Hallo zusammen,

ich bin ein ziemlicher Neuling - habt daher bitte Nachsicht mit eventuellen Verständnisschwierigkeiten. Nachdem meine Google-Anfragen des öfteren umgeleitet werden und ich kein Windows-Sicherheits-update durchführen kann, habe ich mein Virenprogramm aktualisiert sowie Malware durchgeführt. Die haben einige Dinge gefunden und korrigiert (Log-File habe ich leider nicht gespeichert :-( ), nun findet Malware keine Fehler mehr - nach entsprechender Aktualisierung versteht sich. Ich werde allerdings nach wie vor auf fremde Seiten umgeleitet, so dass ich vermute mir einen Trojaner eingefangen zu haben.

Nach mehrstündiger Forensuche kann ich mir trotzdem nicht weiterhelfen. Anbei mal mein Hi-jack this file.

Ich vermute das insbesondere bei

O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com

sich ein paar Bösewichte eingeschlichen haben.

Herzlichen Dank schon mal für Eure Hilfe.
HM

hi, malwarebytes öffnen, logdateien, dort sollte das log mit den funden sein.
avira, reporte, dortsollte das scan log sein.
hijackthis öffnen, scan, hake die o15 einträge an, schließe alle browser fenster, fix checked klicken.


ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Hallo,
herzlichen Dank für die zeitnahe Hilfe vorab.
Beiliegend poste ich die noch fehlenden Log.-Files.

A) Malware: 2 Versionen / alt_vor der Systemreinigung: zahlreicher Befund / neu_nachher: kein Befund
B) Avira: ohne Befunde
C) Hijack - O15 habe ich gelöscht.
D) OTL Scans: sind beigefügt

Ich vermute mal dass meine veraltete Java-Version nach Eurem Post mit daran Schuld ist.... aktualisiere die gerade.

Besten Dank
HM

deaktiviere den avira guard. rechtsklick auf den schirm,deaktivieren.
ich sehe mehrere antiviren programme, man sollte aber nur 1 aktieves auf dem system haben, deinstaliere alle außer eines, teile mir mit, welches du behalten willst.

malwarebytes kann auf dem system verbleiben.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Dokumente und Einstellungen\Hans-Georg\Lokale Einstellungen\Temp\Adobelm_Cleanup.0001 (Macrovision Europe Ltd.)
SRV - (Rasawrv) -- File not found
SRV - (de_serv) -- File not found
O4 - HKU\S-1-5-21-76090672-2151192058-3017733891-1005..\Run: [download] C:\Dokumente und Einstellungen\Hans-Georg\Anwendungsdaten\download2\svcnost.exe (Microsoft
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\S-1-5-21-76090672-2151192058-3017733891-1005..\Run: [AROReminder] File not found
O20 - AppInit_DLLs: (C:\WINDOWS\system32\ntvdm.dll) - C:\WINDOWS\System32\ntvdm.dll File not found
O20 - AppInit_DLLs: (C:\WINDOWS\system32\wuauclt.dll) - C:\WINDOWS\System32\wuauclt.dll File not found
O20 - Winlogon\Notify\winjgf32: DllName - winjgf32.dll - File not found
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - Reg Error: Key error. File not found
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne den arbeitsplatz, c:
dort rechtsklick auf _OTL
wähle zu _OTL.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo Markus,

erst tausend Dank für die zeitnahe Antwort - das ist ja richtig klasse. Ich habe leider beim Ausführen in OTL beim ersten Mal anstatt "Fix" die Taste "Bereinigung" gedrückt. Ich hoffe, dass das jetzt kein dramatischer Fehler war. Anbei schicke ich Dir die geforderten Files. Ich habe mich für Avira entschieden und die anderen Virenprogramm gelöscht. Des Weiteren habe ich mir das neuste JAVA update 22 installiert, allerdings werden meine google Anfragen immer noch weiter umgeleitet. Avira zeigt mir vorhin bei einem Vollscan ebenfalls wieder einige Viren an (siehe Log).

