Trojaner-Board - internet langsam /google leitet auf falsche Seiten um

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - internet langsam /google leitet auf falsche Seiten um (https://www.trojaner-board.de/60008-internet-langsam-google-leitet-falsche-seiten-um.html)

internet langsam /google leitet auf falsche Seiten um

Hallo zusammen,
seit gestern Abend ist meine Internet Verbindung langsamer geworden und ich werde von google ständig auf falsche Seiten (Werbung/ Porno) umgeleitet.

Seit heute Morgen erscheint die folgende Fehlermeldung, wenn ich auf meine Externe Festplatte (G:) zugreifen möchte: Auf G:\ Kann nicht zugegriffen werden.
Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können wurde überschritten.
Habe dann erst mal Antivir, Spybot und Ad-watch durchlaufen lassen.
Spybot hat ein paar sachen gefunden und repariert, Antivir hat einen Virus entfernt und Ad-watch hat 13 Sachen gefunden und entfernt.
Die Probleme sind geblieben.

Hier mein Hijack Report. ( Bitte um Nachsicht hab das mit den Codes und Umbrüchen nicht kapiert, ist der erste Forenbeitrag meines Lebens).
Vielen Dank im Voraus :balla:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:49, on 15.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\clipsrv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\PnkBstrA.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\GAMES\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.15 V.1.00\WlanCU.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\GAMES\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.15 V.1.00\WlanCU.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219886811281
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe

--
End of file - 4860 bytes

Hallo

Zitat:

Bitte um Nachsicht hab das mit den Codes und Umbrüchen nicht kapiert, ist der erste Forenbeitrag meines Lebens

dafür hast es gut hinbekommen:aplaus:

Zitat:

Habe dann erst mal Antivir, Spybot und Ad-watch durchlaufen lassen.
Spybot hat ein paar sachen gefunden und repariert, Antivir hat einen Virus entfernt und Ad-watch hat 13 Sachen gefunden und entfernt.

Was wurde wo gefunden (Pfad/Dateiname - Schädlingsbezeichnung)?

U.a. Antivir starten --> unter "Übersicht" --> klicke "Ereignisse" --> unter "Typ" suche nach den Funden --> doppelkick auf die Funde alles abkopieren und hierher posten.

Deaktiviere bitte den Teatimer von Spybot S&D

Zitat:

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

Überprüfe dein System zuerst mit Malwarebytes und poste anschließend das Log.

MFG

Hi Nochdigger,

vielen Dank schonmal für die Antwort.

Hier sind die Antivir Fehlermeldungen:

Die Datei 'C:\Dokumente und Einstellungen\Oli\Desktop\Setup_ver1.1812.10.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'C:\Dokumente und Einstellungen\Oli\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\88zbpc6l.default\Cache\5D741D67d01'
enthielt einen Virus oder unerwünschtes Programm 'TR/Multis.GX' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Spybot Teatimer ist deaktiviert und Spybot geschlossen

Hier die Prtokolle von Ad-Aware (doch nicht Ad-Watch):
20080915 05-25-43 : Scan terminated by user.
20080915 05-25-52 : Scan terminated by user.
20080915 13-37-52 : Startup scan disabled.
20080915 15-44-07 : Scan terminated by user.
20080915 15-44-07 : Scan terminated by user.
20080915 17-01-45 : Startup scan disabled.

Mist
MalwareBytes kann ich nicht runterladen.
Nicht von eurem Link und auch nicht wenn ich die Adresse im Browser Eingebe.

Muß jetzt erstmal zu meinem Bruder und das da runterladen und auf USB-Stick ziehen.
Ich hoffe das klappt heute Abend noch.

Hallo

Zitat:

Muß jetzt erstmal zu meinem Bruder und das da runterladen und auf USB-Stick ziehen.
Ich hoffe das klappt heute Abend noch.

OK mach das ich bin vermutlich hier oder in der Nähe;)

Wende bitte vor Malwarebytes noch den Ccleaner an.

MFG

Hi nochdigger,

als ich gestern das MalwareBytes Programm ausgeführt habe ist mein PC total abgeschmiert. Hab mein System jetzt neu aufgespielt, mußte aber komplette Partitionen löschen. Hab jetzt auch ne Firewall. Bis jetzt läuft alles super.
Trotzdem vielen Dank für Deine Hilfe
Und vielen Dank an das ganze Team von trojaner-board
Ich find es echt super das Ihr sowas hier ehrenamtlich betreibt.
Respekt! Weiter so!
MfG
DIeter303

Hallo,
Ich habe genau das selbe Problem,

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke. :)

[/edit]

DU musst im falle einer zugriffsverweigerung mal di emethode Arbeitsplatz öffnen dann rechtsklcik auf die gewünschte disk udn dann öffnen(statt autorun!)

so gings bei mri dann die autorun gelöscht neugestartet die boot.exe gelöscht und gut wars ;)

hatte damals ein rootkit!/trojaner nicht sehr sicher aber es war das gleiche problem!