextspk.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\slcoinst.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\setupn.exe
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\s3gnb.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\rhttpaa.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\qcliprov.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\qagentrt.dll
2010-03-05 14:38:36 ----N---- C:\WINDOWS\system32\qagent.dll
2010-03-05 14:38:36 ----A---- C:\WINDOWS\system32\rasqec.dll
2010-03-05 14:38:36 ----A---- C:\WINDOWS\system32\qutil.dll
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\wmphoto.dll
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\wlanapi.dll
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\windowscodecsext.dll
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\windowscodecs.dll
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\tzchange.exe
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\tspkg.dll
2010-03-05 14:38:35 ----N---- C:\WINDOWS\system32\tsgqec.dll
2010-03-05 14:38:34 ----N---- C:\WINDOWS\slrundll.exe
2010-03-05 14:38:33 ----D---- C:\WINDOWS\l2schemas
2010-03-05 14:36:38 ----D---- C:\WINDOWS\ServicePackFiles
2010-03-05 14:34:32 ----A---- C:\WINDOWS\002875_.tmp
2010-03-05 14:32:56 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2010-03-05 13:37:35 ----D---- C:\Pgrgramme
2010-03-05 13:14:45 ----D---- C:\WINDOWS\pss
2010-03-01 08:50:51 ----SHD---- C:\WINDOWS\system32\lowsec
2010-03-01 08:50:17 ----A---- C:\U.exe
2010-02-15 07:13:46 ----SHD---- C:\Config.Msi
2010-02-15 07:13:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2010-02-15 07:13:00 ----D---- C:\Programme\NVIDIA Corporation
2010-02-15 07:12:02 ----A---- C:\WINDOWS\system32\OpenCL.dll
2010-02-15 07:12:01 ----A---- C:\WINDOWS\system32\nvcuvid.dll
2010-02-15 07:12:00 ----A---- C:\WINDOWS\system32\nvcuvenc.dll
2010-02-15 07:12:00 ----A---- C:\WINDOWS\system32\nvcuda.dll
2010-02-15 07:12:00 ----A---- C:\WINDOWS\system32\nvcompiler.dll
2010-02-15 07:11:54 ----D---- C:\NVIDIA
2010-02-15 07:02:25 ----D---- C:\Programme\SystemRequirementsLab
2010-02-12 12:54:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-02-12 12:37:41 ----D---- C:\Programme\RegCleaner
2010-02-12 12:16:08 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-12 12:10:26 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Uniblue
2010-02-08 07:40:34 ----D---- C:\Programme\MSECache

