Internetseiten öffnen ständig! Verdacht auf Trojaner!

Larusso · 15.06.2010, 20:37

Und du glaubst Du bist hier alleine ?

Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 2

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.

Schritt 3

Die **** im Skript musst Du erneut editieren!!!!

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
PRC - [2010.06.14 21:20:50 | 000,046,602 | ---- | M] () -- C:\Users\*******\AppData\Local\Temp\svchost.exe
PRC - [2010.06.14 20:20:01 | 000,171,520 | ---- | M] () -- C:\Users\*******\AppData\Local\Temp\Qjf.exe
PRC - [2010.06.14 20:19:32 | 000,184,320 | ---- | M] () -- C:\Windows\Qbejea.exe
SRV - [2009.11.04 17:15:00 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Stopped] -- C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)
IE - HKLM\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Programme\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Programme\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.startup.homepage: "hxxp://search.conduit.com/?ctid=CT2206084&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {9d81af43-de53-48d0-a199-42c2a226b24c}:2.5.6.0
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:2.5.8.6
[2010.04.13 23:24:44 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Users\*******\AppData\Roaming\mozilla\Firefox\Profiles\9xjtuaa7.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
[2010.04.15 18:35:54 | 000,000,000 | ---D | M] (Softonic Deutsch FF Toolbar) -- C:\Users\*******\AppData\Roaming\mozilla\Firefox\Profiles\9xjtuaa7.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c}
[2010.01.20 12:18:32 | 000,000,941 | ---- | M] () -- C:\Users\*******\AppData\Roaming\Mozilla\FireFox\Profiles\9xjtuaa7.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll (Cooliris Inc.)
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - No CLSID value found.
O2 - BHO: (Softonic Deutsch FF Toolbar) - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Programme\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Softonic Deutsch FF Toolbar) - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Programme\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O4 - HKLM..\Run: [PLFSetI] C:\Program Files\PLFSetI.exe File not found
O4 - HKLM..\Run: [WinSecure] C:\Program Files\Datapol\WinSecure PRO\WinSecure.exe File not found
O4 - HKCU..\Run: [{0CE04775-1A71-B08E-D7D7-2B508341718C}] C:\Users\*******\AppData\Roaming\Uwysz\ipha.exe ()
O4 - HKCU..\Run: [fsm]  File not found
O4 - HKCU..\Run: [M5T8QL3YW3] C:\Users\*******\AppData\Local\Temp\Qjf.exe ()
O4 - HKCU..\Run: [start 1] C:\Users\*******\AppData\Local\Temp\svchost.exe ()
O33 - MountPoints2\{216c076c-b412-11de-a515-00235a89b561}\Shell - "" = AutoRun
O33 - MountPoints2\{216c076c-b412-11de-a515-00235a89b561}\Shell\AutoRun\command - "" = E:\setup.exe.exe -- File not found
O33 - MountPoints2\{e604b1f2-b63e-11de-b19f-00235a89b561}\Shell - "" = AutoRun
O33 - MountPoints2\{e604b1f2-b63e-11de-b19f-00235a89b561}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
[2010.04.15 18:35:57 | 000,000,000 | ---D | C] -- C:\Programme\Conduit
[2010.04.15 18:35:55 | 000,000,000 | ---D | C] -- C:\Programme\Softonic_Deutsch_FF
[2010.06.15 17:46:26 | 000,000,294 | -H-- | M] () -- C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.15 17:12:19 | 000,000,250 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.06.14 20:19:32 | 000,184,320 | ---- | M] () -- C:\Windows\Qbejea.exe
@Alternate Data Stream - 158 bytes -> C:\ProgramData\Temp:CB0AACC9
:services
:files
:reg
:Commands
[purity]
[emptytemp]
[emptyFlash]
[reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 4

Deinstalliere
Ask Toolbar
Softonic_Deutsch_FF Toolbar

Schritt 5

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 6

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
defogger_disable.txt
Log von OTLfix
Gmer.txt
OTL.txt

Internetseiten öffnen ständig! Verdacht auf Trojaner!

Log-Analyse und Auswertung: Internetseiten öffnen ständig! Verdacht auf Trojaner!

Internetseiten öffnen ständig! Verdacht auf Trojaner!

Ähnliche Themen: Internetseiten öffnen ständig! Verdacht auf Trojaner!