Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.10.2010, 13:58   #1
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Ich werde nach einer Google Suche 'ab und zu' -> also nicht immer über eine search.pro - Seite weitergeleitet.

Habe nach langer Suche wohl etwas gefunden was mir weiterhilft. Allerdings weiss ich trotzdem nich genau was ich jetzt tun soll. Habe mal den BootkitRemover über mein System laufen lassen:

Code:
ATTFilter
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

     Size  Device Name          MBR Status
 --------------------------------------------
   149 GB  \\.\PhysicalDrive0   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
         
Malwarebytes, Antivir, Spybot, Hijackthis - Log file Auswertung - alles scheint sonst ok zu sein.

Was kann ich tun damit ich dieses Problem behebe? Benötigt Ihr noch mehr Informationen?

Vielen Dank im vorraus.

Alt 13.10.2010, 18:05   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Poste bitte trotzdem das Log von Malwarebytes. Alle falls Du mehrere hast.
__________________

__________________

Alt 14.10.2010, 11:17   #3
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hier das Log aus Malwarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.10.2010 11:14:54
mbam-log-2010-10-14 (11-14-54).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 130115
Laufzeit: 5 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Ich muss vielleicht noch dazu sagen, dass ich Malewarebytes erst öffnen konnte nachdem ich die .exe umbenannt habe.

Grüße
__________________

Alt 15.10.2010, 12:25   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Zitat:
Datenbank Version: 4052
Art des Suchlaufs: Quick-Scan
Quickscan und veraltete Signaturen sind schon mal suboptimal.
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2010, 20:05   #5
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hi,

hab ich gemacht. Komisch, beim letzten kompletten Durchlauf wurde nichts gefunden.

Die Sandbox kenne ich. Damit hab ich ie6/7 getestet.

Hier das log:

Code:
ATTFilter
                                                                     
                                                                     
                                                                     
                                             
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4833

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.10.2010 17:55:51
mbam-log-2010-10-15 (17-55-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 319166
Laufzeit: 1 Stunde(n), 10 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 29

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.15.0.6\Spoon-Sandbox-Native.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.15.0.6\Spoon-Sandbox.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.15.0.7\Spoon-Sandbox-Native.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.15.0.7\Spoon-Sandbox.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.16.0.4\Spoon-Sandbox-Native.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.16.0.4\Spoon-Sandbox.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.16.0.5\Spoon-Sandbox-Native.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Spoon\3.16.0.5\Spoon-Sandbox.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Firefox\3.0.11\2009.07.07T19.22\Virtual\STUBEXE\7.1.273\@PROGRAMFILES@\Mozilla Firefox\firefox.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.03.19T01.00\Native\STUBEXE\7.1.273\@SYSTEM@\cmd.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.03.19T01.00\Native\STUBEXE\7.1.273\@SYSTEM@\regsvr32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.03.19T01.00\Native\STUBEXE\7.1.273\@SYSTEM@\Rundll32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.03.19T01.00\Virtual\STUBEXE\7.1.273\@PROGRAMFILES@\Internet Explorer\IEXPLORE.EXE (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.07.15T17.40\Native\STUBEXE\7.1.281\@SYSTEM@\cmd.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.07.15T17.40\Native\STUBEXE\7.1.281\@SYSTEM@\regsvr32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.07.15T17.40\Native\STUBEXE\7.1.281\@SYSTEM@\Rundll32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Microsoft Internet Explorer 6\6.00.2800.1106\2009.07.15T17.40\Virtual\STUBEXE\7.1.281\@PROGRAMFILES@\Internet Explorer\IEXPLORE.EXE (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Plugin\3.15.0.7\2009.10.29T22.26\Native\STUBEXE\8.0.1113\@SYSTEM@\regsvr32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Plugin\3.16.0.4\2009.11.19T22.34\Native\STUBEXE\8.0.1113\@SYSTEM@\regsvr32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Plugin\3.16.0.5\2009.12.15T18.47\Native\STUBEXE\8.0.1113\@SYSTEM@\regsvr32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Plugin\3.4.0.3\2009.07.07T18.46\Native\STUBEXE\7.1.273\@SYSTEM@\regsvr32.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.15.0.6\2009.10.27T22.03\Native\STUBEXE\8.0.1112\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\csc.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.15.0.6\2009.10.27T22.03\Native\STUBEXE\8.0.1112\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\cvtres.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.15.0.7\2009.10.29T22.25\Native\STUBEXE\8.0.1113\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\csc.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.15.0.7\2009.10.29T22.25\Native\STUBEXE\8.0.1113\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\cvtres.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.16.0.4\2009.11.19T22.33\Native\STUBEXE\8.0.1113\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\csc.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.16.0.4\2009.11.19T22.33\Native\STUBEXE\8.0.1113\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\cvtres.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.16.0.5\2009.12.15T18.47\Native\STUBEXE\8.0.1113\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\csc.exe (Backdoor.Bifrose) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Spoon Sandbox Manager\3.16.0.5\2009.12.15T18.47\Native\STUBEXE\8.0.1113\@WINDIR@\Microsoft.NET\Framework\v2.0.50727\cvtres.exe (Backdoor.Bifrose) -> No action taken.
         
Was soll ich jetzt tun?

Grüße


Alt 15.10.2010, 21:09   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Von wo hast Du diesen Sandbox-Manager heruntergeladen?
Den kenn ich garnicht, als Sandbox für Windows kenn ich nur Sandboxie.
__________________
--> Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter

Alt 17.10.2010, 18:26   #7
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hi,

früher war das mal diese URL. Die sind wohl umgezogen.
hxxp://www.xenocode.com/browsers/

Noch irgendwelche Tipps was ich tun könnte?

Grüße

Alt 17.10.2010, 19:51   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Führ mal CF aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 10:34   #9
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hier das log:

Code:
ATTFilter
ComboFix 10-10-17.03 - Administrator 18.10.2010  10:15:50.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3325.2856 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-18 bis 2010-10-18  ))))))))))))))))))))))))))))))
.

2010-10-18 07:51 . 2010-10-18 07:51    --------    d-----w-    c:\programme\CCleaner
2010-10-13 11:45 . 2010-10-13 11:45    --------    d-----w-    c:\programme\Mythicsoft
2010-10-12 11:20 . 2010-10-12 11:20    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-10-12 11:20 . 2010-10-12 11:20    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2010-10-07 13:38 . 2010-10-07 13:38    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-10-07 13:36 . 2010-10-18 07:53    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-07 13:36 . 2010-10-08 06:55    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-10-07 13:16 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-07 13:16 . 2010-10-07 13:38    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-10-07 13:16 . 2010-10-07 13:16    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-07 13:16 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-30 08:32 . 2010-09-30 08:32    160288    ----a-w-    c:\windows\system32\drivers\afcdp.sys
2010-09-30 08:32 . 2010-09-30 08:32    911680    ----a-w-    c:\windows\system32\drivers\tdrpm258.sys
2010-09-30 08:32 . 2010-09-30 08:32    581984    ----a-w-    c:\windows\system32\drivers\timntr.sys
2010-09-30 08:31 . 2010-09-30 08:31    158272    ----a-w-    c:\windows\system32\drivers\snapman.sys
2010-09-30 08:31 . 2010-09-30 08:32    --------    d-----w-    c:\programme\Gemeinsame Dateien\Acronis
2010-09-30 08:31 . 2010-09-30 08:31    --------    d-----w-    c:\programme\Acronis
2010-09-30 07:18 . 2010-09-30 07:18    --------    d-----w-    c:\programme\ERUNT
2010-09-23 12:13 . 2010-09-23 12:13    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBookSys
2010-09-22 16:10 . 2010-09-22 16:10    103864    ----a-w-    c:\programme\Mozilla Firefox\plugins\nppdf32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinMover_ManagedByWinMoverConfig"="c:\programme\WinMover\WinMover.exe" [2005-12-02 10240]
"Google Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-06-17 133104]
"Directory Opus Desktop Dblclk"="c:\programme\GPSoftware\Directory Opus\dopusrt.exe" [2008-05-02 275952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" [2008-02-01 405504]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-09 13680640]
"nwiz"="nwiz.exe" [2009-02-09 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-09 86016]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"MMReminderService"="c:\programme\Mindjet\MindManager 8\MMReminderService.exe" [2008-12-08 37656]
"HP Network Registry Agent"="c:\windows\system32\hpnra.exe" [2000-10-26 49152]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-11-12 5140960]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-11-12 362032]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Klient 2.2.lnk - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{FAC86535-117D-4C12-8EC2-9B96BBE157A9}\ProgramShortcut_FAC86535117D4C128EC29B96BBE157A9.exe [2009-5-25 86016]
