Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.10.2010, 19:21   #1
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Hallo an alle


folgendes Problem habe ich seit heute:

Wenn ich Suchtreffer von Google anklicke gelange ich nicht auf die zu erwartende Seite, sondern werde auf seltsame - oft mit Werbung zugemüllte Seiten - umgeleitet. Häufig auch mit kryptische Schriftzeichen gefüllt.

Dieses Problem ist übrigens gleichzeitig mit dem erscheinen der Rogue-Malware "Microsoft Security Essentials Alert" aufgetreten, die ich aber zum Glück durch eine Anleitung im FAQ entfernen konnte (Das Problem ist nicht mehr aufgetreten, und Scans mit MBAM haben nichts mehr angezeigt).

Da ich nicht weiß ob da ein zusammenhang zwischen meinem vorherigen Problem und dem derzeitigen (Google-Problem) besteht, wollte ich das euch mal mitteilen.

Ich habe verschiedene Scans durchgeführt:

- Mbm Log als ich dabei war die Microsoft Security Essentials Alert- Malware zu beseitigen (Ich habe alle dort gezeigten Dateien gelöscht, wenn ich jetzt scanne zeigt er 0 Treffer an).

- Hijackthis Log (Nach dem entfernen der Rogue-Malware durchgeführt).

- OTL Log (Ebenfalls erst nach dem entfernen meines ersten Problems durchgeführt).

Datein als Zip im Anhang, hoffe das geht so ok.



Hoffe ihr könnt was damit anfangen denn ich kanns nicht

Danke im Vorraus

Mfg Rudi

Alt 01.10.2010, 19:44   #2
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
MOD - C:\WINDOWS\system32\drwatmac.dll ()

O36 - AppCertDlls: asr_tupn - (C:\WINDOWS\system32\drwatmac.dll) - C:\WINDOWS\system32\drwatmac.dll ()
:FILES
C:\WINDOWS\system32\drwatmac.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten



öffne den arbeitsplatz, dort bitte c:
dann einen rechtsklick auf _OTL
und wähle zu
_OTL.rar oder zip hinzufügen.
dieses archiv lädst du in unseren upload channel.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
machst du online banking oder ähnliches?
__________________


Alt 01.10.2010, 20:39   #3
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Hi und danke schomal für die Antwort

Ich habe die Datei hochgeladen.
Onlinebanking mache ich übrigens nicht an dem PC.
__________________

Alt 01.10.2010, 20:47   #4
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



hmm ich sehe kein upload, evtl noch mal versuchen.
da sollte dann stehen, upload erfolgreich.
dann weiter:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Alt 01.10.2010, 21:16   #5
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Seltsam, da steht nix wie "wurde erfolgreich hochgeladen", da kommt nichts.
Vielleicht liegt es an der größe, es sind 72 Mb.
Ich probiere es nochmal..

Gruß


Alt 02.10.2010, 11:17   #6
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



das geht dann nicht.
nutze mal
File-Upload.net
und sende mir den download link als private nachicht.

Alt 02.10.2010, 13:31   #7
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Die Nachricht mit dem Downloadlink des OTL Logs solltest du erhalten haben, hoffe diesmal klappts.

Hier der Combofixlog:
Code:
ATTFilter
ComboFix 10-10-01.06 - XXX XXX 02.10.2010  14:12:32.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2979 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX XXX\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt
c:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\jsdfgs.bat
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\tsMuxeR.exe
c:\windows\system32\BReWErS.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\zip32.dll

c:\windows\system32\winlogon.exe . . . ist infiziert!!

c:\windows\explorer.exe . . . ist infiziert!!

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-02 bis 2010-10-02  ))))))))))))))))))))))))))))))
.

2010-10-01 18:59 . 2010-10-01 18:59    --------    d-----w-    C:\_OTL
2010-10-01 14:43 . 2010-10-01 15:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-30 22:39 . 2010-09-30 22:39    2855    ----a-w-    c:\windows\system32\rundll32.PIF
2010-09-30 22:34 . 2010-09-30 22:35    2855    ----a-w-    c:\windows\system32\rundll.PIF
2010-09-30 21:57 . 2010-09-30 21:57    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
2010-09-30 21:08 . 2009-11-23 15:37    14856    ----a-w-    c:\windows\system32\drivers\LGVirHid.sys
2010-09-30 21:08 . 2009-07-01 09:51    23432    ----a-w-    c:\windows\system32\drivers\LGPBTDD.sys
2010-09-30 21:08 . 2010-09-30 21:08    --------    d-----w-    c:\programme\Logitech
2010-09-30 19:23 . 2010-09-30 22:03    0    ----a-w-    c:\windows\Nnefujolij.bin
2010-09-30 19:23 . 2010-09-30 21:24    120    ----a-w-    c:\windows\Dweyihirewapan.dat
2010-09-27 20:11 . 2010-09-27 20:11    220    --sh--w-    c:\windows\dwin.sys
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----r-    c:\programme\Skype
2010-09-20 15:32 . 2010-06-08 16:10    790528    ----a-w-    c:\windows\system32\xvidcore.dll
2010-09-20 15:32 . 2010-06-08 16:10    134144    ----a-w-    c:\windows\system32\xvidvfw.dll
2010-09-20 15:32 . 2004-01-25 16:18    217088    ----a-w-    c:\windows\system32\yv12vfw.dll
2010-09-20 15:32 . 2010-09-14 08:00    108032    ----a-w-    c:\windows\system32\ff_vfw.dll
2010-09-20 15:02 . 2010-09-20 15:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\programme\Apple Software Update
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 11:53 . 2009-08-07 14:14    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\U3
2010-10-02 11:26 . 2004-08-04 12:00    84516    ----a-w-    c:\windows\system32\perfc007.dat
2010-10-02 11:26 . 2004-08-04 12:00    458806    ----a-w-    c:\windows\system32\perfh007.dat
2010-10-01 15:26 . 2010-01-25 19:26    --------    d-----w-    c:\programme\Java
2010-10-01 13:04 . 2009-10-28 20:56    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Winamp
2010-10-01 13:04 . 2009-09-02 16:38    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Media Player Classic
2010-09-30 22:09 . 2009-08-07 22:45    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Xfire
2010-09-30 21:08 . 2009-12-24 17:41    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-30 20:38 . 2010-05-31 14:30    --------    d-----w-    c:\programme\DVDVideoSoftTB
2010-09-29 23:21 . 2009-08-09 00:53    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\vlc
2010-09-28 17:59 . 2009-08-20 14:18    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Skype
2010-09-27 18:27 . 2009-09-01 20:57    --------    d-----w-    c:\programme\World of Warcraft Public Test
2010-09-27 18:26 . 2009-08-05 17:18    --------    d-----w-    c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-09-27 16:04 . 2009-08-20 14:21    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\skypePM
2010-09-24 15:43 . 2009-08-20 14:17    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-09-12 15:46 . 2009-08-20 16:40    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Vso
2010-08-24 01:30 . 2010-07-27 20:30    220008    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-23 00:17 . 2009-08-05 09:00    24040    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 00:14 . 2010-03-10 14:42    --------    d-----w-    c:\programme\TuneUp Utilities 2010
2010-08-17 13:17 . 2008-04-14 05:53    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 19:26 . 2010-03-10 14:43    30528    ----a-w-    c:\windows\system32\TURegOpt.exe
2010-08-12 19:19 . 2010-08-23 00:14    30016    ----a-w-    c:\windows\system32\uxtuneup.dll
2010-08-06 18:06 . 2010-08-06 18:06    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\AnvSoft
2010-08-05 20:48 . 2009-08-21 23:44    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-31 12:47 . 2009-08-04 15:05    413696    ----a-w-    c:\windows\system32\wrap_oal.dll
2010-07-31 12:47 . 2009-08-04 15:05    110592    ----a-w-    c:\windows\system32\OpenAL32.dll
2010-07-22 15:48 . 2008-04-14 05:52    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2009-08-05 07:40    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-18 18:39 . 2009-08-07 14:28    322744    ----a-w-    c:\windows\War3Unin.dat
2010-07-13 20:38 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb1.bin
2010-07-13 20:38 . 2010-07-13 19:58    1    ----a-w-    c:\windows\system32\nvdrssel.bin
2010-07-13 19:58 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb0.bin
2010-07-09 19:04 . 2010-07-09 19:04    41872    ----a-w-    c:\windows\system32\xfcodec.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E12CB5D54A2AC8949DD8FF6155EB9A2A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 64A0C6910942E5DA289D39F7DDA7513B . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-09-30 20:38    2735200    ----a-w-    c:\programme\DVDVideoSoftTB\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 358472]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 1809992]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 3649096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-08-09 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - e:\software\SetPoint\SetPoint.exe [2010-1-5 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28    72208    ----a-w-    c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-06-07 15:35    13902440    ----a-w-    c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"e:\\Software\\Xfire\\Xfire.exe"=
"c:\\Dokumente und Einstellungen\\XXX XXX\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\Launcher.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"e:\\Software\\Utorrent\\utorrent185.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"e:\\Software\\HoN\\hon.exe"=
"e:\\Software\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Software\\Sacred 2\\system\\s2gs.exe"=
"e:\\Software\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [29.08.2009 16:38 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [29.08.2009 16:38 405504]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12.08.2010 21:23 1051968]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [29.08.2009 16:39 487168]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [23.11.2009 17:37 19720]
R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [30.09.2010 23:08 23432]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [30.09.2010 23:08 14856]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys --> c:\windows\system32\drivers\nvhda32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.11.2009 12:37 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\zr6thxpl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - plugin: e:\software\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - HiddenExtension: XULRunner: {E183EA50-20F4-45C0-96C5-D28A815FEE4F} - c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-02 14:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiAcpi]
"ImagePath"="system32\DRIVERS\wmiacpi.sy@"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1482476501-1292428093-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:9e,18,ca,ff,e9,88,4e,9d,47,28,44,77,d9,c0,ce,1e,81,9f,ad,60,ca,
   d5,8c,8f,32,f5,21,fc,a7,64,f2,f2,e4,3c,6c,f7,59,90,9d,dc,f3,31,d0,e4,57,9b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9,87,61,78,b2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\dwlgina2.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-10-02  14:15:01
ComboFix-quarantined-files.txt  2010-10-02 12:14

