Home » Spyware & Browser Hijacker Support Forum » Falsche Links/Weiterleitung bei Google & IE6 - Spyware?! » Themenansicht

Falsche Links/Weiterleitung bei Google & IE6 - Spyware?!
#0
11.04.2007, 14:20
huelke
...neu hier

Beiträge: 3
#1 Hallo.
Ich habe in letzter Zeit das Problem das 2 von 10 Klicks auf Google Suchergebnisse mich auf eine völlig falsche Seite weierleiten.
Das ist meistens lebenstest.de, aber auch mal Ebay oder andere Ad-Seiten.
(Vergl. -> http://board.protecus.de/t28104.htm)

Nun ja bevor ich jetzt mein System neu aufsetzte (wird mal wieder Zeit) dachte ich ich bitte euch mal um Hilfe.

Habe alles entsprechend (=> http://board.protecus.de/t23187.htm) gemacht.

Hier das Ergebnis:

-------------------------------------------------
1: HIJACK THIS
-------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 13:00:17, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\Developer\WAMP\MYSQL\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\SLEE12.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\PTeSVNC\WinVNC.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\RealVNC\VNC4\winvnc4.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\TVgenial\TVgenial.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Steganos Safe 8\SAFE8.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\PROGRA~1\MSI\BTOESB~1\BTSTAC~1.EXE
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype\Plugins\Plugins\903CB56BA52F42478957BE8314837A86\PamelaPCR.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\RealVNC\VNC4\vncviewer.exe
D:\Downloads\utorrent_1.6.exe
C:\DOKUME~1\SURFON~1.001\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {659DA88F-37A7-495B-9A8B-010D867BA160} - C:\WINDOWS\system32\dmsynthd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: Verknüpfung mit FileListServer.lnk = C:\FileListServer.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{010219C1-4E18-475F-A183-530F8A3BF840}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySql - Unknown owner - C:/Developer/WAMP/MYSQL/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Steganos Live Encryption Engine 12 [Service] (SLEE_12_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE12.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\PTeSVNC\WinVNC.exe" -service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\winvnc4.exe" -service (file missing)

-------------------------------------------------
2: CLEANUP TOOL
-------------------------------------------------

Erfolgreich abgearbeitet!




-------------------------------------------------
3: ComboFix
-------------------------------------------------



"surfon" - 07-04-11 13:33:57 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Desktop"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\NDNuninstall6_38.exe


((((((((((((((((((((((((((((((( Files Created from 2007-03-11 to 2007-04-11 ))))))))))))))))))))))))))))))))))


2007-04-10 00:50 <DIR> d-------- C:\Programme\Steganos Safe 8
2007-04-09 02:07 90,112 --a------ C:\WINDOWS\unvise32.exe
2007-04-07 03:12 <DIR> d-------- C:\DOKUME~1\SURFON~1.001\Anwendungsdaten\vlc
2007-04-05 20:45 22,641 --a------ C:\WINDOWS\system32\dmsynthd.dll
2007-04-04 22:07 <DIR> d-------- C:\DOKUME~1\SURFON~1.001\Anwendungsdaten\Media Player Classic
2007-04-04 18:49 <DIR> d-------- C:\WINDOWS\pss
2007-04-04 16:43 <DIR> d-------- C:\WINDOWS\uninstall\Phonostar eBay-Icon
2007-04-03 00:20 <DIR> d-------- C:\Programme\GPS Tuner
2007-03-21 15:09 <DIR> d-------- C:\Programme\Maketorrent 2
2007-03-16 03:23 32,768 --a------ C:\WINDOWS\system32\vbTimer.DLL
2007-03-16 03:23 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL
2007-03-16 03:23 <DIR> d-------- C:\Programme\MOette
2007-03-16 01:55 <DIR> d-------- C:\Programme\HD Tune
2007-03-12 02:23 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-03-11 23:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-03-11 23:52 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\Anwendungsdaten\Adobe Systems
2007-03-11 18:08 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-03-11 18:08 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-03-11 18:08 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-11 13:28 -------- d-------- C:\Programme\trillian
2007-04-11 13:28 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\utorrent
2007-04-11 13:23 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\skype
2007-04-10 23:00 -------- d-------- C:\Programme\dvbviewer
2007-04-07 03:12 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\vlc
2007-04-05 01:02 -------- d-------- C:\Programme\microsoft activesync
2007-04-04 22:08 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\media player classic
2007-04-04 16:48 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\phonostar-player
2007-04-04 16:43 -------- d-------- C:\Programme\phonostar
2007-04-04 01:41 -------- d-------- C:\Programme\partygaming.net
2007-03-22 14:56 -------- d-------- C:\Programme\tvgenial
2007-03-18 14:12 -------- d-------- C:\Programme\irfanview
2007-03-14 16:09 2992 --a------ C:\WINDOWS\mozver.dat
2007-03-14 16:08 -------- d-------- C:\Programme\java
2007-03-07 16:39 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\smartftp
2007-03-07 16:38 -------- d-------- C:\Programme\smartftp client 2.0 setup files
2007-03-07 16:38 -------- d-------- C:\Programme\smartftp client 2.0
2007-03-07 03:16 -------- d-------- C:\Programme\ftpclient
2007-03-06 21:32 -------- d--h----- C:\Programme\installshield installation information
2007-03-06 21:30 -------- d-------- C:\Programme\winscp3
2007-03-01 23:56 -------- d-------- C:\Programme\daemon tools
2007-03-01 23:50 646392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-03-01 23:49 376 --a------ C:\Programme\verknpfung mit programme.lnk
2007-03-01 22:51 -------- d-------- C:\Programme\netbeans-5.5
2007-03-01 22:50 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2007-03-01 22:39 -------- d-------- C:\Programme\jvoicexml
2007-02-28 16:36 -------- d-------- C:\Programme\voicent
2007-02-26 00:34 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\divx
2007-02-25 23:53 -------- d-------- C:\Programme\divx
2007-02-25 23:52 -------- d-------- C:\Programme\winamp
2007-02-25 23:48 -------- d-------- C:\Programme\xp codec pack
2007-02-24 17:26 -------- d-------- C:\DOKUME~1\SURFON~1.001\ANWEND~1\dvdcss
2007-02-20 03:07 73728 --a------ C:\FileListServer.exe
2007-02-14 20:15 -------- d-------- C:\Programme\xenorate
2007-02-14 20:04 -------- d-------- C:\Programme\gabest
2007-02-14 18:31 -------- d-------- C:\Programme\ptesvnc
2007-02-14 18:29 -------- d-------- C:\Programme\msi
2007-02-14 18:28 -------- d-------- C:\Programme\web publish
2007-02-14 18:28 -------- d-------- C:\Programme\motherboard monitor 5
2007-02-14 18:24 -------- d-------- C:\Programme\logitech
2007-02-14 18:22 -------- d-------- C:\Programme\gmx
2007-02-14 18:22 -------- d-------- C:\Programme\easy icon maker
2007-02-14 18:21 -------- d-------- C:\Programme\eagle-4.15
2007-02-14 18:16 -------- d-------- C:\Programme\advanced tetris for windows mobile
2007-02-14 05:12 -------- d-------- C:\Programme\remoteamp
2007-02-01 06:56 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-02-01 06:56 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-02-01 06:56 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-02-01 06:56 639066 --a------ C:\WINDOWS\system32\divx.dll
2007-01-31 23:27 524288 --a------ C:\WINDOWS\system32\divxsm.exe
2007-01-31 01:15 118784 --a------ C:\WINDOWS\system32\divxcodecupdatechecker.exe
2007-01-30 15:07 10752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-01-30 07:03 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-01-30 07:03 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-01-30 07:03 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-01-30 07:03 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-01-30 07:03 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-01-30 07:03 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-01-30 06:56 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-01-30 06:56 593920 --a------ C:\WINDOWS\system32\dpugui11.dll
2007-01-30 06:56 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-01-30 06:56 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2007-01-30 06:56 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-01-30 06:56 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-01-30 06:56 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-01-30 06:56 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-01-28 05:32 319 --a------ C:\drmHeader.bin
2007-01-27 20:26 8 --a------ C:\WINDOWS\system32\nvmodes.dat
2007-01-20 04:01 372736 --a------ C:\WINDOWS\suinsta4001.exe
2007-01-16 01:44 483508 --a------ C:\WINDOWS\system32\perfh007.dat
2007-01-16 01:44 101340 --a------ C:\WINDOWS\system32\perfc007.dat
2007-01-16 01:13 0 --a------ C:\dotnetfx.exe
2007-01-10 03:53 2508 --a------ C:\DOKUME~1\SURFON~1.001\ANWEND~1\$_hpcst$.hpc


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"TVgenial"="C:\\Programme\\TVgenial\\TVgenial.exe -d"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\ipoint.exe\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled]
"LanguageShortcut"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"nwiz"="nwiz.exe /install"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0\\bin\\jusched.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"WinVNC"="\"C:\\Programme\\PTeSVNC\\WinVNC.exe\" -servicehelper"
"Xfire"="Xfire.exe /minimize"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"SAFE8"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -firstboot"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-11 13:36:49
C:\ComboFix-quarantined-files.txt ... 07-04-11 13:36

==>

Code

06-01-03 01:39      50688    --a------    C:\Qoobox\Quarantine\WINDOWS\NDNuninstall6_38.exe.vir 


Auflistung der Ordnerpfade fr Volume System
Volumenummer: B0F9-58DC
C:\QOOBOX
\---Quarantine
    +---Registry_backups
    \---WINDOWS
            NDNuninstall6_38.exe.vir
            
-------------------------------------------------
4: datfind.bat
-------------------------------------------------

**** system32.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC

Verzeichnis von C:\WINDOWS\system32

11.04.2007 13:31 13.646 wpa.dbl
11.04.2007 13:30 145.209 OODBS.lor
11.04.2007 12:06 50.844 nvapps.xml
05.04.2007 20:45 22.641 dmsynthd.dll
14.03.2007 16:08 9.857 jupdate-1.5.0_11-b03.log
12.03.2007 12:43 269.392 FNTCACHE.DAT
01.03.2007 22:59 139.264 javaws.exe
01.03.2007 22:59 69.632 javacpl.cpl
01.03.2007 22:59 135.168 java.exe
01.03.2007 22:59 135.168 javaw.exe


**** systemtemp.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC

Verzeichnis von C:\DOKUME~1\SURFON~1.001\LOKALE~1\Temp

11.04.2007 13:45 222 STG4.tmp
11.04.2007 13:45 25.214 STG3.tmp
11.04.2007 13:45 559 WCESCOMM.LOG
11.04.2007 13:45 431 WCESLog.log
11.04.2007 13:45 25.214 STG2.tmp
5 Datei(en) 51.640 Bytes
0 Verzeichnis(se), 1.538.125.824 Bytes frei

**** system.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC

Verzeichnis von C:\WINDOWS

11.04.2007 13:34 24.231.820 ntbtlog.txt
11.04.2007 13:32 0 0.log
11.04.2007 13:31 159 wiadebug.log
11.04.2007 13:31 50 wiaservc.log
11.04.2007 13:31 2.048 bootstat.dat
11.04.2007 13:28 32.626 SchedLgU.Txt
11.04.2007 13:28 1.991.850 WindowsUpdate.log
11.04.2007 03:20 116 NeroDigital.ini
06.04.2007 20:20 676.357 setupapi.log
04.04.2007 18:58 835 win.ini
04.04.2007 18:58 227 system.ini
03.04.2007 13:15 38 AviSplitter.INI
21.03.2007 15:11 261 maketorrent.ini
14.03.2007 16:09 2.992 mozver.dat

**** tmp.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: B0F9-58DC

Verzeichnis von C:\WINDOWS\Temp

11.04.2007 13:31 0 ib4
11.04.2007 13:31 0 ib3
11.04.2007 13:31 0 ib2
3 Datei(en) 0 Bytes
0 Verzeichnis(se), 1.538.117.632 Bytes frei


