Trojaner-Board - Google leitet auf falsche Seiten um

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Google leitet auf falsche Seiten um (https://www.trojaner-board.de/70613-google-leitet-falsche-seiten-um.html)

Google leitet auf falsche Seiten um

Hallo zusammen.

Bei mir öffnet sich anstatt des erwarteten google Suchergebnisses eine von den unschönen Seiten.
Als Browser nutze ich Opera.

Viele Grüße an alle und

hier mein Hijackthis-Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:07:25, on 03.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\PVR Series\Watch.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy 16\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe
O4 - Global Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 6233 bytes

Hallo.

Ich habe CCleaner wie beschrieben ausgeführt.

Folgenden Malwarebytes Report habe ich

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1835

Windows 5.1.2600 Service Pack 2
 

11.03.2009 15:48:08

mbam-log-2009-03-11 (15-48-08).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 164135

Laufzeit: 29 minute(s), 46 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\mutmcb.ffa (Trojan.Daonol) -> Quarantined and deleted successfully.

Dies ist die aktuelle HJS

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:22:30, on 11.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\XpertVision\TBPanel.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\PVR Series\Watch.exe

C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe

C:\Programme\OpenOffice.org 2.2\program\soffice.exe

C:\Programme\OpenOffice.org 2.2\program\soffice.BIN

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\explorer.exe

C:\Programme\Opera\opera.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe

O4 - Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe

O4 - Global Startup: Watch.lnk = C:\Programme\PVR Series\Watch.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
 

--

End of file - 6545 bytes

Und hier die Gmer Logdatei Teil1

Code:

GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-11 17:06:43

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7A614E4                                                                                                          ZwCreateThread

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                 ZwMapViewOfSection [0xF78788D0]

SSDT            F7A614D0                                                                                                          ZwOpenProcess

SSDT            F7A614D5                                                                                                          ZwOpenThread

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                 ZwShutdownSystem [0xF7878E70]

SSDT            F7A614DF                                                                                                          ZwTerminateProcess

SSDT            F7A614DA                                                                                                          ZwWriteVirtualMemory
 

Code            \??\C:\WINDOWS\system32\drivers\winebgn.sys                                                                       ZwResumeThread [0xF49E51F4]
 

---- Kernel code sections - GMER 1.0.15 ----
 

PAGE            ntkrnlpa.exe!ZwResumeThread                                                                                       805D31FE 7 Bytes  JMP F49E51F8 \??\C:\WINDOWS\system32\drivers\winebgn.sys
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\system32\spoolsv.exe[232] kernel32.dll!CreateProcessW                                                  7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!send                                                              71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!WSARecv                                                           71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\spoolsv.exe[232] ws2_32.dll!WSASend                                                           71A16233 5 Bytes  JMP 100030F4 

.text           C:\Programme\Java\jre6\bin\jusched.exe[276] kernel32.dll!CreateProcessW                                           7C802332 5 Bytes  JMP 100031F8 

.text           C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!connect                                                    71A1406A 5 Bytes  JMP 10003140 

.text           C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!send                                                       71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!WSARecv                                                    71A14318 5 Bytes  JMP 10002404 

.text           C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!recv                                                       71A1615A 5 Bytes  JMP 10002388 

.text           C:\Programme\Java\jre6\bin\jusched.exe[276] WS2_32.dll!WSASend                                                    71A16233 5 Bytes  JMP 100030F4 

.text           C:\WINDOWS\system32\nvsvc32.exe[300] kernel32.dll!CreateProcessW                                                  7C802332 5 Bytes  JMP 107731F8 

.text           C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 10773140 

.text           C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!send                                                              71A1428A 5 Bytes  JMP 10772BA4 

.text           C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!WSARecv                                                           71A14318 5 Bytes  JMP 10772404 

.text           C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 10772388 

.text           C:\WINDOWS\system32\nvsvc32.exe[300] ws2_32.dll!WSASend                                                           71A16233 5 Bytes  JMP 107730F4 

.text           C:\WINDOWS\system32\ctfmon.exe[456] kernel32.dll!CreateProcessW                                                   7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!connect                                                            71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!send                                                               71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!WSARecv                                                            71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!recv                                                               71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\ctfmon.exe[456] ws2_32.dll!WSASend                                                            71A16233 5 Bytes  JMP 100030F4 

.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] kernel32.dll!CreateProcessW                     7C802332 5 Bytes  JMP 100131F8 

.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!connect                              71A1406A 5 Bytes  JMP 10013140 

.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!send                                 71A1428A 5 Bytes  JMP 10012BA4 

.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!WSARecv                              71A14318 5 Bytes  JMP 10012404 

.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!recv                                 71A1615A 5 Bytes  JMP 10012388 

.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[492] WS2_32.dll!WSASend                              71A16233 5 Bytes  JMP 100130F4 

.text           C:\WINDOWS\system32\winlogon.exe[800] kernel32.dll!CreateProcessW                                                 7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!connect                                                          71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!send                                                             71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!WSARecv                                                          71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!recv                                                             71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\winlogon.exe[800] WS2_32.dll!WSASend                                                          71A16233 5 Bytes  JMP 100030F4 

.text           C:\WINDOWS\system32\services.exe[844] kernel32.dll!CreateProcessW                                                 7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\services.exe[844] ws2_32.dll!connect                                                          71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\services.exe[844] ws2_32.dll!send                                                             71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\services.exe[844] ws2_32.dll!WSARecv                                                          71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\services.exe[844] ws2_32.dll!recv                                                             71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\services.exe[844] ws2_32.dll!WSASend                                                          71A16233 5 Bytes  JMP 100030F4 

.text           C:\WINDOWS\system32\lsass.exe[856] kernel32.dll!CreateProcessW                                                    7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!connect                                                             71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!send                                                                71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!WSARecv                                                             71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!recv                                                                71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\lsass.exe[856] WS2_32.dll!WSASend                                                             71A16233 5 Bytes  JMP 100030F4 

.text           C:\WINDOWS\system32\svchost.exe[1020] kernel32.dll!CreateProcessW                                                 7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!connect                                                          71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!send                                                             71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!WSARecv                                                          71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!recv                                                             71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\svchost.exe[1020] ws2_32.dll!WSASend                                                          71A16233 5 Bytes  JMP 100030F4 

.text           C:\WINDOWS\System32\svchost.exe[1228] kernel32.dll!CreateProcessW                                                 7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!connect                                                          71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!send                                                             71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!WSARecv                                                          71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!recv                                                             71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\System32\svchost.exe[1228] ws2_32.dll!WSASend                                                          71A16233 5 Bytes  JMP 100030F4 

.text           C:\Programme\XpertVision\TBPanel.exe[1376] kernel32.dll!CreateProcessW                                            7C802332 5 Bytes  JMP 107731F8 

.text           C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!connect                                                     71A1406A 5 Bytes  JMP 10773140 

.text           C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!send                                                        71A1428A 5 Bytes  JMP 10772BA4 

.text           C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!WSARecv                                                     71A14318 5 Bytes  JMP 10772404 

.text           C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!recv                                                        71A1615A 5 Bytes  JMP 10772388 

.text           C:\Programme\XpertVision\TBPanel.exe[1376] ws2_32.dll!WSASend                                                     71A16233 5 Bytes  JMP 107730F4 

.text           C:\Programme\Sygate\SPF\smc.exe[1428] kernel32.dll!CreateProcessW                                                 7C802332 5 Bytes  JMP 100D31F8 

.text           C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!connect                                                          71A1406A 5 Bytes  JMP 100D3140 

.text           C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!send                                                             71A1428A 5 Bytes  JMP 100D2BA4 

.text           C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!WSARecv                                                          71A14318 5 Bytes  JMP 100D2404 

.text           C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!recv                                                             71A1615A 5 Bytes  JMP 100D2388 

.text           C:\Programme\Sygate\SPF\smc.exe[1428] WS2_32.dll!WSASend                                                          71A16233 5 Bytes  JMP 100D30F4 

.text           C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] kernel32.dll!CreateProcessW                                   7C802332 5 Bytes  JMP 100631F8 

.text           C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!connect                                            71A1406A 5 Bytes  JMP 10063140 

.text           C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!send                                               71A1428A 5 Bytes  JMP 10062BA4 

.text           C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!WSARecv                                            71A14318 5 Bytes  JMP 10062404 

.text           C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!recv                                               71A1615A 5 Bytes  JMP 10062388 

.text           C:\Programme\Analog Devices\Core\smax4pnp.exe[1508] ws2_32.dll!WSASend                                            71A16233 5 Bytes  JMP 100630F4 

.text           C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] kernel32.dll!CreateProcessW                                  7C802332 5 Bytes  JMP 100031F8 

.text           C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!connect                                           71A1406A 5 Bytes  JMP 10003140 

.text           C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!send                                              71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!WSARecv                                           71A14318 5 Bytes  JMP 10002404 

.text           C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!recv                                              71A1615A 5 Bytes  JMP 10002388 

.text           C:\Programme\Analog Devices\SoundMAX\Smax4.exe[1704] ws2_32.dll!WSASend                                           71A16233 5 Bytes  JMP 100030F4 

.text           C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] kernel32.dll!CreateProcessW                                   7C802332 5 Bytes  JMP 100331F8 

.text           C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!connect                                            71A1406A 5 Bytes  JMP 10033140 

.text           C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!send                                               71A1428A 5 Bytes  JMP 10032BA4 

.text           C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!WSARecv                                            71A14318 5 Bytes  JMP 10032404 

.text           C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!recv                                               71A1615A 5 Bytes  JMP 10032388 

.text           C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe[1716] ws2_32.dll!WSASend                                            71A16233 5 Bytes  JMP 100330F4 

.text           C:\WINDOWS\system32\RUNDLL32.EXE[1756] kernel32.dll!CreateProcessW                                                7C802332 5 Bytes  JMP 100031F8 

.text           C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!connect                                                         71A1406A 5 Bytes  JMP 10003140 

.text           C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!send                                                            71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!WSARecv                                                         71A14318 5 Bytes  JMP 10002404 

.text           C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!recv                                                            71A1615A 5 Bytes  JMP 10002388 

.text           C:\WINDOWS\system32\RUNDLL32.EXE[1756] ws2_32.dll!WSASend                                                         71A16233 5 Bytes  JMP 100030F4 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1984] kernel32.dll!CreateProcessW                                              7C802332 5 Bytes  JMP 100031F8 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!connect                                                       71A1406A 5 Bytes  JMP 10003140 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!send                                                          71A1428A 5 Bytes  JMP 10002BA4 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!WSARecv                                                       71A14318 5 Bytes  JMP 10002404 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!recv                                                          71A1615A 5 Bytes  JMP 10002388 

.text           C:\Programme\Java\jre6\bin\jqs.exe[1984] WS2_32.dll!WSASend                                                       71A16233 5 Bytes  JMP 100030F4

Und die Logdatei Teil 2

Code:

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                               [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                                [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                         [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                           [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                          [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                               [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                              [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                        [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                 [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                           [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                               [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                         [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                 [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                             [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                 [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisDeregisterProtocol]                                        [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisCloseAdapter]                                              [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisOpenAdapter]                                               [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisRegisterProtocol]                                          [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                           [F71D2B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                         [F71D2CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                               [F71D2DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                [F71D2D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\Tcpip \Device\Ip                                                                                          wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                                                         wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\Udp                                                                                         wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\RawIp                                                                                       wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                 wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                          fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Files - GMER 1.0.15 ----
 

File            C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WR9  364 bytes

File            C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WS2  368 bytes

File            C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WSX  368 bytes

File            C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr18WW0  370 bytes
 

---- EOF - GMER 1.0.15 ----

Es werden ja immer mehr, wo die google-links nicht mehr richtig funktionieren.

Ist durch den Fund und die Bereinigung durch Malwarebytes mein Problem erledigt oder habe ich mir auch noch ein Rootkit eingefangen ?

Es würde mich sehr beruhigen, wenn sich bitte jemand meine logs anschauen würde.

Diese Ungewissheit ob das System ernsthafter befallen ist schlimm.

Viele Grüße
Dalindo