Vor Suchlauf: 9 Verzeichnis(se), 35.904.180.224 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 35.928.375.296 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /TUTag=IOIJTT /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=IOIJTT-BAK

- - End Of File - - 5054A18EA5A30C684AE030F5FC749F90
         

Gruß

Alt 02.10.2010, 14:15   #8
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



prüfe:
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
bei
VirusTotal - Free Online Virus, Malware and URL Scanner
falls dateien bereits analysiert, klicke erneut prüfen. poste die links der scan ergebnisse, also wenn dort steht, status beendet.

Alt 02.10.2010, 14:57   #9
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Hier die Virustotal Ergebnisse:

hxxp://www.virustotal.com/file-scan/report.html?id=090132da3cf594c6560b7461753b98a36b2ee2dbe14cd57cfc7867803f9f64b5-1286026760


hxxp://www.virustotal.com/file-scan/report.html?id=77833e72871ac47b458cb234bc8a095582ee51e66f117b8260c7bac8f940453b-1286027300

Alt 02.10.2010, 15:01   #10
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren,
bevor es angewiesen wird.


Start programme zubehör editor, kopiere rein:


Killall::
Mia::
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe

Datei speichern unter, typ alle, ort dort wo sich combofix.exe befindet.
name cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

Alt 02.10.2010, 15:26   #11
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Hier die Logs:

Combofix
Code:
ATTFilter
ComboFix 10-10-01.06 - XXX XXX 02.10.2010  16:16:47.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2934 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX XXX\Desktop\cfscript.txt
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . ist infiziert!!

c:\windows\explorer.exe . . . ist infiziert!!

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-02 bis 2010-10-02  ))))))))))))))))))))))))))))))
.

