Google Umleitungen/Redirects bei Suchergebnissen

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.02.2009, 19:21
Member

Beiträge: 3716
#31 naja bedank dich erst wenn wir fertig sind, noch hat das alles ja nichts gebracht...
Seitenanfang Seitenende
10.02.2009, 20:47
Member

Themenstarter

Beiträge: 56
#32 Zwei Funde durch F-secure online. Problem besteht aber weiterhin.

Scanning Report
Tuesday, February 10, 2009 19:18:15 - 20:10:55

Computer name: JOE
Scanning type: Scan system for malware, rootkits
Target: C:\
Result: 2 malware found
Riskware:W32/NetCat.C (virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\JOE\EIGENE DATEIEN\DOWNLOADS\CRYPTLOAD_1.1.6\ROUTER\FRITZ!BOX\NC.EXE (Submitted)

W32/Packed_FSG.D (virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\JOE\EIGENE DATEIEN\DOWNLOADS\SOFTWARE\MACSOFTWARE\[MAC] ADOBE CS3 MASTER COLLECTION\MASTER KEYGEN.EXE (Submitted)

Statistics
Scanned:

* Files: 48837
* System: 3990
* Not scanned: 9

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 2
* Submitted: 2

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{755548D5-D64D-4040-BDDF-730D8049C893}.BIN

Options
Scanning engines:

* F-Secure USS: 3.0.0
* F-Secure Blacklight: 0.0.0
* F-Secure Hydra: 3.6.8511, 2009-02-10
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure AVP: 7.0.171, 2009-02-10

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
Seitenanfang Seitenende
10.02.2009, 20:53
Member

Beiträge: 3716
#33 nichts.
rootkitscanner:
http://virus-protect.org/rootkitscanner.html
folgendes ist zu beachten!
1. alle laufenden programme müssen geschlossen werden also antivir etc. internetverbindung trennen, also kabel raus oder wlan aus. keine neustarts zwischendurch. führe nun folgende scanner aus.
Blacklight
catchme
Gmer
Rootkitbuster (Trend Micro)
poste die logs
Seitenanfang Seitenende
10.02.2009, 22:02
Member

Themenstarter

Beiträge: 56
#34 catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
_______________________


+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.2.0.1014
+----------------------------------------------------


--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.
___________________

02/10/09 21:52:59 [Info]: BlackLight Engine 2.2.1092 initialized
02/10/09 21:52:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/09 21:53:00 [Note]: 7019 4
02/10/09 21:53:00 [Note]: 7005 0
02/10/09 21:53:03 [Note]: 7006 0
02/10/09 21:53:03 [Note]: 7011 984
02/10/09 21:53:03 [Note]: 7035 0
02/10/09 21:53:05 [Note]: FSRAW library version 1.7.1024
02/10/09 21:56:07 [Note]: 7007 0
______________________

gmer im anhang

Anhang: gmer.txt
Seitenanfang Seitenende
11.02.2009, 10:16
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#35 Prüfe mal diese Datei(en) bei Virustotal

Zitat

C:\DOKUME~1\Joe\LOKALE~1\Temp\nsz55.tmp
Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste die Daten
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus
Seitenanfang Seitenende
11.02.2009, 10:43
Member

Themenstarter

Beiträge: 56
#36 Die Datei nsz55.tmp ist leider nicht mehr da. Auch durch die Windows-Suche konnte ich sie nicht finden.
Seitenanfang Seitenende
11.02.2009, 11:46
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#37 Download filelist.zip zum Desktop
Entpacke die Zip Datei
klicke filelist.bat
Editor öffnet und poste den Inhalt im Thread
(kürze die Textdatei je Verzeichnis auf den letzten Monat !)
__________
MfG Argus
Seitenanfang Seitenende
11.02.2009, 11:55
Member

Themenstarter

Beiträge: 56
#38 gekürzte filelist im Anhang

Anhang: filelist.txt
Seitenanfang Seitenende
11.02.2009, 15:34
Member

Beiträge: 3716
#39 hallo, geh mal auf c:\ dort die datei 158508124794.kwm
bitte mal die eigenschaften der datei posten, alle registrerkarten durchgehen.

Download Fixwareout zum Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).

ich möchte weiterhin das du die
158508124794.kwm
mal umbenennst.
einfach nach der endung .kwn noch ein .old anfügen mit zip packen und hier hochladen. danke.
Seitenanfang Seitenende
11.02.2009, 19:28
Member

Themenstarter

Beiträge: 56
#40 158508124794.kwm
KWM-Datei
Ort c:\
Größe 164 Byte, auf Datenträger 4.00 KB (4,096 Bytes)
Erstellt am 29.01.2009 18:29:11
Geändert am 29.01.2009 18:29:11
Letzter Zugriff 11.02.2009 19:24:29 (also eben beim Start des Rechners!)

Fixwareout-Report kommt gleich,
158508124794.kwm.zip im Anhang
Seitenanfang Seitenende
11.02.2009, 19:44
Member

Themenstarter

Beiträge: 56
#41 Fixwareout-Report:

Username "Joe" - 2009-02-11 19:34:24 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LCDMon"="\"C:\\Programme\\Gemeinsame Dateien\\Logitech\\LCD Manager\\lcdmon.exe\""
"Launch LGDCore"="\"C:\\Programme\\Gemeinsame Dateien\\Logitech\\G-series Software\\LGDCore.exe\" /SHOWHIDE"
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\isuspm.exe\" -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE"
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"OODefragTray"="C:\\WINDOWS\\system32\\oodtray.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Adobe Photoshop Lightroom 1.2\\apdproxy.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre6\\bin\\jusched.exe\""
"Spamihilator"="\"C:\\Programme\\Spamihilator\\spamihilator.exe\""
"F-Secure Manager"="\"C:\\Programme\\F-Secure Internet Security\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\Programme\\F-Secure Internet Security\\FSGUI\\TNBUtil.exe\" /CHECKALL /WAITFORSW"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Seitenanfang Seitenende
11.02.2009, 19:51
Member

Beiträge: 3716
#42 verwendest du eigendlich einen router? hast du da ein neues passwort eingerichtet? wenn du einen verwendest, nimm mal den rechner vom router und schließe ich so ans netz, tritt das problem dan auch auf?
Seitenanfang Seitenende
11.02.2009, 20:05
Member

Themenstarter

Beiträge: 56
#43 Ja, ein T-com Speedport W701V. Das Passwort ist etwa ein halbes Jahr alt, habe es soeben geändert. Ich komme aber nicht ohne Router ins Netz, das läuft normalerweise über Splitter und dann Router/Modem. Oder liege ich da falsch?
Seitenanfang Seitenende
11.02.2009, 20:14
Member

Beiträge: 3716
#44 naja jetzt das passwort endern ist vllt zu spet... du solltest auch über den router direkt gehen können
Seitenanfang Seitenende
11.02.2009, 20:19
Member

Themenstarter

Beiträge: 56
#45 Da weiß ich gerade leider nicht, wie ich das anzustellen habe. Ich bin gewohnt, meine Zugangsdaten im Routermenü einzutragen um ins Netz zu gelangen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: