Hilfe! Google leitet auf falsche Seiten weiter und Log-In Buttons funktionieren nicht
 

Hallo,

ich habe mich gerade erst hier angemeldet, weil wir ein Problem haben.
Beim Laptop meines Freundes haben wir seit gestern Abend das Problem, dass Google auf falsche Seiten weiterleitet, die Schriftgröße ist dazu ungewöhnlich groß und Log-In Buttons lassen sich nicht mehr klicken.

Weiß jemand weiter? Hilfe :(

Viele Grüße
Queeny

niemand da? Schade :( Wir verzweifeln hier...
Wir werden durch google immer weitergeleitet auf seiten wie windowsclick oder comunio...???

Hallo Queeny,

wir brauchen erstmal noch ein paar Informationen. Bitte arbeite diese Liste ab.

ein Ausschnitt hier:
Grüße
45cl3p1u5

ok, danke- ich poste es hier gleich. Ist nicht so einfach, das IE immer abstürzt :(

Dann solltest du über Neuaufsetzen des Systems nachdenken.

Stimmt. Das hätte evtl. sogar den Vorteil, dass es schneller geht als eine Beseitigung der Viren. Und sicherer wäre es auch.
In diesem Fall wäre zu beachten, dass Du alle Dir wichtigen Daten sicherst (auch Lesezeichen im Browser, Benutzeraccount bei z.B. ICQ, Skype ...).

Grüße
45cl3p1u5

kann mir jemand sagen, wo wir malware finden, wenn es installiert ist? Irgendwie ist es nicht auffindbar...

Im gesamten System.

Ich glaub ich steh auf dem Schlauch :) Der Ordner ist leer...

Du meinst vermutlich Anti-Malware :)

Unter Start -> Programme oder in dem Installationsordner (c:\Programme\Malwarebytes ...).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:28, on 23.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\TrojanHunter 5.0\THGuard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Kim\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4E8A3661-FB5B-4AEF-BF60-B0E9712FAE49} (Silverwire Image Uploader 3.0 Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader3.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://213.98.74.173:8060/activex/AMC.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {B85537E9-2D9C-400A-BC92-B04F4D9FF17D} (Silverwire Image Uploader Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1213558152
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 10097 bytes

Dann hat die Installation nicht geklappt!

Haben es nun schon 5x versucht... naja wir versuchen weiter. Unten nun erstmal die HJT Logfile...mit der Hoffnung auf Eure Hilfe *seufz*

was sagt ihr denn zu unserem Vorschlag von vorhin, neu zu installieren?

Hm wenn es nicht sein muss, dann lieber nicht :(

Das sind dann die Zombie PCs, wo ich mir wünsche die ISPs würden die Zugänge rigeros sperren.

Öhm ich kann Euch glaub ich nicht folgen.
Also kann uns keiner helfen? :(
Der IE funktioniert wieder. Nur das Anti-Malware lässt sich nicht installieren. Zumindest grad eben nicht.

@Lucky: Woran konntest Du schon erkennen, was für ein Virus es ist bzw. ob es ein Backdoor ist? Dass es ein Zombie PC ist, ist momentan noch nicht gesagt.

Sicherer wäre jedoch eine Neuinstallation. Genauso gut kann es sein, dass wir hier lange für die Bekämpfung benötigen und am Schluss feststelen, dass es doch ein Backdoor war und das System neu installiert werden muss.

Grüße
45clep1u5

Wenn ihr euch gegen eine Neuinstallation entscheidet, dann versucht es mit SuperAntiSpyware

Ok, danke. Das machen wir...
Also ist an der Logfile nichts zu erkennen?

Es sind zwar ein paar "Fehler" zu sehen, aber nichts, was bisher euer Problem erklärt.
Es gibt jedoch sog. Rootkits, welche verhindern können, dass man sie auf normalem Wege entdecken kann und auch andere Viren, welche nicht durch HijackThis zu erkennen sind.

Hmmm und Antispyware öffnet er nicht - es verursacht einen Fehler :(

einen Moment bitte.

versucht es mit diesem Link: Link

Downloaden und ausführen.

Machen wir, melde mich gleich wieder ob es geklappt hat...danke!

