Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ungewünschte Internetseite öffnet sich und will runterladen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.05.2010, 20:51   #1
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Hallo erstmal.
Also wie schon gesagt, ich war normal am surfen, da öffnete sich ein neuer Tab (Firefox 3.5) und fing an etwas runterzuladen. Vor 2 Tagen hatte ich mal Malwaredoctor (Von selbst runtergeladen,habe nichts gemacht) auf dem PC.
Später kam auch dieser komischer ArManager.
Die habe ich mit Malwarebyte´s AntiMalware und HijackThis geöscht. Nun habe ich angst,dass ich noch mal so ein Programm auf den Rechner bekomme.
Als sich die Internetseite öffnete, wollte sich ein Programm runterladen.
Ich musste firefox.exe durch den Taskmanager beenden.

Hier mein HijackThis LogFile

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49:38, on 03.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WinGate\WinGate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\WinGate\wgengmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Pinyin IME Migration] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME12L~1\imesc\IMSCMig.exe /INSTALL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GamersFirst LIVE!.lnk = C:\Programme\GamersFirst\LIVE!\Live.exe
O4 - Global Startup: WinGate Engine Monitor.lnk = C:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - hxxp://dl.tvunetworks.com/TVUAx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFF01A07-5720-42D8-9AB7-EB92EC6C5A7F}: NameServer = 62.220.18.38 89.246.64.38
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Qbik Software NZ Ltd - C:\Programme\WinGate\WinGate.exe

--
End of file - 8008 bytes

Ich hatte auch heute um ca. 14-15.30 Uhr ein Antivir Systemprüfung gemacht.
Soll ich das Ergebnis auch posten,oder reicht HijackThis Logfile erst einmal?
Danke vielmals.
Edit://
Die Internetseiten öffnen sich aber nicht sehr oft. Nur 1mal in 2Std. ca.
Mit freundlichen Grüßen

Alt 03.05.2010, 21:48   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 04.05.2010, 18:52   #3
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Sry...........
__________________

Geändert von Kandeez (04.05.2010 um 19:37 Uhr)

Alt 04.05.2010, 18:53   #4
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



SRY!!!!
wenn ich lämgere beiträge schreibe,akzeptiert der server sie nicht

Geändert von Kandeez (04.05.2010 um 19:40 Uhr)

Alt 04.05.2010, 18:59   #5
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



otl logfile
Zitat:
otl logfile created on: 04.05.2010 16:53:33 - run 1
otl by oldtimer - version 3.2.4.1 folder = c:\dokumente und einstellungen\****\eigene dateien\downloads
windows xp professional edition service pack 3 (version = 5.1.2600) - type = ntworkstation
internet explorer (version = 6.0.2900.2180)
locale: 00000407 | country: Deutschland | language: Deu | date format: Dd.mm.yyyy

495,00 mb total physical memory | 101,00 mb available physical memory | 20,00% memory free
1,00 gb paging file | 1,00 gb available in paging file | 48,00% paging file free
paging file location(s): C:\pagefile.sys 744 1488 [binary data]

%systemdrive% = c: | %systemroot% = c:\windows | %programfiles% = c:\programme
drive c: | 29,29 gb total space | 2,51 gb free space | 8,55% space free | partition type: Ntfs
drive d: | 45,23 gb total space | 20,64 gb free space | 45,64% space free | partition type: Ntfs
drive e: | 80,61 mb total space | 0,00 mb free space | 0,00% space free | partition type: Cdfs
f: Drive not present or media not loaded
g: Drive not present or media not loaded
h: Drive not present or media not loaded
i: Drive not present or media not loaded

computer name: ****
current user name: ****
logged in as administrator.

Current boot mode: Normal
scan mode: Current user
company name whitelist: Off
skip microsoft files: Off
file age = 30 days
output = minimal

========== processes (safelist) ==========

prc - c:\dokumente und einstellungen\****\eigene dateien\downloads\otl.exe (oldtimer tools)
prc - c:\programme\malwarebytes' anti-malware\mbam.exe (malwarebytes corporation)
prc - c:\programme\mozilla firefox\firefox.exe (mozilla corporation)
prc - c:\programme\google\update\1.2.183.23\googlecrashhandler.exe (google inc.)
prc - c:\programme\avira\antivir personaledition classic\sched.exe (avira gmbh)
prc - c:\programme\avira\antivir personaledition classic\avguard.exe (avira gmbh)
prc - c:\programme\asus\wlan card utilities\center.exe (asustek computer inc.)
prc - c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (google inc.)
prc - c:\programme\avira\antivir personaledition classic\avgnt.exe (avira gmbh)
prc - c:\programme\wingate\wingate.exe (qbik software nz ltd)
prc - c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
prc - c:\programme\lexmark 1200 series\lxczbmon.exe (lexmark international, inc.)
prc - c:\programme\lexmark 1200 series\lxczbmgr.exe (lexmark international, inc.)
prc - c:\windows\explorer.exe (microsoft corporation)


========== modules (safelist) ==========

mod - c:\dokumente und einstellungen\****\eigene dateien\downloads\otl.exe (oldtimer tools)
mod - c:\windows\system32\msscript.ocx (microsoft corporation)


========== win32 services (safelist) ==========

srv - (antivirscheduler) -- c:\programme\avira\antivir personaledition classic\sched.exe (avira gmbh)
srv - (antivirservice) -- c:\programme\avira\antivir personaledition classic\avguard.exe (avira gmbh)
srv - (wingateengine) -- c:\programme\wingate\wingate.exe (qbik software nz ltd)
srv - (ose) -- c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe (microsoft corporation)
srv - (netsvc) -- c:\programme\intel\ncs\sync\netsvc.exe (intel(r) corporation)


========== driver services (safelist) ==========

drv - (mbamswissarmy) -- c:\windows\system32\drivers\mbamswissarmy.sys (malwarebytes corporation)
drv - (esgiguard) -- c:\programme\enigma software group\spyhunter\esgiguard.sys ()
drv - (sptd) -- c:\windows\system32\drivers\sptd.sys ()
drv - (hamachi) -- c:\windows\system32\drivers\hamachi.sys (logmein, inc.)
drv - (mdc8021x) aegis protocol (ieee 802.1x) -- c:\windows\system32\drivers\mdc8021x.sys (meetinghouse data communications)
drv - (avipbb) -- c:\windows\system32\drivers\avipbb.sys (avira gmbh)
drv - (avgntflt) -- c:\programme\avira\antivir personaledition classic\avgntflt.sys (avira gmbh)
drv - (avgio) -- c:\programme\avira\antivir personaledition classic\avgio.sys (avira gmbh)
drv - (oreans32) -- c:\windows\system32\drivers\oreans32.sys ()
drv - (screamingbdriver) -- c:\windows\system32\drivers\screamingbaudio.sys (screaming bee llc)
drv - (tapvpn) -- c:\windows\system32\drivers\tapvpn.sys (the openvpn project)
drv - (rt73) -- c:\windows\system32\drivers\rt73.sys (ralink technology, corp.)
drv - (ssmdrv) -- c:\windows\system32\drivers\ssmdrv.sys (avira gmbh)
drv - (fwlanusb) -- c:\windows\system32\drivers\fwlanusb.sys (avm gmbh)
drv - (avmeject) -- c:\windows\system32\drivers\avmeject.sys (avm berlin)
drv - (rtl8139) nt-treiber für realtek rtl8139(a/b/c) -- c:\windows\system32\drivers\rtl8139.sys (realtek semiconductor corporation)
drv - (nwlnkipx) -- c:\windows\system32\drivers\nwlnkipx.sys (microsoft corporation)
drv - (viaudio) vinyl ac'97 audio controller (wdm) -- c:\windows\system32\drivers\vinyl97.sys (via technologies, inc.)
drv - (syntp) -- c:\windows\system32\drivers\syntp.sys (synaptics, inc.)
drv - (conan) -- c:\windows\system32\drivers\o2mmb.sys (o2 micro )
drv - (mbxstby) -- c:\windows\system32\drivers\mbxstby.sys (o2 micro)
drv - (nal) -- c:\windows\system32\drivers\iqvw32.sys (intel corporation )
drv - (gnct511) -- c:\windows\system32\drivers\gnct511.sys ()
drv - (iansprotocol) intel(r) -- c:\windows\system32\drivers\ianswxp.sys (intel corporation)
drv - (iansminiport) intel(r) -- c:\windows\system32\drivers\ianswxp.sys (intel corporation)
drv - (asndis5) -- c:\windows\system32\asndis5.sys (printing communications assoc., inc. (pcausa))
drv - (nwlnknb) -- c:\windows\system32\drivers\nwlnknb.sys (microsoft corporation)
drv - (nwlnkspx) -- c:\windows\system32\drivers\nwlnkspx.sys (microsoft corporation)


========== standard registry (safelist) ==========


========== internet explorer ==========

ie - hklm\software\microsoft\internet explorer\main,default_page_url = about:blank
ie - hklm\software\microsoft\internet explorer\main,default_search_url = about:blank
ie - hklm\software\microsoft\internet explorer\main,local page = %systemroot%\system32\blank.htm
ie - hklm\software\microsoft\internet explorer\main,search page = about:blank
ie - hklm\software\microsoft\internet explorer\main,start page = about:blank

ie - hkcu\software\microsoft\internet explorer\main,search page = hxxp://www.google.com
ie - hkcu\software\microsoft\internet explorer\main,start page = hxxp://www.google.de/
ie - hkcu\..\urlsearchhook: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - reg error: Key error. File not found
ie - hkcu\software\microsoft\windows\currentversion\internet settings: "proxyenable" = 0
ie - hkcu\software\microsoft\windows\currentversion\internet settings: "proxyoverride" = local

ff - hklm\software\mozilla\firefox\extensions\\{000a9d1c-beef-4f90-9363-039d445309b8}: C:\programme\google\google gears\firefox\ [2010.03.06 11:40:59 | 000,000,000 | ---d | m]
ff - hklm\software\mozilla\mozilla firefox 3.6.3\extensions\\components: C:\programme\mozilla firefox\components [2010.04.27 18:49:50 | 000,000,000 | ---d | m]
ff - hklm\software\mozilla\mozilla firefox 3.6.3\extensions\\plugins: C:\programme\mozilla firefox\plugins [2010.04.27 15:50:57 | 000,000,000 | ---d | m]

[2010.05.03 15:56:42 | 000,000,000 | ---d | m] -- c:\programme\mozilla firefox\extensions
[2010.04.01 18:54:38 | 000,001,392 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\ebay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | m] () -- c:\programme\mozilla firefox\searchplugins\yahoo-de.xml

o1 hosts file: ([2010.05.01 17:29:47 | 000,000,820 | ---- | m]) - c:\windows\system32\drivers\etc\hosts
o1 - hosts: 127.0.0.1 loc
o2 - bho: (adobe pdf link helper) - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelpershim.dll (adobe systems incorporated)
o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - no clsid value found.
O2 - bho: (windows live anmelde-hilfsprogramm) - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programme\gemeinsame dateien\microsoft shared\windows live\windowslivelogin.dll (microsoft corporation)
o2 - bho: (google toolbar helper) - {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\googletoolbar_32.dll (google inc.)
o2 - bho: (google toolbar notifier bho) - {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.4.4525.1752\swg.dll (google inc.)
o2 - bho: (google dictionary compression sdch) - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - c:\programme\google\google toolbar\component\fastsearch_b7c5ac242193bb3e.dll (google inc.)
o2 - bho: (google gears helper) - {e0fefe40-fbf9-42ae-ba58-794ca7e3fb53} - c:\programme\google\google gears\internet explorer\0.5.36.0\gears.dll (google inc.)
o3 - hklm\..\toolbar: (google toolbar) - {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\googletoolbar_32.dll (google inc.)
o3 - hkcu\..\toolbar\webbrowser: (google toolbar) - {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\googletoolbar_32.dll (google inc.)
o4 - hklm..\run: [adobe arm] c:\programme\gemeinsame dateien\adobe\arm\1.0\adobearm.exe (adobe systems incorporated)
o4 - hklm..\run: [arcor online] file not found
o4 - hklm..\run: [avgnt] c:\programme\avira\antivir personaledition classic\avgnt.exe (avira gmbh)
o4 - hklm..\run: [control center] c:\programme\asus\wlan card utilities\center.exe (asustek computer inc.)
o4 - hklm..\run: [imjpmig8.1] c:\windows\ime\imjp8_1\imjpmig.exe (microsoft corporation)
o4 - hklm..\run: [lexmark 1200 series] c:\programme\lexmark 1200 series\lxczbmgr.exe (lexmark international, inc.)
o4 - hklm..\run: [microsoft pinyin ime migration] c:\programme\gemeinsame dateien\microsoft shared\ime12lite\imesc\imscmig.exe (microsoft corporation)
o4 - hklm..\run: [mspy2002] c:\windows\system32\ime\pintlgnt\imscinst.exe ()
o4 - hklm..\run: [phime2002a] c:\windows\system32\ime\tintlgnt\tintsetp.exe (microsoft corporation)
o4 - hklm..\run: [phime2002async] c:\windows\system32\ime\tintlgnt\tintsetp.exe (microsoft corporation)
o4 - hklm..\run: [pronomgr.exe] c:\programme\intel\ncs\proset\pronomgr.exe (intel(r) corporation)
o4 - hklm..\run: [syntplpr] c:\programme\synaptics\syntp\syntplpr.exe (synaptics, inc.)
o4 - hkcu..\run: [swg] c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (google inc.)
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\gamersfirst live!.lnk = c:\programme\gamersfirst\live!\live.exe file not found
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\wingate engine monitor.lnk = c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
o6 - hklm\software\microsoft\windows\currentversion\policies\explorer: Honorautorunsetting = 1
o7 - hkcu\software\microsoft\windows\currentversion\policies\explorer: Nodrivetypeautorun = 145
o9 - extra 'tools' menuitem : &gears-einstellungen - {09c04da7-5b76-4ebc-bbee-b25eac5965f5} - c:\programme\google\google gears\internet explorer\0.5.36.0\gears.dll (google inc.)
o9 - extra button: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe (icq, llc.)
o9 - extra 'tools' menuitem : Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe (icq, llc.)
o10 - namespace_catalog5\catalog_entries\000000000004 [] - c:\windows\system32\nwprovau.dll (microsoft corporation)
o16 - dpf: {166b1bca-3f9c-11cf-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (shockwave activex control)
o16 - dpf: {3ea4fa88-e0be-419a-a732-9b79b87a6ed0} hxxp://dl.tvunetworks.com/tvuax.cab (ctvuaxctrl object)
o16 - dpf: {8ad9c840-044e-11d1-b3e9-00805f499d93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (java plug-in 1.6.0_12)
o16 - dpf: {8ffbe65d-2c9c-4669-84bd-5829dc0b603c} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (reg error: Key error.)
o16 - dpf: {cafeefac-0016-0000-0012-abcdeffedcba} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (java plug-in 1.6.0_12)
o16 - dpf: {cafeefac-ffff-ffff-ffff-abcdeffedcba} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (java plug-in 1.6.0_12)
o16 - dpf: {d27cdb6e-ae6d-11cf-96b8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (shockwave flash object)
o18 - protocol\handler\http\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\http\oledb {e1d2bf40-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\https\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\https\oledb {e1d2bf40-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\ipp\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\msdaipp\0x00000001 {e1d2bf42-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\msdaipp\oledb {e1d2bf40-a96b-11d1-9c6b-0000f875ac61} - c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (microsoft corporation)
o18 - protocol\handler\mso-offdap {3d9f03fa-7a94-11d3-be81-0050048385d1} - c:\programme\gemeinsame dateien\microsoft shared\web components\10\owc10.dll (microsoft corporation)
o18 - protocol\handler\mso-offdap11 {32505114-5902-49b2-880a-1f7738e5a384} - c:\programme\gemeinsame dateien\microsoft shared\web components\11\owc11.dll (microsoft corporation)
o18 - protocol\handler\wlmailhtml {03c514a3-1efb-4856-9f99-10d7be1653c0} - c:\programme\windows live\mail\mailcomm.dll (microsoft corporation)
o18 - protocol\filter\text/xml {807553e5-5146-11d5-a672-00b0d022e945} - c:\programme\gemeinsame dateien\microsoft shared\office11\msoxmlmf.dll (microsoft corporation)
o20 - hklm winlogon: Shell - (explorer.exe) - c:\windows\explorer.exe (microsoft corporation)
o20 - winlogon\notify\igfxcui: Dllname - igfxsrvc.dll - c:\windows\system32\igfxsrvc.dll (intel corporation)
o24 - desktop components:0 (die derzeitige homepage) - about:home
o24 - desktop wallpaper: C:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\microsoft\wallpaper1.bmp
o24 - desktop backupwallpaper: C:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\microsoft\wallpaper1.bmp
o30 - lsa: Authentication packages - (nwprovau) - c:\windows\system32\nwprovau.dll (microsoft corporation)
o32 - hklm cdrom: Autorun - 1
o32 - autorun file - [2008.10.06 13:01:44 | 000,000,000 | ---- | m] () - c:\autoexec.bat -- [ ntfs ]
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\autorun\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\open\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun - "" = auto&play
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun\command - "" = h:\autorun.exe -- file not found
o34 - hklm bootexecute: (autocheck autochk *) - file not found
o35 - hklm\..comfile [open] -- "%1" %*
o35 - hklm\..exefile [open] -- "%1" %*
o37 - hklm\...com [@ = comfile] -- "%1" %*
o37 - hklm\...exe [@ = exefile] -- "%1" %*

========== files/folders - created within 30 days ==========

file not found -- c:\dokumente und einstellungen\****\desktop\carg9bf4.
File not found -- c:\dokumente und einstellungen\****\desktop\caifwtuj.
[2010.05.01 17:03:55 | 000,000,000 | ---d | c] -- c:\sh4ldr
[2010.05.01 17:03:55 | 000,000,000 | ---d | c] -- c:\programme\enigma software group
[2010.05.01 17:02:49 | 000,000,000 | ---d | c] -- c:\windows\61d3aae1d5214cd7939b37813de8f955.tmp
[2010.05.01 17:02:21 | 000,000,000 | ---d | c] -- c:\programme\gemeinsame dateien\wise installation wizard
[2010.04.30 13:29:05 | 000,000,000 | ---d | c] -- c:\dokumente und einstellungen\all users\anwendungsdaten\sectaskman
[2010.04.27 15:26:43 | 000,081,920 | ---- | c] (mozilla foundation) -- c:\dokumente und einstellungen\****\desktop\nssutil3.dll
[2010.04.19 22:00:46 | 000,000,000 | r-sd | c] -- c:\dokumente und einstellungen\****\eigene dateien\my stationery
[2010.04.15 11:09:15 | 000,000,000 | ---d | c] -- c:\dokumente und einstellungen\****\desktop\cocuk odasi
[2010.04.14 14:43:14 | 000,000,000 | ---d | c] -- c:\windows\system32\ntmsdata
[2010.04.06 11:41:38 | 000,000,000 | ---d | c] -- c:\dokumente und einstellungen\****\desktop\olcays
[2009.07.14 19:40:39 | 000,049,152 | ---- | c] ( ) -- c:\windows\system32\rsnct511.dll
[5 c:\windows\*.tmp files -> c:\windows\*.tmp -> ]
[1 c:\windows\system32\*.tmp files -> c:\windows\system32\*.tmp -> ]

========== files - modified within 30 days ==========

file not found -- c:\dokumente und einstellungen\****\desktop\carg9bf4.
File not found -- c:\dokumente und einstellungen\****\desktop\caifwtuj.
[2010.05.04 17:19:19 | 000,823,808 | ---- | m] () -- c:\windows\system32\drivers\kogxewfi.sys
[2010.05.04 17:15:01 | 000,000,282 | -h-- | m] () -- c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job
[2010.05.04 16:45:21 | 000,001,088 | ---- | m] () -- c:\windows\tasks\googleupdatetaskmachineua.job
[2010.05.04 15:45:05 | 000,001,084 | ---- | m] () -- c:\windows\tasks\googleupdatetaskmachinecore.job
[2010.05.04 15:44:39 | 000,001,044 | ---- | m] () -- c:\windows\tasks\google software updater.job
[2010.05.04 14:43:57 | 000,000,400 | ---- | m] () -- c:\windows\tasks\pcconfidential.job
[2010.05.04 14:43:50 | 000,000,006 | -h-- | m] () -- c:\windows\tasks\sa.dat
[2010.05.04 14:43:42 | 000,002,048 | --s- | m] () -- c:\windows\bootstat.dat
[2010.05.04 08:23:04 | 000,000,300 | -hs- | m] () -- c:\dokumente und einstellungen\****\ntuser.ini
[2010.05.04 08:23:03 | 007,340,032 | -h-- | m] () -- c:\dokumente und einstellungen\****\ntuser.dat
[2010.05.04 08:22:55 | 002,530,852 | -h-- | m] () -- c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\iconcache.db
[2010.05.02 14:00:32 | 000,004,225 | ---- | m] () -- c:\dokumente und einstellungen\****\.recently-used.xbel
[2010.05.02 13:34:12 | 000,000,254 | ---- | m] () -- c:\windows\lexstat.ini
[2010.05.02 13:22:57 | 000,010,752 | ---- | m] () -- c:\dokumente und einstellungen\****\desktop\neu microsoft word-dokument (2).doc
[2010.05.01 17:45:11 | 000,000,676 | ---- | m] () -- c:\dokumente und einstellungen\all users\desktop\malwarebytes' anti-malware.lnk
[2010.05.01 17:04:05 | 000,001,953 | ---- | m] () -- c:\dokumente und einstellungen\****\desktop\spyhunter.lnk
[2010.05.01 10:21:37 | 000,002,206 | ---- | m] () -- c:\windows\system32\wpa.dbl
[2010.04.29 18:18:57 | 000,088,576 | ---- | m] () -- c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\dcbc2a71-70d8-4dan-ehr8-e0d61dea3fdf.ini
[2010.04.29 15:39:38 | 000,038,224 | ---- | m] (malwarebytes corporation) -- c:\windows\system32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | m] (malwarebytes corporation) -- c:\windows\system32\drivers\mbam.sys
[2010.04.27 15:51:09 | 000,001,566 | ---- | m] () -- c:\dokumente und einstellungen\all users\desktop\mozilla firefox.lnk
[2010.04.27 15:28:48 | 000,081,920 | ---- | m] (mozilla foundation) -- c:\dokumente und einstellungen\****\desktop\nssutil3.dll
[2010.04.25 14:48:33 | 000,000,612 | ---- | m] () -- c:\dokumente und einstellungen\****\desktop\verknüpfung mit versateldsl.lnk
[2010.04.20 21:27:37 | 000,000,600 | ---- | m] () -- c:\dokumente und einstellungen\****\putty.rnd
[2010.04.15 20:55:30 | 000,001,887 | ---- | m] () -- c:\dokumente und einstellungen\all users\desktop\google earth.lnk
[2010.04.11 11:42:35 | 000,033,494 | ---- | m] () -- c:\dokumente und einstellungen\****\eigene dateien\mahadma.jpg
[5 c:\windows\*.tmp files -> c:\windows\*.tmp -> ]
[1 c:\windows\system32\*.tmp files -> c:\windows\system32\*.tmp -> ]

========== files created - no company name ==========

[2010.05.02 14:00:32 | 000,004,225 | ---- | c] () -- c:\dokumente und einstellungen\****\.recently-used.xbel
[2010.05.02 13:22:53 | 000,010,752 | ---- | c] () -- c:\dokumente und einstellungen\****\desktop\neu microsoft word-dokument (2).doc
[2010.05.01 17:45:11 | 000,000,676 | ---- | c] () -- c:\dokumente und einstellungen\all users\desktop\malwarebytes' anti-malware.lnk
[2010.05.01 17:04:05 | 000,001,953 | ---- | c] () -- c:\dokumente und einstellungen\****\desktop\spyhunter.lnk
[2010.05.01 16:59:35 | 000,000,282 | -h-- | c] () -- c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job
[2010.05.01 16:57:24 | 000,823,808 | ---- | c] () -- c:\windows\system32\drivers\kogxewfi.sys
[2010.04.27 15:51:09 | 000,001,566 | ---- | c] () -- c:\dokumente und einstellungen\all users\desktop\mozilla firefox.lnk
[2010.04.22 13:02:10 | 000,000,612 | ---- | c] () -- c:\dokumente und einstellungen\****\desktop\verknüpfung mit versateldsl.lnk
[2010.04.15 20:55:30 | 000,001,887 | ---- | c] () -- c:\dokumente und einstellungen\all users\desktop\google earth.lnk
[2010.04.07 15:58:18 | 000,033,494 | ---- | c] () -- c:\dokumente und einstellungen\****\eigene dateien\mahadma.jpg
[2010.03.07 15:17:56 | 000,000,084 | ---- | c] () -- c:\windows\dellstat.ini
[2010.03.07 15:17:52 | 000,000,254 | ---- | c] () -- c:\windows\lexstat.ini
[2010.03.07 15:09:44 | 000,040,960 | ---- | c] () -- c:\windows\system32\lxczvs.dll
[2010.03.07 15:09:07 | 000,000,270 | ---- | c] () -- c:\windows\system32\lxczcoin.ini
[2010.02.12 21:44:15 | 000,069,632 | r--- | c] () -- c:\windows\system32\xmltok.dll
[2010.02.12 21:44:15 | 000,036,864 | r--- | c] () -- c:\windows\system32\xmlparse.dll
[2010.01.09 22:25:01 | 000,197,120 | ---- | c] () -- c:\windows\patchw32.dll
[2010.01.09 21:53:41 | 000,691,696 | ---- | c] () -- c:\windows\system32\drivers\sptd.sys
[2009.07.14 19:44:12 | 000,229,376 | ---- | c] () -- c:\windows\system32\drivers\gnct511.sys
[2009.07.14 19:44:12 | 000,061,440 | ---- | c] () -- c:\windows\system32\dgnct511.dll
[2009.07.14 19:44:12 | 000,036,864 | ---- | c] () -- c:\windows\system32\vgnct511.dll
[2009.07.14 19:44:12 | 000,015,542 | ---- | c] () -- c:\windows\gnct511.ini
[2009.07.14 19:40:39 | 000,219,904 | ---- | c] () -- c:\windows\system32\drivers\snct511.sys
[2009.07.14 19:40:39 | 000,061,440 | ---- | c] () -- c:\windows\system32\dsnct511.dll
[2009.07.14 19:40:39 | 000,032,768 | ---- | c] () -- c:\windows\system32\vsnct511.dll
[2009.07.14 19:40:39 | 000,015,541 | ---- | c] () -- c:\windows\snct511.ini
[2009.05.27 12:52:11 | 000,765,952 | ---- | c] () -- c:\windows\system32\xvidcore.dll
[2009.05.27 12:52:11 | 000,383,238 | ---- | c] () -- c:\windows\system32\libmp3lame-0.dll
[2009.05.01 14:57:34 | 000,027,440 | ---- | c] () -- c:\windows\system32\drivers\secdrv.sys
[2009.04.29 16:48:27 | 000,033,824 | ---- | c] () -- c:\windows\system32\drivers\oreans32.sys
[2009.03.26 11:07:44 | 000,059,904 | ---- | c] () -- c:\windows\system32\zlib1.dll
[2009.03.26 11:03:28 | 000,286,720 | ---- | c] () -- c:\windows\system32\libcurl.dll
[2009.03.26 11:03:10 | 000,143,360 | ---- | c] () -- c:\windows\system32\libexpatw.dll
[2009.02.25 20:55:53 | 004,762,112 | ---- | c] () -- c:\windows\system32\ncmedia.dll
[2008.12.25 13:45:18 | 001,970,176 | ---- | c] () -- c:\windows\system32\d3dx9.dll
[2008.11.19 18:25:07 | 000,000,848 | -hs- | c] () -- c:\windows\system32\kgygaavl.sys
[2008.11.10 16:27:31 | 000,208,896 | ---- | c] () -- c:\windows\system32\wgsrvins.dll
[2008.10.29 11:01:53 | 000,000,400 | ---- | c] () -- c:\windows\odbc.ini
[2008.10.29 10:42:39 | 000,015,360 | ---- | c] () -- c:\windows\system32\bassmod.dll
[2008.10.27 20:03:29 | 000,027,648 | ---- | c] () -- c:\windows\system32\avsredirect.dll
[2008.10.06 13:20:24 | 000,077,824 | ---- | c] () -- c:\windows\system32\syntpcoi.dll
[2008.10.06 13:19:07 | 000,036,864 | ---- | c] () -- c:\windows\system32\unaudiont.dll
[2005.10.10 14:00:00 | 000,005,702 | ---- | c] () -- c:\windows\system32\outlperf.ini
[2005.04.28 06:22:38 | 003,596,288 | ---- | c] () -- c:\windows\system32\qt-dx331.dll
[2004.03.17 10:29:20 | 000,011,776 | ---- | c] () -- c:\windows\system32\wlan.ini
[2002.12.04 10:57:00 | 000,651,264 | ---- | c] () -- c:\windows\system32\libeay32.dll
[2002.12.04 10:57:00 | 000,147,456 | ---- | c] () -- c:\windows\system32\ssleay32.dll

========== alternate data streams ==========

@alternate data stream - 11306 bytes -> c:\windows\system32:system32
< end of report >


Geändert von Kandeez (04.05.2010 um 19:31 Uhr)

Alt 04.05.2010, 19:04   #6
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



OTL EXTRAS kann ich nicht posten, da der server bei längeren beiträgen streikt..

Geändert von Kandeez (04.05.2010 um 19:51 Uhr)

Alt 04.05.2010, 19:17   #7
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Malwarebytes
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4057

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

04.05.2010 18:46:24
mbam-log-2010-05-04 (18-46-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 253187
Laufzeit: 2 Stunde(n), 49 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\koray\Anwendungsdaten\DC8B5188B186DF699FA628CE8B5C3020\gotnewupdate.exe (Malware.Packer.Gen) -> No action taken.
C:\Dokumente und Einstellungen\koray\Desktop\ALLLLEEESS\Cheat Engine\Systemcallretriever.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\koray\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D8BE33T3\kkemu[1].htm (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\koray\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPK28JXF\gotnewupdate[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Dokumente und Einstellungen\koray\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TEZH12SQ\hypwhc[1].htm (Trojan.Downloader) -> No action taken.
C:\Programme\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{0174EE62-28C7-406E-A6FC-A997B2FF5696}\RP428\A0090392.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\drivers\kogxewfi.sys (Rootkit.Agent) -> No action taken.

Geändert von Kandeez (04.05.2010 um 19:30 Uhr)

Alt 04.05.2010, 21:48   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Den unkenntlich gemachten Benutzernamen wieder in den richtigen zurückeditieren, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
prc - c:\programme\wingate\wingate.exe (qbik software nz ltd)
prc - c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
srv - (wingateengine) -- c:\programme\wingate\wingate.exe (qbik software nz ltd)
drv - (oreans32) -- c:\windows\system32\drivers\oreans32.sys ()
o4 - hklm..\run: [arcor online] file not found
o4 - hkcu..\run: [swg] c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (google inc.)
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\gamersfirst live!.lnk = c:\programme\gamersfirst\live!\live.exe file not found
o4 - startup: C:\dokumente und einstellungen\all users\startmenü\programme\autostart\wingate engine monitor.lnk = c:\programme\wingate\wgengmon.exe (qbik software nz ltd)
o32 - autorun file - [2008.10.06 13:01:44 | 000,000,000 | ---- | m] () - c:\autoexec.bat -- [ ntfs ]
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\autorun\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{b2e3acd8-4552-11de-be75-001a4f49dcb7}\shell\open\command - "" = .system\s-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun - "" = auto&play
o33 - mountpoints2\{c9c34544-fd5b-11de-813d-00030d21d888}\shell\autorun\command - "" = h:\autorun.exe -- file not found
[2010.05.04 17:19:19 | 000,823,808 | ---- | m] () -- c:\windows\system32\drivers\kogxewfi.sys
[2010.05.04 17:15:01 | 000,000,282 | -h-- | m] () -- c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job
:Files
c:\dokumente und einstellungen\****\desktop\carg9bf4
c:\dokumente und einstellungen\****\desktop\caifwtuj
c:\windows\61d3aae1d5214cd7939b37813de8f955.tmp
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.05.2010, 14:45   #9
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



All processes killed
========== OTL ==========
File move failed. C:\WINDOWS\system32\drivers\kogxewfi.sys scheduled to be moved on reboot.
c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job moved successfully.
========== FILES ==========
File\Folder c:\dokumente und einstellungen\****\desktop\carg9bf4 not found.
File\Folder c:\dokumente und einstellungen\****\desktop\caifwtuj not found.
c:\windows\61D3AAE1D5214CD7939B37813DE8F955.TMP folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: ***
->Temp folder emptied: 2040847467 bytes
->Temporary Internet Files folder emptied: 122341686 bytes
->Java cache emptied: 80479365 bytes
->FireFox cache emptied: 90044616 bytes
->Google Chrome cache emptied: 6279166 bytes
->Flash cache emptied: 472253 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4069312 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2162289 bytes
->Flash cache emptied: 1952 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 111559742 bytes
RecycleBin emptied: 1461295102 bytes

Total Files Cleaned = 3.740,00 mb


OTL by OldTimer - Version 3.2.4.1 log created on 05052010_143420

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\kogxewfi.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Alt 05.05.2010, 16:54   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



So, dann gehts weiter mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.05.2010, 19:42   #11
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Naja ich weiss nicht ob mich jetzt unbedingt traue dieses gefährliche programm zu benutzen..

Alt 06.05.2010, 11:18   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Halt Dich einfach streng an die Anleitung, dann passiert nichts...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.05.2010, 14:42   #13
Kandeez
 
Ungewünschte Internetseite öffnet sich und will runterladen - Standard

Ungewünschte Internetseite öffnet sich und will runterladen



Naja schauen wir mal.
An dieser Stelle bedanke ich mich herzlich bei cosinus,vielen dank für die hilfe+aufmerksamkeit.
Das Forum ist weiter zu empfehlen!

Antwort

Themen zu Ungewünschte Internetseite öffnet sich und will runterladen
adobe, antivir, antivirus, asus, avira, bho, excel, explorer, firefox, firefox.exe, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet explorer, internetseiten öffnen sich, mozilla, neuer tab, object, pop-up-blocker, programm, programme, seiten öffnen sich, software, surfen, system, taskmanager, von selbst, windows, windows xp, wlan, öffnet



Ähnliche Themen: Ungewünschte Internetseite öffnet sich und will runterladen


  1. Eine Internetseite öffnet sich jede 10min automatisch
    Plagegeister aller Art und deren Bekämpfung - 17.10.2015 (10)
  2. russische Internetseite öffnet sich bei Windowsstart
    Log-Analyse und Auswertung - 18.09.2014 (8)
  3. Firefox öffnet ungewünschte tabs automatisch
    Log-Analyse und Auswertung - 08.09.2014 (16)
  4. Eine bestimmte Internetseite öffnet sich ganz extrem langsam und das auch noch mit fehlern!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2014 (15)
  5. Windows 8: Internet öffnet sich von alleine (nach Runterladen eines Updates)
    Plagegeister aller Art und deren Bekämpfung - 24.01.2014 (59)
  6. Ungewünschte PoP-Ups durch Trojaner beim Aufrufen jeder Internetseite
    Plagegeister aller Art und deren Bekämpfung - 28.12.2013 (11)
  7. Task Manager geht nicht mehr, Browser öffnet Internetseite, cmd-Fenster öffnet sich bei Start
    Log-Analyse und Auswertung - 19.06.2013 (8)
  8. Internetseite(Tesyxaltert.us) öffnet sich nach hochfahren automatisch, kann nichts machen.
    Log-Analyse und Auswertung - 19.01.2013 (11)
  9. Mozilla, Internet Explorer öffnet ungewünschte Seiten. Einstellung oder Virus, evtl änderung?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (1)
  10. Es öffnet sich immer eine Internetseite die ich überhaupt nicht öffnen wollte HORROR
    Plagegeister aller Art und deren Bekämpfung - 18.12.2011 (23)
  11. Internetseite öffnet sich gleich am PC Start und man kann sie nicht schließen
    Log-Analyse und Auswertung - 29.07.2011 (4)
  12. Internetseite öffnet sich automatisch
    Log-Analyse und Auswertung - 06.06.2011 (20)
  13. Mozilla öffnet ungewünschte Seiten
    Log-Analyse und Auswertung - 03.08.2008 (2)
  14. Leere Internetseite öffnet sich selbstständig
    Log-Analyse und Auswertung - 16.07.2008 (2)
  15. HiJack-Problem... die falsche Internetseite öffnet sich
    Log-Analyse und Auswertung - 07.07.2008 (7)
  16. Internetseite öffnet sich bei wechseln des ordners
    Log-Analyse und Auswertung - 20.06.2008 (7)
  17. IE6 bzw. IE7 öffnet ungewünschte Werbefenster und Pseudo-Virenwarnungen
    Log-Analyse und Auswertung - 19.04.2007 (7)

Zum Thema Ungewünschte Internetseite öffnet sich und will runterladen - Hallo erstmal. Also wie schon gesagt, ich war normal am surfen, da öffnete sich ein neuer Tab (Firefox 3.5) und fing an etwas runterzuladen. Vor 2 Tagen hatte ich mal - Ungewünschte Internetseite öffnet sich und will runterladen...
Archiv
Du betrachtest: Ungewünschte Internetseite öffnet sich und will runterladen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.