**** down.txt
KEINE EINTRÄGE IN DEN LETZTEN 3 MONATEN



Vielen Dank für eure Mühen,
Huelke
Dieser Beitrag wurde am 11.04.2007 um 14:24 Uhr von huelke editiert.
Seitenanfang Seitenende
11.04.2007, 14:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 huelke

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{659DA88F-37A7-495B-9A8B-010D867BA160}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2007, 15:10
huelke
...neu hier

Themenstarter

Beiträge: 3
#3 Hey Sabina,
Herzlichen Dank schon mal,

Hier das Ergebnis von regsearch:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{659DA88F-37A7-495B-9A8B-010D867BA160}" 11.04.2007 15:09:53

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659DA88F-37A7-495B-9A8B-010D867BA160}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659DA88F-37A7-495B-9A8B-010D867BA160}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{659DA88F-37A7-495B-9A8B-010D867BA160}]

[HKEY_USERS\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{659DA88F-37A7-495B-9A8B-010D867BA160}]

[HKEY_USERS\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{659DA88F-37A7-495B-9A8B-010D867BA160}\iexplore]


Habe noch einen VT Test gemacht:

http://www.virustotal.com/vt/en/resultadof?93d71dd64f54acee675042eb8c089dda

Complete scanning result of "dmsynthd.dll", received in VirusTotal at 04.11.2007, 16:26:53 (CET).


Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 ADSPY/Stud.D
Authentium 4.93.8 04.11.2007 no virus found
Avast 4.7.936.0 04.11.2007 Win32:Trojano-3384
AVG 7.5.0.447 04.11.2007 Adware Generic.WNV
BitDefender 7.2 04.11.2007 no virus found
CAT-QuickHeal 9.00 04.11.2007 no virus found
ClamAV devel-20070312 04.11.2007 Adware.BHO-15
DrWeb 4.33 04.11.2007 no virus found
eSafe 7.0.15.0 04.10.2007 no virus found
eTrust-Vet 30.7.3560 04.11.2007 no virus found
Ewido 4.0 04.10.2007 Adware.Stud
FileAdvisor 1 04.11.2007 no virus found
Fortinet 2.85.0.0 04.11.2007 no virus found
F-Prot 4.3.1.45 04.11.2007 no virus found
F-Secure 6.70.13030.0 04.11.2007 no virus found
Ikarus T3.1.1.5 04.11.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 04.11.2007 not-a-virus:AdWare.Win32.Stud.d
McAfee 5005 04.10.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2181 04.11.2007 Win32/Adware.BHO.AA
Norman 5.80.02 04.11.2007 W32/Stud.Y
Panda 9.0.0.4 04.11.2007 no virus found
Prevx1 V2 04.11.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 Adware.Webprefix
TheHacker 6.1.6.088 04.09.2007 Adware/Stud.d
VBA32 3.11.3 04.10.2007 AdWare.Win32.Stud.d
VirusBuster 4.3.7:9 04.11.2007 Adware.BHO.EC
Webwasher-Gateway 6.0.1 04.11.2007 Ad-Spyware.Stud.D


Aditional Information
File size: 22641 bytes
MD5: 7da77b28f7b8a8c9419e113a3b1ae545
SHA1: 0ff04b66eff3b741f1359e0b09b1c7cd83a4c485
packers: UPX
packers: UPX
packers: UPX
packers: UPX


Alles klar ;)
Und wie bekomm ich das Teil jetzt am einfachsten/gründlichsten weg?

Danke,
Huelke
Dieser Beitrag wurde am 11.04.2007 um 16:54 Uhr von huelke editiert.
Seitenanfang Seitenende
11.04.2007, 17:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659DA88F-37A7-495B-9A8B-010D867BA160}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{659DA88F-37A7-495B-9A8B-010D867BA160}]

[-HKEY_USERS\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{659DA88F-37A7-495B-9A8B-010D867BA160}]
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Files to delete:
C:\WINDOWS\system32\dmsynthd.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\STG4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\STG3.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\STG2.tmp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit ewido, poste den report, dann lasse alles gefundene loeschen
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2007, 20:03
huelke
...neu hier

Themenstarter

Beiträge: 3
#5 Hey Vielen Dank!!!