VG HM


All processes killed
Error: Unable to interpret <OTL> in the current context!
Error: Unable to interpret <PRC - C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\Adobelm_Cleanup.0001 (Macrovision Europe Ltd.)> in the current context!
Error: Unable to interpret <SRV - (Rasawrv) -- File not found> in the current context!
Error: Unable to interpret <SRV - (de_serv) -- File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-76090672-2151192058-3017733891-1005..\Run: [download] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\download2\svcnost.exe (Microsoft> in the current context!
Error: Unable to interpret <O4 - HKLM..\Run: [KernelFaultCheck] File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-76090672-2151192058-3017733891-1005..\Run: [AROReminder] File not found> in the current context!
Error: Unable to interpret <O20 - AppInit_DLLs: (C:\WINDOWS\system32\ntvdm.dll) - C:\WINDOWS\System32\ntvdm.dll File not found> in the current context!
Error: Unable to interpret <O20 - AppInit_DLLs: (C:\WINDOWS\system32\wuauclt.dll) - C:\WINDOWS\System32\wuauclt.dll File not found> in the current context!
Error: Unable to interpret <O20 - Winlogon\Notify\winjgf32: DllName - winjgf32.dll - File not found> in the current context!
Error: Unable to interpret <O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - Reg Error: Key error. File not found> in the current context!
========== FILES ==========
========== COMMANDS ==========
C:\WINDOWS\АppPatch folder moved successfully.
C:\WINDOWS\sуmbols folder moved successfully.
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Tаsks folder moved successfully.

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: XXX
->Flash cache emptied: 8980 bytes

User: LocalService

User: NetworkService
->Flash cache emptied: 17751 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: XXX
->Temp folder emptied: 784379727 bytes
->Temporary Internet Files folder emptied: 89578571 bytes
->Java cache emptied: 85421 bytes
->FireFox cache emptied: 98515762 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

1. hatte ich gesagt das _OTL in den upload channel soll, steht in dem link.
2. ist mir ein kleiner fehler unterlaufen, neues otl script:

:OTL
PRC - C:\Dokumente und Einstellungen\Hans-Georg\Lokale Einstellungen\Temp\Adobelm_Cleanup.0001 (Macrovision Europe Ltd.)
SRV - (Rasawrv) -- File not found
SRV - (de_serv) -- File not found
O4 - HKU\S-1-5-21-76090672-2151192058-3017733891-1005..\Run: [download] C:\Dokumente und Einstellungen\Hans-Georg\Anwendungsdaten\download2\svcnost.exe (Microsoft Corporation)

O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\S-1-5-21-76090672-2151192058-3017733891-1005..\Run: [AROReminder] File not found
O20 - AppInit_DLLs: (C:\WINDOWS\system32\ntvdm.dll) - C:\WINDOWS\System32\ntvdm.dll File not found
O20 - AppInit_DLLs: (C:\WINDOWS\system32\wuauclt.dll) - C:\WINDOWS\System32\wuauclt.dll File not found
O20 - Winlogon\Notify\winjgf32: DllName - winjgf32.dll - File not found
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - Reg Error: Key error. File not found
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

Ja, ja... wer lesen kann, ist klar im Vorteil. Sorry, für die unvollständige Ausführung.
Anbei das neue Log-file aus dem geänderten Programm, das andere lade ich umgehend hoch.

All processes killed
========== OTL ==========
No active process named Adobelm_Cleanup.0001 was found!
Service Rasawrv stopped successfully!
Service Rasawrv deleted successfully!
File File not found not found.
Service de_serv stopped successfully!
Service de_serv deleted successfully!
File File not found not found.
Registry value HKEY_USERS\S-1-5-21-76090672-2151192058-3017733891-1005\Software\Microsoft\Windows\CurrentVersion\Run\\download deleted successfully.
C:\Dokumente und Einstellungen\Hans-Georg\Anwendungsdaten\download2\svcnost.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_USERS\S-1-5-21-76090672-2151192058-3017733891-1005\Software\Microsoft\Windows\CurrentVersion\Run\\AROReminder deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\WINDOWS\system32\ntvdm.dll deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\WINDOWS\system32\wuauclt.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winjgf32\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\ not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: Hans-Georg
->Flash cache emptied: 806 bytes

User: LocalService

User: NetworkService
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Hans-Georg
->Temp folder emptied: 403 bytes
->Temporary Internet Files folder emptied: 33625 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 19454355 bytes

sorry,
C:\Dokumente und Einstellungen\Hans-Georg\Eigene Dateien\Software\keygen.exe
damit kann ich dir nur noch beim neu aufsetzen helfen, da dies gegen die foren regeln verstößt.
was aber vllt nicht schlecht ist, bei deinem komplett überladenem system :-)
tipps zum absichern bekommst du natürlich auch.