Installation wird blockiert und Google hat falsche Links!

02.09.2008, 14:00
...neu hier

Beiträge: 3
#1 Hallo,
ich hoffe mir kann hier geholfen werden!
Ich habe gleich mehrer Probleme und vermute das mein System ziemlich verseucht ist.

Habe:
Laptop FSC Amilo PA1538
Windows XP Home SP2
2*1,6 GHz
2GB Ram
Antivir Basic

Angefangen hat alles mit einem geänderten Hintergrundbild das man auch nicht mehr ändern konnte, habe dann Spybot S&D drüber laufen lassen, gefunden, entfernt, danach alles wie gehabt.

Dann fings an:

1. falsche Links bei Google:
Das Problem ist hier denke ich bekannt, man sucht was über Google, ist dann erstens sehr langsam, und zweitens stimmen die Links nicht. D.h. man landet auf irgend welchen Seiten.
Und weiter werden bestimmte Seiten wie Antivirenseiten garnicht angezeigt.

2. Wollte ich beheben, und Ad-Aware installieren, was mein 2tes Problem ist:
Hab die datei bei Chip runtergeladen, und dann kommt eine Fehlermeldung, dass das "keine gültige win32 Anwendung" ist.
Das Problem gibt es noch bei manch anderer .exe, wie HJT.

Ich habe das Spyware Terminator als einzigstes Prog installieren können und danach war es auch "gefühlt" kurze Zeit besser.

Habe auch eine Onlinescanner scannen lassen, und auch alles entfernt, aber nix gebracht!

Habe dann gestern Abend das SP3 draufgespielt, was fast nicht möglich war, weil die update.microsoft Seite auch blockiert wurde. Habe es dann doch hinbekommen. Aber danach war alles noch schlimmer, WLan und Lan, also Internet ging garnicht mehr.
Habs dann wieder deinstalliert, dann ging zum Glück das Internet wieder, aber mit den selben Problemen!

Hoffe mir kann hier geholfen werden!

Grüße fresh569
Seitenanfang Seitenende
02.09.2008, 14:35
Moderator

Beiträge: 5694
#2 Hallo fresh569

Um etwas über dein System zu erfahren arebite folgendes durch:
http://board.protecus.de/t23188.htm

Gruss Swiss
Seitenanfang Seitenende
03.09.2008, 10:59
...neu hier

Themenstarter

Beiträge: 3
#3 Danke für die Antwort, habe die Anleitung so gut es ging befolgt!

Hier nun der Reihe nach alle Logs.

Mbam:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

02.09.2008 19:39:17
mbam-log-2008-09-02 (19-39-17).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 142073
Laufzeit: 48 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\29c5d73c.sys (Rootkit.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\marc01\Eigene Dateien\UseNeXT\alt.binaries.bloaf\Keygen NEW.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.


Danach Neustart, wie vom Programm gewünscht.

Combofix:
siehe Anhang

HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:01, on 02.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
C:\Programme\Hotkey Management\FuncKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1cb20bf0-bbae-40a7-93f4-6435ff3d0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Logitech SetPoint.lnk.disabled
O8 - Extra context menu item: crawler search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

So, das wars!
das mit dem datfind.bat
Hab ich leider nicht gemacht!
Hoffe es geht auch so!
Muss ich die Probleme nochmal beschreiben, oder reicht das aus meinem vorherigen Post?

Grüsse

Seitenanfang Seitenende
03.09.2008, 14:51
Moderator

Beiträge: 5694
#4 Fresh569

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
http://virus-protect.org/artikel/tools/regsearch.html
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

29c5d73c

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
JAVA - Update
Download Java Runtime Environment (JRE) 6u7 zum Desktop
http://javadl.sun.com/webapps/download/AutoDL?BundleId=23111

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p.exe

Gruss Swiss
Dieser Beitrag wurde am 03.09.2008 um 15:01 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
04.09.2008, 19:39
...neu hier

Themenstarter

Beiträge: 3
#5 ________________
Combofix: entfernt!
________________
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 04.09.2008 17:13:21 for strings:
; '29c5d73c'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\29c5d73c]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\29c5d73c]
"ImagePath"="\\SystemRoot\\System32\\drivers\\29c5d73c.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Services\29c5d73c]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Services\29c5d73c]
"ImagePath"="\\SystemRoot\\System32\\drivers\\29c5d73c.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\29c5d73c]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\29c5d73c]
"ImagePath"="\\SystemRoot\\System32\\drivers\\29c5d73c.sys"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="29c5d73c.sys"

; End Of The Log...

________________
Alles Jave runtergeschmissen und neue nach Neustart installiert
________________

Was nun?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: