Ebenfalls: Google Umleitungen/Redirects bei Suchergebnissen

#1 Hallo.

Hatte ähnliche Symptome wie cakewalk im Thread Google Umleitungen/Redirects bei Suchergebnissen


Mein System:
Windows Vista Home Premium SP1
Antivirenprogramme: Norton IS 2009, Hijackthis, Spybot S&D

Problembeschreibung:
WICHTIG: Das Problem wurde mittlerweile durch Malwarebytes behoben, jedoch wurde mir geraten, hier dennoch die Logfiles zu veröffentlichen, damit weitere Gefährdungen ausgeschlossen werden können.

Daher nun die ursprüngliche Problembeschreibung, sämtliche Symptome treten nun nicht mehr auf:

Werde beim Aufruf von Google-Ergebnissen meist auf fremde Seiten geleitet. Betonung leigt auf "meistens": Dies geschieht nicht immer, beim nochmaligem Aufruf der selben(!) URL werde ich meist auf die korrekte Adresse geleitet.

Weiterhin ist mir aufgefallen, dass der Zugriff auf bestimmte Domains blockiert wird, wie z.B. zum Symantec-Update Server, daher bekomme ich keine neuen Antivirendefinitionen!
Auch auf die Webseite von SpyBot komme ich nicht www.safer-networking.org => FFox Fehlermeldung: "Der Server unter www.safer-networking.org konnte nicht gefunden werden."
Lass ich die Adresse z.B. über anonymouse.org aufrufen, klappt alles.
(Auch http://www.malwarebytes.org)

Beispiel für eine Weiterleitung:
Ein Suchergebnis hat die eigentliche URL http://www.abt-sportsline.de/en/tuning/shop/VW-Scirocco-1K8_1258_4/

Der Hyperlink auf der Seite leitet mich jedoch auf hxxp://www.google.de/click?sa=T&ct=res&cd=1&url=...

Dieser Link sollte eigentlich auch okay sein.
Entweder werde ich nun auf die eigentliche Adresse (abt-sportsline etc.) geleitet oder ich komme über mehrere Http-Redirects auf eine fremde Seite, wie z.B. diese:
hxxp://main.exoclick.com/click.php?data=Y25ldHN8...

Diese Adresse leitet mich nun wieder weiter und ende oft auf Seiten wie z.B.:
[url="hxxp://www.speed-downloading.com/fp/003/?&nums=FEp6YzWAAA&grpid=1986&tag_id=450 "]"hxxp://www.speed-downloading.com/fp/...[/url]





Erledigte Arbeitsschritte

Temporäre Dateien beseitigen: Erledigt

Norton Internetsecurity 2009 Quickscan:
Tracking Cookie, sonst nichts erkannt (Definitionen 30 Tage alt da Updates blockiert werden)

Malware-Bytes
Automatische Updates funkionieren nicht (s.o. blockade bestimmter Domains), Definitionen vom 18.02.2009 manuell geladen und installiert.
=> Konnte das Problem erfolgreich beheben. Nach Neustart nichts mehr gefunden. Hier die Logdatei mit den (ehemaligen) Malwareeinträgen:

Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1778
Windows 6.0.6001 Service Pack 1

22.02.2009 13:36:52
mbam-log-2009-02-22 (13-36-52).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 68075
Laufzeit: 4 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Users\Bernhard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Program Files\videosoft\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\videosoft\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\msqpdxeybobpxg.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Combofix
Siehe Anhang.


Hijackthis-Logfile

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:03, on 22.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe
C:\Users\Bernhard\AppData\Local\Google\Update\GoogleUpdate.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\iTunes\iTunes.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\notepad.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MirandaFusion\miranda32.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Program Files\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKCU\..\Run: [Google Update] "C:\Users\Bernhard\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3265] command.com /c del "c:\resycled\boot.com"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3159] cmd.exe /c del "c:\resycled\boot.com"
O4 - Startup: Xecutor.lnk = C:\Program Files\Xecutor\Xecutor.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B444E47-DEE5-4774-80DB-E144E9FEF566}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8414ADE-A623-4E7A-8B0B-529DE8DFC0D0}: NameServer = 192.168.178.1,0.0.0.0
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrafficMonitor Packettreiber Initialisierung (TMPService) - Mirko Böer - C:\Program Files\TrafficMonitor\TMPacketServiceInit.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 12337 bytes

Uninstall Liste

Zitat

7-Zip 4.57
Acer Arcade Deluxe
Acer Crystal Eye webcam
Acer Crystal Eye webcam
Acer eAudio Management
Acer eDataSecurity Management
Acer eLock Management
Acer Empowering Technology
Acer eNet Management
Acer ePower Management
Acer ePresentation Management
Acer eSettings Management
Acer GridVista
Acer Mobility Center Plug-In
Acer ScreenSaver
Acer VCM
Acrobat.com
Acrobat.com
Activation Assistant for the 2007 Microsoft Office suites
AD Stream Recorder 2.7
Adobe AIR
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Help Center 1.0
Adobe Reader 9
Adobe Reader 9 - Deutsch
Adobe Shockwave Player
Adobe Stock Photos 1.0
Analytics Reporting Suite - beta 3.2
Apple Mobile Device Support
Apple Software Update
Application Suite
Audacity 1.3.6 (Unicode)
Bonjour
Borland Developer Studio 2006
CCleaner (remove only)
CDDRV_Installer
Command & Conquer Generals
ComponentOne Studio Enterprise™
ConvertHelper 2.1
CorelDRAW Graphics Suite 12
DivX Codec
DivX Converter
DivX Player
DivX Web Player
eBay Desktop
Eraser
Eraser
File-Server 1.1
FileZilla Client 3.2.1
FlatOut2
HDAUDIO Soft Data Fax Modem with SmartCP
HeidiSQL 3.2
HijackThis 2.0.2
Intel Matrix Storage Manager
IrfanView (remove only)
iTunes
Java Runtime 1.5.0_03 for Borland COM APIs
Java(TM) 6 Update 7
Kaspersky Online Scanner
KhalInstallWrapper
Launch Manager
Logitech SetPoint
Malwarebytes' Anti-Malware
Mental Motions Pencil Box Deluxe
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework SDK (German) 1.1
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Outlook 2002
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft Works
Miranda Fusion 2.0.1
Mozilla Firefox (3.0.6)
Mozilla Thunderbird (2.0.0.19)
Mp3 Stream Recorder
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
Need for Speed™ Undercover
Nero 9.0.9.4 Lite
Norton Internet Security
NTI Backup NOW! 4.7
NTI CD & DVD-Maker
NUnit 2.2
NVIDIA Drivers
OpenOffice.org 3.0
Orbit Downloader
Parallel Port Joystick
PC Inspector File Recovery
PerfectDisk 2008 Professional
phonostar-Player Version 2.01.4
phpDesigner 2008 version 6.1.1
phpDesigner version 6.2.2
Picasa 3
PixiePack Codec Pack
piXXolo-Uploader 0.4.0.5
PowerProducer
QuickTime
Radiotracker
Rave Reports 6.5 BE
RealPlayer
Realtek High Definition Audio Driver
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01
Rune - Halls of Valhalla
SpeechRedist
Spybot - Search & Destroy
StarMoney 6.0 S-Edition
StationRipper 2.91D
SUPER © Version 2008.bld.33 (Sep 2, 2008)
Synaptics Pointing Device Driver
TourDeFlex
TrafficMonitor 4.81
Update for Office 2007 (KB934528)
Update for Office System 2007 Setup (KB929722)
Visual J# .NET Redistributable 1.1- German Language Pack
WIDCOMM Bluetooth Software 6.0.1.4900
Winamp
Winbond CIR Drivers
Windows Media Player Firefox Plugin
Windows Mobile-Gerätecenter
Windows Mobile-Gerätecenter: Treiberupdate
Wise Owl Demeanor for .NET, Personal Edition
XAMPP 1.6.8
Xecutor Version 1.50.0.83
Xpert-Timer Version 1.6.2.478 (DEUTSCH)
Zattoo 3.3.1 Beta

Wäre nett, wenn sich das jemand mal kurz anschauen könnte, ob irgendwo noch Gefahren lauern.

Besten Dank.

Bernhard

#2 Da hat dich wohl ein infiziertes externes Laufwerk erwischt! Du musst sehen, das du diese Laufwerke auch reinigst. Entweder die Laufwerke schon beim starten des Rechners anstecken, oder die shifttaste gedrueckt halten beim einstecken des Laufwerks/Stick....

Ich denke du hast UAC noch aktiviert?

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com o:
\shell\Open\command - resycled\boot.com o:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1241b430-a818-11dd-ba86-0013e8325f3d}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com o:
\shell\Open\command - resycled\boot.com o:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1241b434-a818-11dd-ba86-0013e8325f3d}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com h:
\shell\Open\command - resycled\boot.com h:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1241b438-a818-11dd-ba86-0013e8325f3d}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com p:
\shell\Open\command - resycled\boot.com p:
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo.

Ja, UAC hab ich noch aktiviert.

Zwekcs: "resycled\boot.com", kann nirgendwo so eine Datei finden. Was soll ich am besten machen, nochmal Malwarebytes laufen lassen und zwar komplett? Oder gibts ne bessere Vorgehensweise?

Evtl. handelt es sich auch nur um einen ungültigen alten Eintrag.


Edit: Habe jetzt in den drei Einträgen jeweils ",ShellExec_RunDLL resycled\boot.com XY:" rausgelöscht.

#4 Ein Komplettscan kann nicht schaden. Nur solltest du dir vorher ueberlegen, ob du die Autostartfunktioni von Vista komplett deaktivierst, dann alle externen Laufwerke anschliesst und dann den Komplettscan startest.
__________
MfG Ralf
SEO-Spam Hunter