2010-10-01 18:59 . 2010-10-01 18:59    --------    d-----w-    C:\_OTL
2010-10-01 14:43 . 2010-10-01 15:14    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 11:50 . 2010-10-01 11:50    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-01 11:50 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-30 22:39 . 2010-09-30 22:39    2855    ----a-w-    c:\windows\system32\rundll32.PIF
2010-09-30 22:34 . 2010-09-30 22:35    2855    ----a-w-    c:\windows\system32\rundll.PIF
2010-09-30 21:57 . 2010-09-30 21:57    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}
2010-09-30 21:08 . 2009-11-23 15:37    14856    ----a-w-    c:\windows\system32\drivers\LGVirHid.sys
2010-09-30 21:08 . 2009-07-01 09:51    23432    ----a-w-    c:\windows\system32\drivers\LGPBTDD.sys
2010-09-30 21:08 . 2010-09-30 21:08    --------    d-----w-    c:\programme\Logitech
2010-09-30 19:23 . 2010-09-30 22:03    0    ----a-w-    c:\windows\Nnefujolij.bin
2010-09-30 19:23 . 2010-09-30 21:24    120    ----a-w-    c:\windows\Dweyihirewapan.dat
2010-09-27 20:11 . 2010-09-27 20:11    220    --sh--w-    c:\windows\dwin.sys
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-24 15:43 . 2010-09-24 15:43    --------    d-----r-    c:\programme\Skype
2010-09-20 15:32 . 2010-06-08 16:10    790528    ----a-w-    c:\windows\system32\xvidcore.dll
2010-09-20 15:32 . 2010-06-08 16:10    134144    ----a-w-    c:\windows\system32\xvidvfw.dll
2010-09-20 15:32 . 2004-01-25 16:18    217088    ----a-w-    c:\windows\system32\yv12vfw.dll
2010-09-20 15:32 . 2010-09-14 08:00    108032    ----a-w-    c:\windows\system32\ff_vfw.dll
2010-09-20 15:02 . 2010-09-20 15:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\programme\Apple Software Update
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-20 15:01 . 2010-09-20 15:01    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 14:13 . 2004-08-04 12:00    84516    ----a-w-    c:\windows\system32\perfc007.dat
2010-10-02 14:13 . 2004-08-04 12:00    458806    ----a-w-    c:\windows\system32\perfh007.dat
2010-10-02 11:53 . 2009-08-07 14:14    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\U3
2010-10-01 15:26 . 2010-01-25 19:26    --------    d-----w-    c:\programme\Java
2010-10-01 13:04 . 2009-10-28 20:56    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Winamp
2010-10-01 13:04 . 2009-09-02 16:38    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Media Player Classic
2010-09-30 22:09 . 2009-08-07 22:45    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Xfire
2010-09-30 21:08 . 2009-12-24 17:41    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2010-09-30 20:38 . 2010-05-31 14:30    --------    d-----w-    c:\programme\DVDVideoSoftTB
2010-09-29 23:21 . 2009-08-09 00:53    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\vlc
2010-09-28 17:59 . 2009-08-20 14:18    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Skype
2010-09-27 18:27 . 2009-09-01 20:57    --------    d-----w-    c:\programme\World of Warcraft Public Test
2010-09-27 18:26 . 2009-08-05 17:18    --------    d-----w-    c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-09-27 16:04 . 2009-08-20 14:21    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\skypePM
2010-09-24 15:43 . 2009-08-20 14:17    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-09-12 15:46 . 2009-08-20 16:40    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    47360    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\pcouffin.sys
2010-08-28 09:26 . 2010-05-04 16:44    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Vso
2010-08-24 01:30 . 2010-07-27 20:30    220008    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-23 00:17 . 2009-08-05 09:00    24040    ----a-w-    c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 00:14 . 2010-03-10 14:42    --------    d-----w-    c:\programme\TuneUp Utilities 2010
2010-08-17 13:17 . 2008-04-14 05:53    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 19:26 . 2010-03-10 14:43    30528    ----a-w-    c:\windows\system32\TURegOpt.exe
2010-08-12 19:19 . 2010-08-23 00:14    30016    ----a-w-    c:\windows\system32\uxtuneup.dll
2010-08-06 18:06 . 2010-08-06 18:06    --------    d-----w-    c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\AnvSoft
2010-08-05 20:48 . 2009-08-21 23:44    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-31 12:47 . 2009-08-04 15:05    413696    ----a-w-    c:\windows\system32\wrap_oal.dll
2010-07-31 12:47 . 2009-08-04 15:05    110592    ----a-w-    c:\windows\system32\OpenAL32.dll
2010-07-22 15:48 . 2008-04-14 05:52    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2009-08-05 07:40    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-18 18:39 . 2009-08-07 14:28    322744    ----a-w-    c:\windows\War3Unin.dat
2010-07-13 20:38 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb1.bin
2010-07-13 20:38 . 2010-07-13 19:58    1    ----a-w-    c:\windows\system32\nvdrssel.bin
2010-07-13 19:58 . 2010-07-13 19:58    217180    ----a-w-    c:\windows\system32\nvdrsdb0.bin
2010-07-09 19:04 . 2010-07-09 19:04    41872    ----a-w-    c:\windows\system32\xfcodec.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E12CB5D54A2AC8949DD8FF6155EB9A2A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 64A0C6910942E5DA289D39F7DDA7513B . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-08-09 15:18 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((((   SnapShot@2010-10-02_12.14.19   )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00 . 2010-10-02 11:26    71138              c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-10-02 14:13    71138              c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-10-02 14:13    440820              c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2010-10-02 11:26    440820              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-09-30 20:38    2735200    ----a-w-    c:\programme\DVDVideoSoftTB\tbDVD0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-30 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Launch LgDeviceAgent"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 358472]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 1809992]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 3649096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-08-09 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - e:\software\SetPoint\SetPoint.exe [2010-1-5 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28    72208    ----a-w-    c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-06-07 15:35    13902440    ----a-w-    c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"e:\\Software\\Xfire\\Xfire.exe"=
"c:\\Dokumente und Einstellungen\\XXX XXX\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"e:\\Software\\World of Warcraft\\Launcher.exe"=
"e:\\Software\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"e:\\Software\\Utorrent\\utorrent185.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"e:\\Software\\HoN\\hon.exe"=
"e:\\Software\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Software\\Sacred 2\\system\\s2gs.exe"=
"e:\\Software\\Sacred 2\\system\\sacred2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [29.08.2009 16:38 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [29.08.2009 16:38 405504]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12.08.2010 21:23 1051968]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [29.08.2009 16:39 487168]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [23.11.2009 17:37 19720]
R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [30.09.2010 23:08 23432]
R3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [30.09.2010 23:08 14856]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys --> c:\windows\system32\drivers\nvhda32.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.11.2009 12:37 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\XXX XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\zr6thxpl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - plugin: e:\software\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - HiddenExtension: XULRunner: {E183EA50-20F4-45C0-96C5-D28A815FEE4F} - c:\dokumente und einstellungen\XXX XXX\Lokale Einstellungen\Anwendungsdaten\{E183EA50-20F4-45C0-96C5-D28A815FEE4F}

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-02 16:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmiAcpi]
"ImagePath"="system32\DRIVERS\wmiacpi.sy@"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1482476501-1292428093-1417001333-1004\Software\SecuROM\License information*]
"datasecu"=hex:9e,18,ca,ff,e9,88,4e,9d,47,28,44,77,d9,c0,ce,1e,81,9f,ad,60,ca,
   d5,8c,8f,32,f5,21,fc,a7,64,f2,f2,e4,3c,6c,f7,59,90,9d,dc,f3,31,d0,e4,57,9b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9,87,61,78,b2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(944)
c:\windows\system32\dwlgina2.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3692)
e:\software\SetPoint\GameHook.dll
e:\software\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDRSS.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
c:\programme\Logitech\GamePanel Software\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\Applets\ColorOnly\LCDWebCam.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe
c:\programme\McAfee\VirusScan Enterprise\Mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-02  16:22:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-02 14:22
ComboFix2.txt  2010-10-02 12:15

Vor Suchlauf: 10 Verzeichnis(se), 35.925.594.112 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 35.911.122.944 Bytes frei

- - End Of File - - 69AB76E5FBB9D1CE567132CACE8C9B66
         
Defogger:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:07 on 02/10/2010 (XXX XXX)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
         
Gruß

Alt 02.10.2010, 16:05   #12
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



bitte sichere sicherheitshalber alle daten.

erstelle ein neues otl script.

:OTL
C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace
C:\WINDOWS\system32\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

poste das otl slog nach neustart

Alt 02.10.2010, 16:26   #13
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



OTL Logfile:
Code:
ATTFilter
All processes killed
========== OTL ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: XXX XXX
->Flash cache emptied: 456 bytes
 
User: LocalService
 
User: NetworkService
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: XXX XXX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16541359 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 16,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10022010_171903

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
Gruß

Alt 02.10.2010, 17:07   #14
markusg
/// Malware-holic
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



sorry fehler, neues otl script

:OTL
:FILES
C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace
C:\WINDOWS\system32\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

poste das otl log nach neustart

Alt 02.10.2010, 17:38   #15
rudiru
 
Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Standard

Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern



Neuer OTL Log
HTML-Code:
All processes killed
========== OTL ==========
========== FILES ==========
File C:\WINDOWS\ServicePackFiles\i386\winlogon.exe not found.
File C:\WINDOWS\ServicePackFiles\i386\explorer.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: XXX XXX
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: XXX XXX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 84339 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1792 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10022010_182902

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Gruß

Antwort

Themen zu Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern
alert, anleitung, dateien, dateien gelöscht, ebenfalls, entfernen, gelöscht, gleichzeitig, google, hijack, hijackthis, internetseite, klicke, log, mbam, microsoft, microsoft security, microsoft security essentials, nicht mehr, nichts, otl log, problem, security, seite, seiten, seltsame, umleitung, ungewollte, werbung



Ähnliche Themen: Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern


  1. Ungewollte Umleitung auf wpkg.org
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (17)
  2. Win 7: Selbständige Internetseiten und Umleitung auf Werbung
    Log-Analyse und Auswertung - 05.06.2014 (12)
  3. Windows 7 : grüne ungewollte Links im Text, Umleitung auf Webseiten mit Werbung
    Log-Analyse und Auswertung - 04.03.2014 (9)
  4. ihavenet / Umleitung falsche Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (15)
  5. PC friert ein, falsch dargestellte Internetseiten und eine seltsame Meldung
    Plagegeister aller Art und deren Bekämpfung - 26.10.2012 (28)
  6. Umleitung auf falsche Internetseiten ...ich werd noch wahnsinnig
    Log-Analyse und Auswertung - 02.07.2012 (10)
  7. svchost frisst arbeitsspeicher, ungewollte umleitung bei klick auf link usw.
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (3)
  8. Dateien versteckt, angeblich Festplattenfehler, Umleitung Internetseiten, plötzlich Sound-Output
    Mülltonne - 20.05.2011 (0)
  9. Umleitung auf diverse unseriöse Seiten sowie seltsame Suchmaschinen
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (91)
  10. Ungewollte Umleitung auf andere Seite; Pls HijackThis-Log auswerten
    Log-Analyse und Auswertung - 21.10.2010 (2)
  11. Ungewollte pop-ups/ungewollte links aus Google -PLEASE HELP -log inside
    Log-Analyse und Auswertung - 25.01.2010 (13)
  12. Umleitung auf falsche Internetseiten
    Log-Analyse und Auswertung - 14.02.2009 (28)
  13. Ungewollte Umleitung von Google auf andere Seiten
    Log-Analyse und Auswertung - 20.09.2008 (1)
  14. Umleitung auf andere Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 09.08.2008 (9)
  15. ungewollte Umleitung von Google auf Ebay oder andere Suchmaschinen; bitte log auswert
    Log-Analyse und Auswertung - 28.01.2008 (2)
  16. Umleitung auf andere Internetseiten
    Log-Analyse und Auswertung - 10.10.2006 (3)
  17. Ungewollte Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 26.02.2006 (22)

Zum Thema Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern - Hallo an alle folgendes Problem habe ich seit heute: Wenn ich Suchtreffer von Google anklicke gelange ich nicht auf die zu erwartende Seite, sondern werde auf seltsame - oft mit - Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern...
Archiv
Du betrachtest: Ungewollte Umleitung auf seltsame Internetseiten bei Google Suchtreffern auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.