Er scheint weg zu sein!

Der Scanner hat aber ein paar (vermutlich inaktive) backdoors aufgedeckt.

Ich denk das ich einfach mal auf "remove infactions" klicke ;)

Na hier der Report:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Webtrends
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@m.webtrends[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Overture
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@overture[1].txt
Risk: Medium

Name: TrackingCookie.Tfag
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@php.sales.tfag[2].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@ssl-hints.netflame[1].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Dokumente und Einstellungen\surfon.SURFONPC.001\Cookies\surfon@tradedoubler[2].txt
Risk: Medium

Name: Adware.NewDotNet
Path: HKU\S-1-5-21-583907252-1547161642-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
Risk: Medium

Name: Adware.Stud
Path: C:\avenger\backup.zip/avenger/dmsynthd.dll
Risk: Medium

Name: Trojan.Runas.b
Path: C:\Programme\BPFTP Server\G6Service.exe
Risk: High

Name: Adware.SaveNow
Path: C:\Programme\DAEMON Tools\SetupDTSB.exe
Risk: Medium

Name: Adware.NewDotNet
Path: C:\QooBox\Quarantine\WINDOWS\NDNuninstall6_38.exe.vir
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.Skilin.c
Path: C:\WINDOWS\Downloaded Program Files\TEInstallPlugIn.ocx
Risk: Low

Name: Trojan.Small
Path: C:\WINDOWS\system32\drivers\i386\DISKINFO.EXE
Risk: High

Name: Adware.CommonName
Path: D:\Alte Festplatte\D\Programme\CommonName\Toolbar\CNBabe.dll
Risk: Medium

Name: Adware.Stud
Path: D:\Downloads\vlc-0.exe
Risk: Medium

Name: Trojan.Keygen.s
Path: D:\eMule\Downloads\Norton.Ghost.v9.0.Completo.Incl.Keygen.(www.Softflam.com).rar/Norton.Ghost.v9.0.Completo.Incl.Keygen.(www.Softflam.com)\Keygen.exe
Risk: High

Name: Trojan.Keygen.s
Path: D:\eMule\Downloads\Symantec Norton Ghost v9.0 Incl Keygen-Ssg.zip/nortonghost90p6.rar/keygen\ssg-ng90.exe
Risk: High

Name: Trojan.Keygen.s
Path: D:\eMule\Downloads\Symantec Norton Ghost v9.0 Keygen.zip/ssg-ng90.exe
Risk: High

Name: Trojan.Feutel.av
Path: D:\eMule\Downloads\Trillian.Pro.3.1.Final.Build.122.german-M3ZZ.rar/app\patch.exe
Risk: High

Name: Backdoor.Bifrose.aas
Path: D:\Netzwerk-Exchange\downloads - 2. Halbj 2006\Steganos.Internet.Anonym.2006.v8.0.1.Multilang.Incl.Keygen-CORE.rar/Steganos Internet Anonym 2006\Keygen-CORE.rar/Keygen-CORE.zip/keygen.exe
Risk: High

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/wbhshare.dll
Risk: Medium

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/Webhdll.dll
Risk: Medium

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/WhAgent.exe
Risk: Medium

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whAgent.inf
Risk: Medium

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whiehlpr.dll
Risk: Medium

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whieshm.dll
Risk: Medium

Name: Adware.WebHancer
Path: D:\Sonstiges\Von D\Packer\WinAce\webhancer\wh_setup.exe/whInstaller.exe
Risk: Medium

Name: Backdoor.Bifrose.aas
Path: G:\eMule\Incoming\Steganos.Safe.Professional.2007.v9.0.1.Multilingual.Incl.Keymaker-CORE(1).rar/keygen.exe
Risk: High

Name: Backdoor.Bifrose.aas
Path: G:\eMule\Incoming\Steganos.Safe.Professional.2007.v9.0.1.Multilingual.Incl.Keymaker-CORE.rar/Steganos.Safe.Professional.2007.v9.0.1.Multilingual.Incl.Keymaker-CORE\keygen.exe
Risk: High
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1