======List of files/folders modified in the last 1 months======

2010-03-06 11:00:38 ----RD---- C:\Programme
2010-03-06 10:49:49 ----SD---- C:\WINDOWS\Tasks
2010-03-05 15:16:27 ----D---- C:\WINDOWS\system32\drivers
2010-03-05 15:16:26 ----D---- C:\WINDOWS\system32\wbem
2010-03-05 15:16:26 ----D---- C:\WINDOWS\system32\Setup
2010-03-05 15:16:26 ----D---- C:\WINDOWS\system32
2010-03-05 15:16:26 ----D---- C:\WINDOWS\AppPatch
2010-03-05 15:16:24 ----RSD---- C:\WINDOWS\Fonts
2010-03-05 15:16:24 ----D---- C:\WINDOWS
2010-03-05 15:16:21 ----HD---- C:\WINDOWS\inf
2010-03-05 15:16:19 ----D---- C:\WINDOWS\WinSxS
2010-03-05 15:16:18 ----D---- C:\Programme\Messenger
2010-03-05 15:16:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-03-05 15:16:16 ----D---- C:\WINDOWS\Help
2010-03-05 15:16:16 ----D---- C:\Programme\Windows Media Player
2010-03-05 15:16:11 ----D---- C:\WINDOWS\ehome
2010-03-05 15:16:10 ----D---- C:\WINDOWS\system32\inetsrv
2010-03-05 15:16:10 ----D---- C:\WINDOWS\network diagnostic
2010-03-05 15:16:10 ----D---- C:\WINDOWS\ime
2010-03-05 15:16:06 ----D---- C:\WINDOWS\system32\usmt
2010-03-05 15:16:05 ----D---- C:\WINDOWS\PeerNet
2010-03-05 15:16:05 ----D---- C:\Programme\Movie Maker
2010-03-05 15:15:06 ----D---- C:\WINDOWS\system32\Restore
2010-03-05 15:15:06 ----D---- C:\WINDOWS\system32\npp
2010-03-05 15:15:06 ----D---- C:\WINDOWS\msagent
2010-03-05 15:15:05 ----D---- C:\WINDOWS\system32\Com
2010-03-05 15:15:05 ----D---- C:\WINDOWS\srchasst
2010-03-05 15:15:05 ----D---- C:\Programme\NetMeeting
2010-03-05 15:15:04 ----D---- C:\Programme\Windows NT
2010-03-05 15:15:04 ----D---- C:\Programme\Outlook Express
2010-03-05 15:15:04 ----D---- C:\Programme\Gemeinsame Dateien\System
2010-03-05 15:15:00 ----D---- C:\WINDOWS\system32\oobe
2010-03-05 15:14:59 ----D---- C:\WINDOWS\system
2010-03-05 15:14:25 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-03-05 15:12:09 ----SHD---- C:\WINDOWS\Installer
2010-03-05 14:59:08 ----D---- C:\WINDOWS\Temp
2010-03-05 14:59:08 ----D---- C:\WINDOWS\Debug
2010-03-05 14:55:38 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-05 14:44:09 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-03-05 14:41:48 ----D---- C:\WINDOWS\security
2010-03-05 14:41:04 ----D---- C:\WINDOWS\system32\CatRoot
2010-03-05 14:38:34 ----D---- C:\WINDOWS\system32\de-de
2010-03-05 13:38:18 ----SHD---- C:\System Volume Information
2010-03-05 13:16:11 ----RSH---- C:\boot.ini
2010-03-05 13:16:11 ----A---- C:\WINDOWS\win.ini
2010-03-05 13:16:11 ----A---- C:\WINDOWS\system.ini
2010-03-02 11:46:59 ----D---- C:\WilKal
2010-03-02 09:05:30 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\VEKA_D52K
2010-02-15 07:13:08 ----D---- C:\WINDOWS\nview
2010-02-15 07:02:20 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-02-12 12:33:56 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-10 09:30:26 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2010-02-08 07:38:35 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 34979361;34979361; C:\WINDOWS\system32\DRIVERS\34979361.sys [2009-09-25 128016]
R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43520]
R1 setup_9.0.0.722_22.12.2009_10-55drv;setup_9.0.0.722_22.12.2009_10-55drv; C:\WINDOWS\system32\DRIVERS\3497936.sys [2009-10-09 315408]
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-14 88192]
R2 ndc;AVM KEN CAPI; C:\WINDOWS\System32\Drivers\ndc.sys [2002-08-21 57664]
R2 WIBUKEY;WIBU-KEY Kernel Driver; C:\WINDOWS\SYSTEM32\DRIVERS\WibuKey.sys [2003-09-30 70656]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-06 4284928]
R3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2010-01-12 10276768]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-07-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-07-11 20480]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 dtwmnic5;Telekom Eumex 704PC LAN; C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys []
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2006-02-28 5888]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 KEN Client Service;AVM KEN Klient; C:\Programme\KEN!\KENCLI.EXE [2006-04-20 163840]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2010-01-11 154216]
R2 WKSVW32;WIBU-KEY Server; C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe [2003-09-30 434176]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-21 190448]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------
         
Ich hoffe, dass ich soweit erstmal lt. Anleitung vorgangen bin und hoffe nun auf Hilfe.

Thomas

Geändert von teoma (06.03.2010 um 12:22 Uhr) Grund: Darstellung verändert

Alt 07.03.2010, 20:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Hallo und

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\Windows\System32\sshnas21.dll
C:\Windows\msa.exe
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\002875_.tmp
C:\U.exe
C:\WINDOWS\system32\DRIVERS\34979361.sys

folders to delete:
C:\WINDOWS\system32\lowsec

drivers to delete:
SSHNAS
34979361
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________

__________________

Alt 16.03.2010, 18:24   #3
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Hallo Arne,

besten Dank für die freundliche Begrüßung und die Anleitung.
Bin leider erst jetzt wieder an den betroffenen PC gekommen.

Hier das Logfile
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP
*******************

Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger

*******************
Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error:  file "C:\Windows\System32\sshnas21.dll" not found!
Deletion of file "C:\Windows\System32\sshnas21.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist
 
Error:  file "C:\Windows\msa.exe" not found!
Deletion of file "C:\Windows\msa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\sdra64.exe" deleted successfully.
File "C:\WINDOWS\002875_.tmp" deleted successfully.
File "C:\U.exe" deleted successfully.
File "C:\WINDOWS\system32\DRIVERS\34979361.sys" deleted successfully.
Folder "C:\WINDOWS\system32\lowsec" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SSHNAS" not found!
Deletion of driver "SSHNAS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "34979361" deleted successfully.

Completed script processing.
*******************
Finished!  Terminate.
         
Link zur backup.zip

Kommen wir damit weiter?

Thomas
__________________

Alt 16.03.2010, 21:07   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Das ist schonmal ein Anfang. Probier jetzt den Durchgang mit Malwarebytes und poste wenn es durchlief (Vollscan) das Log. Denk dran, es vorher zu aktualisieren!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.03.2010, 16:20   #5
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Leider immer noch das Problem, das Anti-Malware sich nach ca. 5 sec beendet.
Umbennen der mbam-setup.exe und mbam.exe in mbam-setup.com und mbam.com brachte auch nicht den gewünschten Erfolg.
Das Update beginnt kurz mit dem Laden, beendet sich dann aber auch selbst.

Gruß
Thomas


Alt 22.03.2010, 19:01   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Okeeee....dann bitte bei diesem Pflegefall gleich ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Seitenaufrufe aus Google werden umgeleitet

Alt 23.03.2010, 16:09   #7
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



OK, alles nach Anleitung durchgeführt.

Hier die log
Code:
ATTFilter
ComboFix 10-03-22.03 - Uwe 23.03.2010  15:40:11.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.447.170 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Uwe\Desktop\cofi.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\setup2.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-02-23 bis 2010-03-23  ))))))))))))))))))))))))))))))
.

2010-03-23 14:30 . 2010-03-23 14:30	--------	d-----w-	c:\programme\CCleaner
2010-03-06 10:28 . 2010-03-06 10:28	7168	----a-w-	c:\windows\system32\drivers\utq0nze3.sys
2010-03-06 10:00 . 2010-03-06 11:08	--------	d-----w-	c:\programme\trend micro
2010-03-06 10:00 . 2010-03-06 10:00	--------	d-----w-	C:\rsit
2010-03-05 14:16 . 2010-03-05 14:16	--------	d-----w-	c:\dokumente und einstellungen\Uwe\Anwendungsdaten\Malwarebytes
2010-03-05 14:16 . 2010-03-05 14:16	--------	d-----w-	c:\windows\system32\de
2010-03-05 14:16 . 2010-03-05 14:16	--------	d-----w-	c:\windows\system32\bits
2010-03-05 13:53 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-05 13:53 . 2010-03-22 15:15	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-03-05 13:53 . 2010-03-05 13:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-05 13:53 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-05 13:36 . 2008-04-14 06:52	294912	-c----w-	c:\windows\system32\dllcache\dlimport.exe
2010-03-05 12:37 . 2009-10-22 11:54	37392	----a-w-	c:\windows\system32\drivers\34979362.sys
2010-03-05 12:37 . 2009-10-09 21:31	315408	----a-w-	c:\windows\system32\drivers\3497936.sys
2010-03-05 12:37 . 2010-03-05 12:37	--------	d-----w-	C:\Pgrgramme

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-07 07:42 . 2007-01-09 14:08	47296	-c--a-w-	c:\dokumente und einstellungen\Uwe\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-05 13:44 . 2006-02-28 12:00	71598	----a-w-	c:\windows\system32\perfc007.dat
2010-03-05 13:44 . 2006-02-28 12:00	408618	----a-w-	c:\windows\system32\perfh007.dat
2010-03-05 13:40 . 2007-01-04 15:02	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-02 08:05 . 2009-05-07 08:40	--------	d-----w-	c:\dokumente und einstellungen\Uwe\Anwendungsdaten\VEKA_D52K
2010-02-15 06:40 . 2010-02-12 11:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-02-15 06:13 . 2010-02-15 06:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2010-02-15 06:13 . 2010-02-15 06:13	--------	d-----w-	c:\programme\NVIDIA Corporation
2010-02-15 06:02 . 2010-02-15 06:02	--------	d-----w-	c:\programme\SystemRequirementsLab
2010-02-12 11:48 . 2010-02-12 11:37	--------	d-----w-	c:\programme\RegCleaner
2010-02-12 11:33 . 2010-02-12 11:16	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-12 11:10 . 2010-02-12 11:10	--------	d-----w-	c:\dokumente und einstellungen\Uwe\Anwendungsdaten\Uniblue
2010-02-08 06:40 . 2010-02-08 06:40	--------	d-----w-	c:\programme\MSECache
2010-01-26 12:49 . 2008-12-22 09:43	--------	d-----w-	c:\dokumente und einstellungen\Uwe\Anwendungsdaten\TeamViewer
2010-01-26 12:49 . 2010-01-26 12:49	--------	d-----w-	c:\programme\TeamViewer
2010-01-25 14:13 . 2010-01-25 14:13	--------	d-----w-	c:\programme\Microsoft SQL Server
2010-01-25 14:09 . 2010-01-25 14:09	--------	d-----w-	c:\programme\Business Objects
2010-01-11 21:17 . 2010-01-11 21:17	278120	----a-w-	c:\windows\system32\nvmccs.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16208384]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2006-04-20 258048]
"PDFPrint"="c:\programme\pdf24\PDFBackend.exe" [2008-01-31 134144]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-04-11 1085440]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2007-1-9 341296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Brother\\Brmfl08d\\FAXRX.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner

R0 34979362;34979362 Boot Guard Driver;c:\windows\system32\drivers\34979362.sys [05.03.2010 13:37 37392]
R1 setup_9.0.0.722_22.12.2009_10-55drv;setup_9.0.0.722_22.12.2009_10-55drv;c:\windows\system32\drivers\3497936.sys [05.03.2010 13:37 315408]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [09.01.2007 13:58 163840]
R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [09.01.2007 13:58 57664]
R2 WKSVW32;WIBU-KEY Server;c:\programme\WIBUKEY\Server\WkSvW32.exe [09.01.2007 14:22 434176]
S3 dtwmnic5;Telekom Eumex 704PC LAN;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?]
S3 utq0nze3;AVZ Kernel Driver;c:\windows\system32\drivers\utq0nze3.sys [06.03.2010 11:28 7168]
.
Inhalt des "geplante Tasks" Ordners

2010-03-23 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-21 05:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080
uInternet Settings,ProxyOverride = localhost
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-Win32load - c:\dokumente und einstellungen\Uwe\Anwendungsdaten\b000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-03-23 15:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ؕ€|ÿÿÿÿ•€|ù•Ñw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-03-23  15:50:52
ComboFix-quarantined-files.txt  2010-03-23 14:50

Vor Suchlauf: 10 Verzeichnis(se), 19.261.734.912 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 19.235.500.032 Bytes frei

- - End Of File - - 4C96A7BE3712ECE4E943496681A576D7
         
Gruß
Thomas

Alt 24.03.2010, 10:46   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
  
files to delete:
c:\windows\system32\drivers\34979362.sys
c:\windows\system32\drivers\3497936.sys
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2010, 16:12   #9
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Hier die Ergebnisse von avenger:

log
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\34979362.sys" deleted successfully.
File "c:\windows\system32\drivers\3497936.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
hxxp://www.file-upload.net/download-2374979/backup.zip.html

Gruß
Thomas

Geändert von teoma (24.03.2010 um 16:21 Uhr) Grund: Link korrigiert

Alt 24.03.2010, 17:36   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.03.2010, 17:44   #11
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Malwarebytes ist unverändert, bricht nach Start sofort ab.

Leider ist beim ersten Scan mit SUPERAntiSpyware etwas schief gegangen, die Einstellungen unter Präferenzen waren nicht richtig gesetzt. Ich konnte es nicht selbst durchführen. Habe dann danach nochmal einen Vollscan veranlasst.

Daher hier beide Log-Dateien:

Quick-Scan
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/25/2010 at 07:34 AM

Application Version : 4.34.1000

Core Rules Database Version : 4596
Trace Rules Database Version: 1978

Scan type       : Quick Scan
Total Scan Time : 00:04:42

Memory items scanned      : 425
Memory threats detected   : 0
Registry items scanned    : 387
Registry threats detected : 6
File items scanned        : 4530
File threats detected     : 5

Trojan.Agent/Gen
	HKLM\System\ControlSet001\Services\utq0nze3
	C:\WINDOWS\SYSTEM32\DRIVERS\UTQ0NZE3.SYS
	HKLM\System\ControlSet001\Enum\Root\LEGACY_utq0nze3
	HKLM\System\ControlSet003\Services\utq0nze3
	HKLM\System\ControlSet003\Enum\Root\LEGACY_utq0nze3
	HKLM\System\CurrentControlSet\Services\utq0nze3
	HKLM\System\CurrentControlSet\Enum\Root\LEGACY_utq0nze3

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@tribalfusion[3].txt
	C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@doubleclick[3].txt
	C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@collective-media[2].txt
	C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@atdmt[2].txt
         
Vollscan
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/25/2010 at 04:58 PM

Application Version : 4.34.1000

Core Rules Database Version : 4596
Trace Rules Database Version: 1978

Scan type       : Complete Scan
Total Scan Time : 00:31:52

Memory items scanned      : 432
Memory threats detected   : 0
Registry items scanned    : 4976
Registry threats detected : 0
File items scanned        : 50388
File threats detected     : 2

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Uwe\Cookies\uwe@doubleclick[1].txt

Trojan.Agent/Gen
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1BA05035-C9D4-4975-AF65-0D7FD08130FD}\RP9\A0000554.SYS
         
Gruß
Thomas

Alt 25.03.2010, 18:27   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Hm, irgendwas muss da noch sein. Hattest Du schon einen Versuch mit GMER gemacht?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.03.2010, 18:40   #13
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Nein, werde GMER dann mal anwenden und den LOG wieder posten.

Gruß
Thomas

Alt 29.03.2010, 09:21   #14
teoma
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



So, hier dann der Log von GMER

Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-03-29 09:16:15
Windows 5.1.2600 Service Pack 3
Running: 1yf88h5q.exe; Driver: C:\DOKUME~1\Uwe\LOKALE~1\Temp\ufddipow.sys


---- System - GMER 1.0.15 ----

SSDT   \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xF2BCF320]

