Installation wird blockiert und Google hat falsche Links! |
|
---|---|
02.09.2008, 14:00
...neu hier
Beiträge: 3 |
|
|
|
02.09.2008, 14:35
Moderator
Beiträge: 5694 |
#2
Hallo fresh569
Um etwas über dein System zu erfahren arebite folgendes durch: http://board.protecus.de/t23188.htm Gruss Swiss |
|
|
03.09.2008, 10:59
...neu hier
Themenstarter Beiträge: 3 |
#3
Danke für die Antwort, habe die Anleitung so gut es ging befolgt!
Hier nun der Reihe nach alle Logs. Mbam: Malwarebytes' Anti-Malware 1.26 Datenbank Version: 1103 Windows 5.1.2600 Service Pack 2 02.09.2008 19:39:17 mbam-log-2008-09-02 (19-39-17).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 142073 Laufzeit: 48 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\29c5d73c.sys (Rootkit.Agent) -> Delete on reboot. C:\Dokumente und Einstellungen\marc01\Eigene Dateien\UseNeXT\alt.binaries.bloaf\Keygen NEW.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. Danach Neustart, wie vom Programm gewünscht. Combofix: siehe Anhang HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:15:01, on 02.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe C:\Programme\Hotkey Management\FuncKey.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Power Manager\PM.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1cb20bf0-bbae-40a7-93f4-6435ff3d0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled O4 - Global Startup: Logitech SetPoint.lnk.disabled O8 - Extra context menu item: crawler search - tbr:iemenu O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- So, das wars! das mit dem datfind.bat Hab ich leider nicht gemacht! Hoffe es geht auch so! Muss ich die Probleme nochmal beschreiben, oder reicht das aus meinem vorherigen Post? Grüsse Anhang: log combofix.txt
|
|
|
03.09.2008, 14:51
Moderator
Beiträge: 5694 |
#4
Fresh569
>> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> http://virus-protect.org/artikel/tools/regsearch.html in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) 29c5d73c in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> JAVA - Update Download Java Runtime Environment (JRE) 6u7 zum Desktop http://javadl.sun.com/webapps/download/AutoDL?BundleId=23111 Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p.exe Gruss Swiss Dieser Beitrag wurde am 03.09.2008 um 15:01 Uhr von Tonstudio editiert.
|
|
|
04.09.2008, 19:39
...neu hier
Themenstarter Beiträge: 3 |
#5
________________
Combofix: entfernt! ________________ Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 04.09.2008 17:13:21 for strings: ; '29c5d73c' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\29c5d73c] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\29c5d73c] "ImagePath"="\\SystemRoot\\System32\\drivers\\29c5d73c.sys" [HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Services\29c5d73c] [HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Services\29c5d73c] "ImagePath"="\\SystemRoot\\System32\\drivers\\29c5d73c.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\29c5d73c] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\29c5d73c] "ImagePath"="\\SystemRoot\\System32\\drivers\\29c5d73c.sys" [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] "000"="29c5d73c.sys" ; End Of The Log... ________________ Alles Jave runtergeschmissen und neue nach Neustart installiert ________________ Was nun? |
|
|
ich hoffe mir kann hier geholfen werden!
Ich habe gleich mehrer Probleme und vermute das mein System ziemlich verseucht ist.
Habe:
Laptop FSC Amilo PA1538
Windows XP Home SP2
2*1,6 GHz
2GB Ram
Antivir Basic
Angefangen hat alles mit einem geänderten Hintergrundbild das man auch nicht mehr ändern konnte, habe dann Spybot S&D drüber laufen lassen, gefunden, entfernt, danach alles wie gehabt.
Dann fings an:
1. falsche Links bei Google:
Das Problem ist hier denke ich bekannt, man sucht was über Google, ist dann erstens sehr langsam, und zweitens stimmen die Links nicht. D.h. man landet auf irgend welchen Seiten.
Und weiter werden bestimmte Seiten wie Antivirenseiten garnicht angezeigt.
2. Wollte ich beheben, und Ad-Aware installieren, was mein 2tes Problem ist:
Hab die datei bei Chip runtergeladen, und dann kommt eine Fehlermeldung, dass das "keine gültige win32 Anwendung" ist.
Das Problem gibt es noch bei manch anderer .exe, wie HJT.
Ich habe das Spyware Terminator als einzigstes Prog installieren können und danach war es auch "gefühlt" kurze Zeit besser.
Habe auch eine Onlinescanner scannen lassen, und auch alles entfernt, aber nix gebracht!
Habe dann gestern Abend das SP3 draufgespielt, was fast nicht möglich war, weil die update.microsoft Seite auch blockiert wurde. Habe es dann doch hinbekommen. Aber danach war alles noch schlimmer, WLan und Lan, also Internet ging garnicht mehr.
Habs dann wieder deinstalliert, dann ging zum Glück das Internet wieder, aber mit den selben Problemen!
Hoffe mir kann hier geholfen werden!
Grüße fresh569