PhoneSuite CTI Client.lnk - c:\programme\PhoneSuite_CTI_Client\phonesuite.exe [2009-7-10 929792]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-9-17 113664]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= "c:\programme\GPSoftware\Directory Opus\dopuslib.dll" [2008-05-02 689648]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Klient\\Klient.exe"=
"c:\\Programme\\Zend\\Zend Studio for Eclipse - 6.1.2\\ZendStudio.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Microsoft Virtual PC\\Virtual PC.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\HTTP Weazel\\webserv.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Zend\\Zend Studio - 7.2.1\\ZendStudio.exe"=
"c:\\Programme\\Adobe\\Adobe Flash CS3\\Flash.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"1042:TCP"= 1042:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [30.09.2010 10:32 911680]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [30.09.2010 10:32 2480048]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [14.04.2008 14:00 14336]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [24.03.2010 18:06 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.03.2010 18:06 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [24.03.2010 18:06 405672]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [24.09.2006 21:22 11776]
R2 vcdc;optiPoint 500-600 virtual serial interface;c:\windows\system32\drivers\vcdc.sys [11.11.2004 15:29 66290]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [30.09.2010 10:32 160288]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [24.09.2006 21:23 3584]
R3 usbcomm;optiPoint 500-600 USB interface;c:\windows\system32\drivers\usbcomm.sys [05.08.2003 14:11 96757]
R3 vi2000;CallBridge for Data (Eval);c:\windows\system32\drivers\usbeval.sys [29.09.2003 11:12 49461]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [07.10.2010 15:16 38224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-1972579041-682003330-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-17 14:33]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-1972579041-682003330-500UA.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-17 14:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Sothink SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: {FCFF53F8-ACBB-45EC-9386-4C199CA3DBA8} = 192.168.150.117
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\wphddoh4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\wphddoh4.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\wphddoh4.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-854245398-1972579041-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,66,8e,70,04,00,61,17,4f,96,a7,8b,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,35,d7,e0,c3,dd,54,09,4e,b2,d1,1b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1120)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-10-18  10:23:42
ComboFix-quarantined-files.txt  2010-10-18 08:23

Vor Suchlauf: 13 Verzeichnis(se), 124.662.833.152 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 124.770.152.448 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 7496F9203361FD82CAC50683B61577DB
         
Es kam eine Meldung dass ein Rootkit festgestellt wurde.

Alt 18.10.2010, 12:35   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Ja, CF hat ein Rootkit gekillt. Weiter gehts

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Reglockdel::
[HKEY_USERS\S-1-5-21-854245398-1972579041-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 13:25   #11
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hier das Combofix - Log:

Code:
ATTFilter
ComboFix 10-10-17.03 - Administrator 18.10.2010  13:17:47.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3325.2768 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-18 bis 2010-10-18  ))))))))))))))))))))))))))))))
.

2010-10-18 07:51 . 2010-10-18 07:51    --------    d-----w-    c:\programme\CCleaner
2010-10-13 11:45 . 2010-10-13 11:45    --------    d-----w-    c:\programme\Mythicsoft
2010-10-12 11:20 . 2010-10-12 11:20    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-10-12 11:20 . 2010-10-12 11:20    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2010-10-07 13:38 . 2010-10-07 13:38    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-10-07 13:36 . 2010-10-18 07:53    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-07 13:36 . 2010-10-08 06:55    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-10-07 13:16 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-07 13:16 . 2010-10-07 13:38    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-10-07 13:16 . 2010-10-07 13:16    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-07 13:16 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-30 08:32 . 2010-09-30 08:32    160288    ----a-w-    c:\windows\system32\drivers\afcdp.sys
2010-09-30 08:32 . 2010-09-30 08:32    911680    ----a-w-    c:\windows\system32\drivers\tdrpm258.sys
2010-09-30 08:32 . 2010-09-30 08:32    581984    ----a-w-    c:\windows\system32\drivers\timntr.sys
2010-09-30 08:31 . 2010-09-30 08:31    158272    ----a-w-    c:\windows\system32\drivers\snapman.sys
2010-09-30 08:31 . 2010-09-30 08:32    --------    d-----w-    c:\programme\Gemeinsame Dateien\Acronis
2010-09-30 08:31 . 2010-09-30 08:31    --------    d-----w-    c:\programme\Acronis
2010-09-30 07:18 . 2010-09-30 07:18    --------    d-----w-    c:\programme\ERUNT
2010-09-23 12:13 . 2010-09-23 12:13    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBookSys
2010-09-22 16:10 . 2010-09-22 16:10    103864    ----a-w-    c:\programme\Mozilla Firefox\plugins\nppdf32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-18_08.22.28   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-18 08:29 . 2010-10-18 08:29    16384              c:\windows\Temp\Perflib_Perfdata_300.dat
+ 2010-10-18 08:29 . 2010-10-18 08:29    16384              c:\windows\Temp\Perflib_Perfdata_25c.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26    80384    ----a-w-    c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinMover_ManagedByWinMoverConfig"="c:\programme\WinMover\WinMover.exe" [2005-12-02 10240]
"Google Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-06-17 133104]
"Directory Opus Desktop Dblclk"="c:\programme\GPSoftware\Directory Opus\dopusrt.exe" [2008-05-02 275952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" [2008-02-01 405504]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-09 13680640]
"nwiz"="nwiz.exe" [2009-02-09 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-09 86016]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"MMReminderService"="c:\programme\Mindjet\MindManager 8\MMReminderService.exe" [2008-12-08 37656]
"HP Network Registry Agent"="c:\windows\system32\hpnra.exe" [2000-10-26 49152]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-11-12 5140960]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-11-12 362032]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Klient 2.2.lnk - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{FAC86535-117D-4C12-8EC2-9B96BBE157A9}\ProgramShortcut_FAC86535117D4C128EC29B96BBE157A9.exe [2009-5-25 86016]
PhoneSuite CTI Client.lnk - c:\programme\PhoneSuite_CTI_Client\phonesuite.exe [2009-7-10 929792]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-9-17 113664]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= "c:\programme\GPSoftware\Directory Opus\dopuslib.dll" [2008-05-02 689648]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Klient\\Klient.exe"=
"c:\\Programme\\Zend\\Zend Studio for Eclipse - 6.1.2\\ZendStudio.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Microsoft Virtual PC\\Virtual PC.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\HTTP Weazel\\webserv.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Zend\\Zend Studio - 7.2.1\\ZendStudio.exe"=
"c:\\Programme\\Adobe\\Adobe Flash CS3\\Flash.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"1044:TCP"= 1044:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [30.09.2010 10:32 911680]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [30.09.2010 10:32 2480048]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [14.04.2008 14:00 14336]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [24.03.2010 18:06 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.03.2010 18:06 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [24.03.2010 18:06 405672]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [24.09.2006 21:22 11776]
R2 vcdc;optiPoint 500-600 virtual serial interface;c:\windows\system32\drivers\vcdc.sys [11.11.2004 15:29 66290]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [30.09.2010 10:32 160288]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [24.09.2006 21:23 3584]
R3 usbcomm;optiPoint 500-600 USB interface;c:\windows\system32\drivers\usbcomm.sys [05.08.2003 14:11 96757]
R3 vi2000;CallBridge for Data (Eval);c:\windows\system32\drivers\usbeval.sys [29.09.2003 11:12 49461]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [07.10.2010 15:16 38224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-1972579041-682003330-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-17 14:33]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-1972579041-682003330-500UA.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-17 14:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Sothink SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: {FCFF53F8-ACBB-45EC-9386-4C199CA3DBA8} = 192.168.150.117
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\wphddoh4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\wphddoh4.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\wphddoh4.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1116)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(3544)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\programme\UltraMon\RTSUltraMonHook.dll
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
c:\programme\TortoiseSVN\bin\TortoiseStub.dll
c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
c:\programme\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\nvwddi.dll
c:\programme\GPSoftware\Directory Opus\dopushlp.dll
c:\programme\WinMover\WinMover.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\programme\UltraMon\Resources\de\RTSUltraMonHookRes.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-10-18  13:24:39
ComboFix-quarantined-files.txt  2010-10-18 11:24
ComboFix2.txt  2010-10-18 08:23

Vor Suchlauf: 15 Verzeichnis(se), 124.731.502.592 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 124.723.994.624 Bytes frei

- - End Of File - - E2622F524DEE7578BBBADB45E9C04888
         

Alt 18.10.2010, 13:46   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 15:04   #13
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hi,

GMER kann ich gerade nicht ausführen, aber vielleicht reichen die anderen 2?

MBR:

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:            
Windows Version:        Windows XP Professional
Windows Information:        Service Pack 3 (build 2600)
Logical Drives Mask:        0x0080a90c

Kernel Drivers (total 130):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA0B8000 ohci1394.sys
  0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0D8000 MountMgr.sys
  0xB9F48000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F22000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA0E8000 VolSnap.sys
  0xB9F0A000 atapi.sys
  0xBA0F8000 disk.sys
  0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9EEA000 fltMgr.sys
  0xB9ED8000 sr.sys
  0xB9EC1000 KSecDD.sys
  0xB9E34000 Ntfs.sys
  0xB9E07000 NDIS.sys
  0xB9D7A000 timntr.sys
  0xB9C9D000 tdrpm258.sys
  0xB9C78000 snapman.sys
  0xB9C5E000 Mup.sys
  0xBA258000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB92E6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB92D2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBA268000 \SystemRoot\system32\DRIVERS\HECI.sys
  0xB9291000 \SystemRoot\system32\DRIVERS\e1e5132.sys
  0xBA408000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB926D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA410000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB9245000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA278000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBA288000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB9BFD000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xBA298000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA2A8000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA2B8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9222000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA2C8000 \SystemRoot\system32\DRIVERS\VMNetSrv.sys
  0xBA7BF000 \SystemRoot\system32\DRIVERS\UltraMonMirror.sys
  0xBA7C0000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA2D8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB9BF1000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB920B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA2E8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA2F8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA418000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB91FA000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA308000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA420000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA428000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB91E9000 \SystemRoot\system32\DRIVERS\vcdc.sys
  0xBA5D2000 \SystemRoot\system32\DRIVERS\KMONAPI.SYS
  0xBA7C6000 \SystemRoot\system32\DRIVERS\VCDCLIB.SYS
  0xB91B9000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xBA318000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA430000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA438000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA5D4000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB90BB000 \SystemRoot\system32\DRIVERS\update.sys
  0xB9BD9000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA128000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xBA148000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5D8000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB6C23000 \SystemRoot\system32\drivers\sthda.sys
  0xB6BFF000 \SystemRoot\system32\drivers\portcls.sys
  0xBA158000 \SystemRoot\system32\drivers\drmk.sys
  0xB6BDA000 \SystemRoot\system32\drivers\sfng32.sys
  0xBA5DC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA73E000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5DE000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA468000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xBA470000 \SystemRoot\System32\drivers\vga.sys
  0xBA5E0000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5E2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBA478000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBA480000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA5A4000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB6B7F000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB6B26000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB6AFE000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB6AD8000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB9C19000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xB6A8E000 \SystemRoot\System32\drivers\afd.sys
  0xBA178000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xBA188000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBA488000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB6A53000 \??\C:\WINDOWS\system32\Drivers\vmm.sys
  0xBA198000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xBA490000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB6A28000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB69B8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA1A8000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB6996000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xBA1C8000 \SystemRoot\system32\DRIVERS\usbeval.sys
  0xB697E000 \SystemRoot\system32\DRIVERS\usbcomm.sys
  0xBA1D8000 \SystemRoot\system32\drivers\usbaudio.sys
  0xBA5E8000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB9C09000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA1E8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB9C05000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB90B7000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xBA208000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB68C6000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBA5EE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB9097000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBA4A0000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xBA7B8000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB6371000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB63A2000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB60EC000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB60AF000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB691E000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB5E59000 \SystemRoot\system32\DRIVERS\afcdp.sys
  0xB5CE9000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB5D41000 \??\C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys
  0xB4FE8000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 57):
       0 System Idle Process
       4 System
     944 C:\WINDOWS\system32\smss.exe
    1020 csrss.exe
    1056 C:\WINDOWS\system32\winlogon.exe
    1104 C:\WINDOWS\system32\services.exe
    1116 C:\WINDOWS\system32\lsass.exe
    1316 C:\WINDOWS\system32\svchost.exe
    1400 svchost.exe
    1512 C:\WINDOWS\system32\svchost.exe
    1648 svchost.exe
    1764 svchost.exe
    1960 C:\WINDOWS\system32\spoolsv.exe
    2040 C:\Programme\Avira\AntiVir Desktop\sched.exe
     308 svchost.exe
     500 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
     516 C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
     588 C:\WINDOWS\system32\svchost.exe
     628 C:\Programme\Avira\AntiVir Desktop\avguard.exe
     664 C:\Programme\Bonjour\mDNSResponder.exe
     740 C:\Programme\Java\jre6\bin\jqs.exe
     384 C:\WINDOWS\system32\nvsvc32.exe
     952 C:\Programme\SigmaTel\C-Major Audio\WDM\stacsv.exe
    2032 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
     580 C:\WINDOWS\system32\searchindexer.exe
    2088 C:\Programme\Avira\AntiVir Desktop\avmailc.exe
    2100 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
    2200 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2440 alg.exe
    3096 C:\WINDOWS\explorer.exe
    3644 C:\Programme\TortoiseSVN\bin\TSVNCache.exe
    4052 C:\WINDOWS\sttray.exe
    2120 C:\WINDOWS\system32\rundll32.exe
    2216 C:\Programme\UltraMon\UltraMon.exe
    2224 C:\Programme\Mindjet\MindManager 8\MmReminderService.exe
    2232 C:\WINDOWS\system32\hpnra.exe
    3928 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    3964 C:\Programme\UltraMon\UltraMonTaskbar.exe
    3976 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    4000 C:\WINDOWS\system32\rundll32.exe
    4040 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
     432 C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
     972 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    2236 C:\Programme\WinMover\WinMover.exe
    2280 C:\Programme\GPSoftware\Directory Opus\dopusrt.exe
    2556 C:\Programme\Mozilla Thunderbird\thunderbird.exe
    2568 C:\Programme\Mozilla Firefox\firefox.exe
    2832 C:\Programme\GPSoftware\Directory Opus\dopus.exe
    2608 C:\Programme\Klient\Klient.exe
    2920 C:\Programme\PhoneSuite_CTI_Client\phonesuite.exe
    2928 C:\Programme\Zend\Zend Studio - 7.2.1\ZendStudio.exe
    3232 C:\Programme\Java\jre6\bin\javaw.exe
    2244 C:\Programme\Mozilla Firefox\plugin-container.exe
    3392 C:\Dokumente und Einstellungen\Administrator\Desktop\osam_autorun_manager_5_0_portable\osam.exe
    3428 C:\WINDOWS\system32\searchprotocolhost.exe
    3004 searchfilterhost.exe
    3356 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: HitachiHDP725016GLA380, Rev: GMBOA5CA

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!
         
Die osam.html als zip im Anhang.

Grüße
Angehängte Dateien
Dateityp: zip osam.zip (8,9 KB, 37x aufgerufen)

Alt 18.10.2010, 18:57   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.10.2010, 18:03   #15
ainzon
 
Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Standard

Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter



Hab jetzt gerade nochmal Malwarebytes gestartet.

Allerdings hat Antivir schon wieder was gefunden:


Code:
ATTFilter
Die Datei 'C:\System Volume Information\_restore{8F933CC3-104E-4E90-B05F-B2DCA7F8F34F}\RP475\A0046393.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eac1feb.qua' verschoben!
         

Antwort

Themen zu Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter
antivir, auswertung, code, falsche, falsche seite, falsche seiten, file, firefox, fix, google, google suchergebnisse, hijack, hijackthis, log, log file, microsoft, problem, remover, seite, seiten, service pack 3, sonst ok, spybot, suche, suchergebnisse, system, windows, windows xp



Ähnliche Themen: Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter


  1. Firefox/Chrome leiten auf andere Seiten weiter
    Log-Analyse und Auswertung - 16.03.2013 (11)
  2. Google-Links leiten mich auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (23)
  3. Google Suchergebnisse schicken mich auf falsche seiten!
    Plagegeister aller Art und deren Bekämpfung - 19.01.2013 (12)
  4. Google-Ergebnisse leiten auf andere Seiten weiter
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (26)
  5. Suchergebnisse von Google werden auf falsche Seiten geleitet
    Log-Analyse und Auswertung - 18.01.2012 (17)
  6. Google Suchergebnisse leiten falsch weiter
    Log-Analyse und Auswertung - 11.10.2011 (10)
  7. Google Suchergebnisse leiten falsch weiter
    Mülltonne - 05.10.2011 (2)
  8. Firefox: bei Google suche wird manchmal auf falsche seiten weitergeleitet
    Log-Analyse und Auswertung - 05.07.2011 (5)
  9. Google und Bing leiten auf falsche Seiten weiter
    Log-Analyse und Auswertung - 23.05.2011 (1)
  10. Google Suchergebnisse leiten beim Klick auf völlig fremde Seiten weiter (meist Werbung)
    Log-Analyse und Auswertung - 20.05.2011 (9)
  11. Firefox öffnet falsche Seiten über die Google suche
    Log-Analyse und Auswertung - 17.05.2011 (1)
  12. Ständige falsche Weiterleitung über Google Suchergebnisse zu diversen Seiten.
    Plagegeister aller Art und deren Bekämpfung - 12.12.2010 (5)
  13. Firefox und Internet Explorer leiten auf falsche Seiten um
    Plagegeister aller Art und deren Bekämpfung - 22.04.2010 (1)
  14. Google Suchergebnisse werden umgeleitet auf falsche Seiten
    Log-Analyse und Auswertung - 22.02.2010 (3)
  15. Browser leiten bei google auf falsche Seiten weiter Quelle: http://board.protecus.de
    Plagegeister aller Art und deren Bekämpfung - 16.12.2009 (7)
  16. Google-Links leiten mich auf falsche Seiten...
    Log-Analyse und Auswertung - 22.12.2008 (2)
  17. Google Suchergebnisse leiten auf falsche Seiten / Andauerndernde Pop Ups
    Plagegeister aller Art und deren Bekämpfung - 12.12.2008 (6)

Zum Thema Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter - Ich werde nach einer Google Suche 'ab und zu' -> also nicht immer über eine search.pro - Seite weitergeleitet. Habe nach langer Suche wohl etwas gefunden was mir weiterhilft. Allerdings - Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter...
Archiv
Du betrachtest: Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.