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                   section is writeable [0xF65A8380, 0x550AF5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\RTHDCPL.EXE[468] ntdll.dll!NtOpenKey                                                            7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\WINDOWS\RTHDCPL.EXE[468] kernel32.dll!CreateProcessW                                                    7C802336 5 Bytes  JMP 10003C3C 
.text  C:\WINDOWS\RTHDCPL.EXE[468] kernel32.dll!ExitProcess                                                       7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!connect                                                             71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!send                                                                71A14C27 5 Bytes  JMP 10003264 
.text  C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!WSARecv                                                             71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!recv                                                                71A1676F 5 Bytes  JMP 1000278C 
.text  C:\WINDOWS\RTHDCPL.EXE[468] ws2_32.dll!WSASend                                                             71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\Programme\KEN!\kentbcli.exe[504] ntdll.dll!NtOpenKey                                                    7C91D5B0 5 Bytes  JMP 10083DF4 
.text  C:\Programme\KEN!\kentbcli.exe[504] kernel32.dll!CreateProcessW                                            7C802336 5 Bytes  JMP 10083C3C 
.text  C:\Programme\KEN!\kentbcli.exe[504] kernel32.dll!ExitProcess                                               7C81CAFA 5 Bytes  JMP 10083E78 
.text  C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!connect                                                     71A14A07 5 Bytes  JMP 10083AF0 
.text  C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!send                                                        71A14C27 5 Bytes  JMP 10083264 
.text  C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!WSARecv                                                     71A14CB5 5 Bytes  JMP 100827F8 
.text  C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!recv                                                        71A1676F 5 Bytes  JMP 1008278C 
.text  C:\Programme\KEN!\kentbcli.exe[504] WS2_32.dll!WSASend                                                     71A168FA 5 Bytes  JMP 10083A9C 
.text  C:\Programme\pdf24\PDFBackend.exe[564] ntdll.dll!NtOpenKey                                                 7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\Programme\pdf24\PDFBackend.exe[564] kernel32.dll!CreateProcessW                                         7C802336 5 Bytes  JMP 10003C3C 
.text  C:\Programme\pdf24\PDFBackend.exe[564] kernel32.dll!ExitProcess                                            7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!connect                                                  71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!send                                                     71A14C27 5 Bytes  JMP 10003264 
.text  C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!WSARecv                                                  71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!recv                                                     71A1676F 5 Bytes  JMP 1000278C 
.text  C:\Programme\pdf24\PDFBackend.exe[564] ws2_32.dll!WSASend                                                  71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\WINDOWS\system32\winlogon.exe[724] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10003C3C 
.text  C:\WINDOWS\system32\winlogon.exe[724] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10003264 
.text  C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1000278C 
.text  C:\WINDOWS\system32\winlogon.exe[724] WS2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\services.exe[776] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\WINDOWS\system32\services.exe[776] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10003C3C 
.text  C:\WINDOWS\system32\services.exe[776] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\WINDOWS\system32\services.exe[776] ws2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\WINDOWS\system32\services.exe[776] ws2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10003264 
.text  C:\WINDOWS\system32\services.exe[776] ws2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\WINDOWS\system32\services.exe[776] ws2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1000278C 
.text  C:\WINDOWS\system32\services.exe[776] ws2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\lsass.exe[788] ntdll.dll!NtOpenKey                                                     7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\system32\lsass.exe[788] kernel32.dll!CreateProcessW                                             7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\system32\lsass.exe[788] kernel32.dll!ExitProcess                                                7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!connect                                                      71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!send                                                         71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!WSARecv                                                      71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!recv                                                         71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\system32\lsass.exe[788] WS2_32.dll!WSASend                                                      71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] ntdll.dll!NtOpenKey                                                   7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] kernel32.dll!CreateProcessW                                           7C802336 5 Bytes  JMP 10003C3C 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] kernel32.dll!ExitProcess                                              7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!connect                                                    71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!send                                                       71A14C27 5 Bytes  JMP 10003264 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!WSARecv                                                    71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!recv                                                       71A1676F 5 Bytes  JMP 1000278C 
.text  C:\WINDOWS\system32\nvsvc32.exe[952] ws2_32.dll!WSASend                                                    71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\system32\svchost.exe[1008] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\system32\svchost.exe[1008] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\system32\svchost.exe[1008] ws2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ntdll.dll!NtOpenKey                                     7C91D5B0 5 Bytes  JMP 10013DF4 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 10013C3C 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] kernel32.dll!ExitProcess                                7C81CAFA 5 Bytes  JMP 10013E78 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10013AF0 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!send                                         71A14C27 5 Bytes  JMP 10013264 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100127F8 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!recv                                         71A1676F 5 Bytes  JMP 1001278C 
.text  C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[1132] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10013A9C 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10003C3C 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10003264 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1000278C 
.text  C:\WINDOWS\system32\wscntfy.exe[1176] ws2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] ntdll.dll!NtOpenKey                                                 7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] kernel32.dll!CreateProcessW                                         7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] kernel32.dll!ExitProcess                                            7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!connect                                                  71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!send                                                     71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!WSARecv                                                  71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!recv                                                     71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\system32\RUNDLL32.EXE[1204] ws2_32.dll!WSASend                                                  71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\WINDOWS\System32\svchost.exe[1216] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\System32\svchost.exe[1216] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\System32\svchost.exe[1216] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\System32\svchost.exe[1216] ws2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\WINDOWS\Explorer.EXE[1276] ntdll.dll!NtOpenKey                                                          7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\Explorer.EXE[1276] kernel32.dll!CreateProcessW                                                  7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\Explorer.EXE[1276] kernel32.dll!ExitProcess                                                     7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!connect                                                           71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!send                                                              71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!WSARecv                                                           71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!recv                                                              71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\Explorer.EXE[1276] ws2_32.dll!WSASend                                                           71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\system32\spoolsv.exe[1636] ws2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] ntdll.dll!NtOpenKey                                  7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] kernel32.dll!CreateProcessW                          7C802336 5 Bytes  JMP 10003C3C 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] kernel32.dll!ExitProcess                             7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!connect                                   71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 10003264 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!WSARecv                                   71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 1000278C 
.text  C:\Programme\TeamViewer\Version5\TeamViewer.exe[1804] WS2_32.dll!WSASend                                   71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\svchost.exe[1880] ntdll.dll!NtOpenKey                                                  7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\system32\svchost.exe[1880] kernel32.dll!CreateProcessW                                          7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\system32\svchost.exe[1880] kernel32.dll!ExitProcess                                             7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!connect                                                   71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!send                                                      71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!WSARecv                                                   71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!recv                                                      71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\system32\svchost.exe[1880] ws2_32.dll!WSASend                                                   71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] ntdll.dll!NtOpenKey                                          7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 10003C3C 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] kernel32.dll!ExitProcess                                     7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!connect                                           71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!send                                              71A14C27 5 Bytes  JMP 10003264 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!WSARecv                                           71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!recv                                              71A1676F 5 Bytes  JMP 1000278C 
.text  C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe[1948] WS2_32.dll!WSASend                                           71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] ntdll.dll!NtOpenKey                                                   7C91D5B0 5 Bytes  JMP 10023DF4 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] kernel32.dll!CreateProcessW                                           7C802336 5 Bytes  JMP 10023C3C 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] kernel32.dll!ExitProcess                                              7C81CAFA 5 Bytes  JMP 10023E78 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!connect                                                    71A14A07 5 Bytes  JMP 10023AF0 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!send                                                       71A14C27 5 Bytes  JMP 10023264 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!WSARecv                                                    71A14CB5 5 Bytes  JMP 100227F8 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!recv                                                       71A1676F 5 Bytes  JMP 1002278C 
.text  C:\WINDOWS\system32\ctfmon.exe[2084] ws2_32.dll!WSASend                                                    71A168FA 5 Bytes  JMP 10023A9C 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ntdll.dll!NtOpenKey                                 7C91D5B0 5 Bytes  JMP 10003DF4 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] kernel32.dll!CreateProcessW                         7C802336 5 Bytes  JMP 10003C3C 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] kernel32.dll!ExitProcess                            7C81CAFA 5 Bytes  JMP 10003E78 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!connect                                  71A14A07 5 Bytes  JMP 10003AF0 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!send                                     71A14C27 5 Bytes  JMP 10003264 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 100027F8 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!recv                                     71A1676F 5 Bytes  JMP 1000278C 
.text  C:\Programme\Brother\ControlCenter3\brccMCtl.exe[2520] ws2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 10003A9C 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] ntdll.dll!NtOpenKey                                                   7C91D5B0 5 Bytes  JMP 10043DF4 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] kernel32.dll!CreateProcessW                                           7C802336 5 Bytes  JMP 10043C3C 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] kernel32.dll!ExitProcess                                              7C81CAFA 5 Bytes  JMP 10043E78 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!connect                                                    71A14A07 5 Bytes  JMP 10043AF0 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!send                                                       71A14C27 5 Bytes  JMP 10043264 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!WSARecv                                                    71A14CB5 5 Bytes  JMP 100427F8 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!recv                                                       71A1676F 5 Bytes  JMP 1004278C 
.text  C:\Programme\FRITZ!\IWatch.exe[2536] ws2_32.dll!WSASend                                                    71A168FA 5 Bytes  JMP 10043A9C 

---- EOF - GMER 1.0.15 ----
         
Gruß
Thomas

Alt 29.03.2010, 10:03   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seitenaufrufe aus Google werden umgeleitet - Standard

Seitenaufrufe aus Google werden umgeleitet



Probier nochmal RootRepeal:
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
Code:
ATTFilter
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
         
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Seitenaufrufe aus Google werden umgeleitet
antivir, aufrufe, bho, browser, cid, content.ie5, desktop, drvstore, excel, fehler, flash player, frage, google, heur, hkus\s-1-5-18, hängt, internet explorer, kaspersky, logfile, mmc.exe, msiexec.exe, officejet, programm, proxy, registry, remote control, security, server, software, trojaner, userinit.exe, virus, windows, windows xp, windows-sicherheitscenterdienst



Ähnliche Themen: Seitenaufrufe aus Google werden umgeleitet


  1. Google Verlinkungen werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 08.04.2013 (17)
  2. Seiten werden umgeleitet..google
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (9)
  3. Google-Links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (22)
  4. google links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 12.02.2012 (6)
  5. Google Ergebnisse werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 12.09.2011 (6)
  6. Dringend! Google Links werden umgeleitet - OTL & GMER werden von Virus beendet
    Plagegeister aller Art und deren Bekämpfung - 25.07.2011 (1)
  7. Google-Ergebnisse werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 08.04.2011 (23)
  8. google links werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 17.03.2011 (18)
  9. Google-Anfragen werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 06.01.2011 (43)
  10. Google Ergebnisse werden umgeleitet
    Log-Analyse und Auswertung - 22.11.2010 (9)
  11. Google Suchanfragen werden umgeleitet
    Log-Analyse und Auswertung - 17.11.2010 (19)
  12. Google Suchergebnisse werden umgeleitet
    Log-Analyse und Auswertung - 16.11.2010 (12)
  13. google links werden falsch umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (7)
  14. Google Links werden umgeleitet
    Log-Analyse und Auswertung - 14.05.2009 (0)
  15. Links in Google werden umgeleitet
    Log-Analyse und Auswertung - 26.12.2008 (1)
  16. Google Links werden umgeleitet
    Log-Analyse und Auswertung - 09.09.2008 (5)
  17. Google links werden umgeleitet
    Log-Analyse und Auswertung - 02.10.2006 (4)

Zum Thema Seitenaufrufe aus Google werden umgeleitet - Hallo, ich habe seit einigen Tagen Probleme und vermutet, dass ich einen Trojaner auf dem PC habe. Folgendes tritt auf: Seitenaufrufe aus Suchergebnissen von Google werden umgeleitet. (z.B. auf h**p://www.upliftsearch.com/?keyword=kaspersky&aid=1893&cid=1694&subid=35177). - Seitenaufrufe aus Google werden umgeleitet...
Archiv
Du betrachtest: Seitenaufrufe aus Google werden umgeleitet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.