Mist - der PC ist wieder abgestürzt. Und die .exe kann er nicht downloaden. Und per Mail schicken geht auch nicht, da Outlook die .exe rauszieht. Es ist zum Heulen :heulen:

Hat geklappt...Aber nach der Installation ist das Programm nirgends aufzufinden. Was ist da bloß los???? :(

Wenn ihr einen nicht-infizierten PC in der Nähe habt, dann ladet das Avira AntiVir Rescue System runter und führt es aus. Das System wird von der CD gebootet und bedarf keiner Installation (Windows wird dabei nicht gestartet).

Anleitung folgt, wenn ihr bestätigt, dass ihr von einem anderen PC die Daten laden und auf CD brennen könnt.

Ja können wir :) Ich lade gleich runter - CD ist gebrannt.

Anleitung:

- CD rein
- PC neu starten
- von der CD starten (falls es eine Option gibt, Windows zu starten, dies nicht tun!)

Ab jetzt werden alle Kommandos über die BUCHSTABEN der Tastatur gegeben (keine Pfeiltasten). Es ist pro Option ein Buchstabe rot markiert. Somit springt man zur gewünschten Option -> Markierung (X) mit Leertaste setzen (falls nötig) -> Enter = Ok

- Sprache auswählen -> de
- Scannen
- alle Dateien
- Versuch zu reparieren
- Umbenennen -> ja
- Ok
- Scan

Falls möglich, die Logfile danach auf Diskette speichern. Windows wieder starten und die Logfile posten.
Ansonsten bitte die Funde kurz benennen.

Ich werde jetzt schlafen gehen und morgen hier reinschauen und euch dann weitere Anweisungen geben. Das wird nun ja eine Weile dauern ...

Grüße und gute Nacht
45cl3p1u5

Vielen lieben Dank :)

Wir scannen gerade und er hat schon einige Trojaner gefunden. Darunter
crypt.xpack.gen und rkit/tdss.eyj.66 und 65

auweiha :(

nachher schreibe ich die Lister hier rein...

Gute Nacht und nochmal DANKE!
Queeny

Das sind die Funde:


[TR/Crypt.XPACK.Gen] /mnt/hda2/windows/system32/uacdmy~1.dll

[RKIT/TDss.eyj.66] /mnt/hda2/windows/system32/uacjix~1.dll

[RKIT/TDss.eyj.65] /mnt/hda2/windows/system32/uacvsb~1.dll

[TR/Crypt.XPACK.Gen] /mnt/hda2/windows/system32/uacrpm~1.dll

[TR/PCK.TDss.C.14] /mnt/hda2/windows/system32/uacqvk~1.dll

[TR/Rootkit/Gen] /mnt/hda2/windows/system32/drivers/uacprq~1.sys

[TR/PCK.TDss.C.14] /mnt/hda2/windows/temp/uaca68b.tmp

[TR/PCK.TDss.C.14] /mnt/hda2/windows/temp/uac97f5.tmp

er hat sie jetzt umbenannt...aber was passiert nun? Sind sie damit isoliert?
Dankeschön schonmal für die tolle Hilfe bis hierher.

Queeny

jetzt wissen wir, was für ein Virus es ist: UACd.sys - Trojaner

Wenn die Deaktivierung des Trojaners durch die Umbenennung funkioniert hat, dann könnt ihr nun Malwarebytes laufen lassen (vorher neu downloaden). Wenn nicht, dann ist er noch aktiv. Dann nochmal melden. Ansonsten die Logfile von Malwarebytes bitte posten.

Grüße
45cl3p1u5

Hallo,

vielen Dank! Leider lässt sich die Software immer noch nicht installieren bzw starten :(

Viele Grüße
Queeny

Ich glaub ich habs :)

http://www.myantispyware.com/2009/01/24/how-to-remove-windowsclickcom-redirect-uacdsys-trojan/

Da gabs eine tolle Anleitung und wir konnten alles installieren und lassen Malwarebytes nun scannen...

Es hat geklappt :)
Alles wieder gut *puuuh*
Nochmal vielen Dank für die entscheidenden Hinweise!