Guten morgen zusammen,

ich wurde in den letzten Tagen bei der Nutzung von Google immer wieder ungewollt auf div. Seiten weitergeleitet(z.B. google.analytics). Da ich nicht lange umhermachen wollte, habe ich gestern mein System neu aufgesetzt. Problem ist dabei nur, dass ich zwei Festplatten habe. Auf der ersten ist das BS und die Programme und auf der zweiten sind sämtliche Daten. Die zweite konnte ich nicht formatieren.
Beim suchen nach dem richtigen Grafikkartentreiber hat es mich dann erneut weitergeleitet.
Nun würde ich gerne wissen, ob ich mich erneut infiziert habe oder ob es nur Zufall war.

Danke & Grüße
Sortar

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:44, on 26.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1285403905250
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4735 bytes
         

Hallo und

Zitat:

ich wurde in den letzten Tagen bei der Nutzung von Google immer wieder ungewollt auf div. Seiten weitergeleitet(z.B. google.analytics). Da ich nicht lange umhermachen wollte, habe ich gestern mein System neu aufgesetzt.

Google-Analytics gehört zu Google! Vllt hättest Du erstmal ein wenig vor der Formatierung recherchiert Google Analytics | Offizielle Website

Wenn Dich Google-Analytics stört, kannst Du es über einen Eintrag in der Hosts Datei auf den localhost erden, sodass Dein Rechner diese URL nicht mehr erreichen kann.

Google-Analytics gehört zu Google! Vllt hättest Du erstmal ein wenig vor der Formatierung recherchiert Google Analytics | Offizielle Website

Hallo,

das ist nur eine Seite von vielen. Hatte da sicher über 10 verschiedene. Ausserdem konnte ich Antivir vor der Formatierung auch nicht mehr aktualisieren.
Nach der Formatierung werde ich meistens auf diese Seite weitergeleitet:

h**p://95.158.237.243:11066/index.html?u=141&t=1

Auch beim surfen auf msi und trojaner-board.

Grüße

Wie genau hast Du Windows neu installiert?
Nach der Formatierung ist kein Schädling mehr drauf.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

[QUOTE=cosinus;572310]

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

[QUOTE]

Das wundert mich ja auch. Habe c formatiert und neu inst. Nur die Datenplatte habe ich nicht formatiert. Da sind auch noch ein / zwei .exe mit drauf. KA ob es daran liegen könnte.
Update von Malwarebytes funktioniert auch nicht. Hab ne aktuelle Version geladen, die du in einem andern Thread vorgeschlagen hast.

Die drei Logs sind im Anhang, da sie zu lang waren.

Grüße

Zitat:

Da sind auch noch ein / zwei .exe mit drauf. KA ob es daran liegen könnte.

Ja sowas kann sein. hast Du den Kram ausgeführt per Doppelklick? Was für .exe sind das?

Morgen,

das sind selbstentpackende Archive mit Treibern für Board und Grafikkarte sowie Antivir und Zonealarm.
Habe jedoch beides vor dem ersten Auftreten der Symptome runtergeladen.
Die Treiber habe ich benutzt.

Soll ich alle ausführbaren Dateien löschen und dann das System nochmals neu aufsetzen? Habe bisher kaum etwas inst..

Grüße

Zitat:

Soll ich alle ausführbaren Dateien löschen und dann das System nochmals neu aufsetzen? Habe bisher kaum etwas inst..

Wird das beste sein. Das System ist ja quasi nackt.

Zitat:

und Zonealarm.

Diesen Unsinn bitte weglassen. Nutze die Windows-Firewall. Ausgehenden Verkehr kannst Du auch mit ZoneAlarm nicht wirklich blockieren.

Hallo,

habe nun alles ausführbare gelöscht, c formatiert und Windows nochmals inst..
Danach bin ich auf die Updateseite von Windows und wurde wieder auf die geliebte Seite weitergeleitet. Hab ausser Treibern nichts inst., gestartet oder angeklickt.
Da muss wohl doch noch iwas auf meiner Datenplatte sitzen.
Kann man das iwie überprüfen?

Grüße