Google verweist mich auf falsche Seiten

#0
25.06.2009, 16:22
...neu hier

Beiträge: 10
#1 Habe ein Problem mit Google! Und zwar wenn ich was suche und den link anklicke kommt fast immer eine falsche seite bzw. die webseite kann nicht angezeigt werden Befehl. Habe gelesen das einige von euch sich mit Hijackthis
auskennen und durch die log die ursache finden können! Bitte deswegen um eure mithilfe! Möchte gerne IE behalten weil es mit Norten 360 läuft!
Hier der LOG:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:58, on 25.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Digital Research\EasyUPnP\EasyUPnP.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton 360 Online\osCheck.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DR-EasyUPnP.lnk = C:\Programme\Digital Research\EasyUPnP\EasyUPnP.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://spinpalace.gameassists.co.uk/german/FlashAX2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BAF4008-ABF4-4CED-9C08-96C3241951A1}: NameServer = 192.168.178.1
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Programme\Gemeinsame Dateien\Symantec Shared\Support Controls\ssrc.exe

--
End of file - 5948 bytes
Seitenanfang Seitenende
25.06.2009, 16:39
Moderator

Beiträge: 7805
#2 Arbeite bitte noch die Punkte 2-4 aus http://board.protecus.de/t23188.htm ab und poste die entsprechenden Reporte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.06.2009, 16:58
...neu hier

Themenstarter

Beiträge: 10
#3 Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2333
Windows 5.1.2600 Service Pack 3

25.06.2009 16:56:59
mbam-log-2009-06-25 (16-56-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 80269
Laufzeit: 2 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
25.06.2009, 17:28
Moderator

Beiträge: 7805
#4 Nun noch bitte den Combofix Report... ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.06.2009, 17:31
...neu hier

Themenstarter

Beiträge: 10
#5 ComboFix 09-06-24.05 - Sylvia 25.06.2009 17:16.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.703.497 [GMT 2:00]
ausgeführt von:: d:\downloads\ComboFix.exe
AV: Norton 360 Online *On-access scanning disabled* (Updated) {A5F1BC7C-EA33-4247-961C-0217208396C4}
FW: Norton 360 Online *disabled* {371C0A40-5A0C-4AD2-A6E5-69C02037FBF3}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\SKYNETkjkimuht.sys
c:\windows\system32\SKYNETnbvwrrxf.dll
c:\windows\system32\SKYNETpydofdpd.dat
c:\windows\system32\SKYNETrtdbothr.dat
c:\windows\system32\SKYNETsdfuyybn.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETllpxrgby


((((((((((((((((((((((( Dateien erstellt von 2009-05-25 bis 2009-06-25 ))))))))))))))))))))))))))))))
.

2009-06-25 15:14 . 2009-06-25 15:14 -------- d-sh--w- C:\FOUND.000
2009-06-25 14:43 . 2009-06-25 14:43 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Malwarebytes
2009-06-25 14:43 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-25 14:43 . 2009-06-25 14:43 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-25 14:43 . 2009-06-25 14:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-25 14:43 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-25 14:36 . 2009-06-25 14:36 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\Eraser
2009-06-25 14:35 . 2009-06-25 14:35 -------- d-----w- c:\programme\Eraser
2009-06-25 14:35 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll
2009-06-25 14:35 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll
2009-06-25 14:35 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe
2009-06-25 14:08 . 2009-06-25 14:08 -------- d-----w- c:\programme\Trend Micro
2009-06-24 19:25 . 2009-06-24 19:25 34062 ----a-w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Move Networks\ie_bin\Uninst.exe
2009-06-24 19:25 . 2009-06-24 19:25 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Move Networks
2009-06-24 18:12 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-24 17:08 . 2009-06-24 17:08 -------- d-----w- c:\programme\A-FF Find and Mount
2009-06-24 16:53 . 2009-06-24 16:53 4 ----a-w- c:\windows\vx86036.dat
2009-06-24 16:53 . 2009-06-24 16:53 -------- d-----w- c:\dokumente und einstellungen\All Users\CrypKey
2009-06-24 16:52 . 2008-05-07 23:29 122880 ----a-w- c:\windows\system32\Crypserv.exe
2009-06-24 16:52 . 2008-03-17 16:45 19584 ----a-w- c:\windows\system32\Ckldrv.sys
2009-06-24 16:52 . 1999-06-18 20:49 165888 ----a-w- c:\windows\Ckconfig.exe
2009-06-24 16:52 . 1996-05-03 16:21 27648 ----a-r- c:\windows\Setup_ck.exe
2009-06-24 16:52 . 1996-05-03 14:36 18432 ----a-w- c:\windows\Setup_ck.dll
2009-06-24 16:52 . 1995-07-04 17:33 11776 ----a-w- c:\windows\Ckrfresh.exe
2009-06-24 16:52 . 2009-06-24 16:52 -------- d-----w- c:\programme\Stellar Phoenix Windows Data Recovery
2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\mergeparts
2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\redistpart
2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\createpart
2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\deletepart
2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\explauncher
2009-06-24 15:12 . 2009-06-24 15:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\launcher
2009-06-24 15:11 . 2009-04-08 15:59 40560 ----a-w- c:\windows\system32\drivers\hotcore3.sys
2009-06-24 15:11 . 2009-06-24 15:11 -------- d-----w- c:\programme\Paragon Software
2009-06-23 16:58 . 2009-06-23 16:58 -------- d-----w- c:\programme\WBFS
2009-06-23 16:42 . 2009-06-23 16:42 -------- d-----w- c:\programme\Unlocker
2009-06-23 14:18 . 2009-06-23 16:11 114048 ----a-w- c:\windows\system32\drivers\snapman.sys
2009-06-22 21:09 . 2009-06-22 21:09 -------- d-----w- c:\windows\system32\NtmsData
2009-06-22 20:19 . 2009-06-22 20:19 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\WBFSManager
2009-06-22 20:17 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-06-22 20:14 . 2009-06-24 17:37 173488 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-06-22 20:12 . 2009-06-22 20:12 -------- d-----w- c:\windows\system32\XPSViewer
2009-06-22 20:12 . 2009-06-22 20:12 -------- d-----w- c:\programme\MSBuild
2009-06-22 20:12 . 2009-06-22 20:12 -------- d-----w- c:\programme\Reference Assemblies
2009-06-22 20:11 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-06-22 20:11 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-06-22 20:11 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-06-22 20:11 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-06-22 20:11 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-06-22 20:11 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-06-22 20:11 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-06-15 17:32 . 2009-06-15 17:32 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\PokerStrategy
2009-06-15 17:28 . 2009-06-15 17:28 -------- d-----w- c:\programme\PokerStrategy
2009-06-15 17:12 . 2009-06-15 17:12 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\PacificPoker
2009-06-15 17:11 . 2009-06-15 17:11 -------- d-----w- c:\programme\PacificPoker
2009-06-15 15:11 . 2009-06-15 15:11 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\Boss Media
2009-06-15 15:10 . 2009-06-15 15:10 -------- d-----w- c:\programme\Mermaid Poker
2009-06-13 12:09 . 2009-06-13 12:09 -------- d-----w- C:\Musik
2009-06-11 07:20 . 2009-06-11 07:20 -------- d-----w- c:\windows\ServicePackFiles
2009-06-11 07:11 . 2009-06-11 07:11 -------- d-----w- c:\windows\EHome
2009-06-08 18:57 . 2009-06-08 18:57 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\vlc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 20:58 . 2008-11-05 19:19 43264 ----a-w- c:\dokumente und einstellungen\Sylvia\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-22 20:14 . 1979-12-31 22:00 81178 ----a-w- c:\windows\system32\perfc007.dat
2009-06-22 20:14 . 1979-12-31 22:00 450556 ----a-w- c:\windows\system32\perfh007.dat
2009-06-11 07:30 . 2004-09-13 10:32 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-13 15:06 . 2009-05-13 15:05 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-05-09 12:37 . 2009-05-09 12:37 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\FRITZ!
2009-05-09 12:36 . 2009-05-09 12:36 -------- d-----w- c:\programme\1&1
2009-05-07 15:32 . 1979-12-31 22:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-07 00:01 . 2009-05-07 00:01 69120 ----a-w- c:\windows\system32\avmadd32.dll
2009-05-07 00:01 . 2008-11-05 18:58 97360 ----a-w- c:\windows\system32\drivers\Fwusb1b.bin
2009-05-07 00:01 . 2008-11-05 18:58 4352 ----a-w- c:\windows\system32\drivers\avmeject.sys
2009-05-07 00:01 . 2008-11-05 18:58 265088 ----a-w- c:\windows\system32\drivers\fwlanusb.sys
2009-04-29 04:42 . 1979-12-31 22:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2008-11-20 17:41 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-28 11:56 . 2009-04-28 11:56 -------- d-----w- c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\YuLeech
2009-04-19 19:46 . 1979-12-31 22:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 1979-12-31 22:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-08 15:59 . 2009-04-08 15:59 4248848 ----a-w- c:\windows\system32\qtp-mt334.dll
2009-04-08 15:59 . 2009-04-08 15:59 248592 ----a-w- c:\windows\system32\prgiso.dll
2009-03-31 20:46 . 2008-02-24 01:07 9584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\LuRegManifests\Static\NCO20.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-13 4141056]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\programme\Norton 360 Online\osCheck.exe" [2008-02-26 988512]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2004-06-22 143360]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2004-09-01 53248]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2003-07-25 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Sylvia\Startmen\Programme\Autostart\
DR-EasyUPnP.lnk - c:\programme\Digital Research\EasyUPnP\EasyUPnP.exe [2009-2-15 247296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WebClient"=2 (0x2)
"TermService"=2 (0x2)
"TapiSrv"=3 (0x3)
"Irmon"=2 (0x2)
"Fax"=2 (0x2)
"anbmService"=2 (0x2)
"wuauserv"=2 (0x2)
"idsvc"=3 (0x3)
"AVM WLAN Connection Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [07.11.2008 17:09 101936]
S2 VNVNVNVN;VNVNVNVN;\??\c:\windows\system32\drivers\VNVNVNVN.sys --> c:\windows\system32\drivers\VNVNVNVN.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [05.11.2008 20:58 4352]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [13.01.2008 03:32 23888]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [05.11.2008 20:58 265088]
S3 IPN2220;acer IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [16.09.2004 18:58 140288]
S3 POWERKEY;POWERKEY;\??\c:\program files\Launch Manager\POWERKEY.sys --> c:\program files\Launch Manager\POWERKEY.sys [?]
S3 SliceDisk5;SliceDisk5;c:\programme\A-FF Find and Mount\slicedisk.sys [24.06.2009 19:08 10240]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2009-06-25 c:\windows\Tasks\User_Feed_Synchronization-{752D1A37-DBD7-4D80-AB14-5CEC3A0A92AD}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 16:36]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
TCP: {2BAF4008-ABF4-4CED-9C08-96C3241951A1} = 192.168.178.1
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://spinpalace.gameassists.co.uk/german/FlashAX2.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-25 17:20
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-06-25 17:21
ComboFix-quarantined-files.txt 2009-06-25 15:21

Vor Suchlauf: 7.179.239.424 Bytes frei
Nach Suchlauf: 7.200.866.304 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect

193 --- E O F --- 2009-06-11 20:01
Seitenanfang Seitenende
25.06.2009, 17:32
...neu hier

Themenstarter

Beiträge: 10
#6 Hoffe Du Kannst mir Helfen!
Seitenanfang Seitenende
25.06.2009, 17:39
Moderator

Beiträge: 7805
#7 Deinstalliere bitte Combofix via Start/Ausfuehren, dort
combofix /u
eingeben und enter druecken.

Loesche den Ordner C:\FOUND.000


Erstelle zur Kontrolle noch ein Gmer Report:
Nutze den "Download now" Button von hier http://www.gmer.net/#files starte die Date, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report hier einfuegen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.06.2009, 18:04
...neu hier

Themenstarter

Beiträge: 10
#8 Find die datei C:/Found.000 nicht und ich weiß nicht wie ich die copy wiederfinde schreibt irgendwas von clipboard aber wo ist das?
Seitenanfang Seitenende
25.06.2009, 18:37
Moderator

Beiträge: 7805
#9 Wenn du einmal Copy gedrueckt hast, gehst du mit der Maus hier in das Fenster, wo du deine Antwort schreibst, drueckst die rechte Maustaste und dann einfuegen waehlen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.06.2009, 18:41
...neu hier

Themenstarter

Beiträge: 10
#10 GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-25 18:04:54
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT 830FCB00 ZwAlertResumeThread
SSDT 831050C0 ZwAlertThread
SSDT 8303C1B8 ZwAllocateVirtualMemory
SSDT 831EFFB0 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xF6226020]
SSDT 830F78A0 ZwCreateMutant
SSDT 830FE300 ZwCreateThread
SSDT 830F1798 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xF62262A0]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF6226800]
SSDT sptd.sys ZwEnumerateKey [0xF7ACBE2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF7ACC1BA]
SSDT 83041370 ZwFreeVirtualMemory
SSDT 830F3300 ZwImpersonateAnonymousToken
SSDT 830FAD90 ZwImpersonateThread
SSDT 830FE778 ZwMapViewOfSection
SSDT 830F2BC8 ZwOpenEvent
SSDT sptd.sys ZwOpenKey [0xF7AC60B0]
SSDT 8322FF58 ZwOpenProcessToken
SSDT 830F1F30 ZwOpenSection
SSDT 8308A120 ZwOpenThreadToken
SSDT sptd.sys ZwQueryKey [0xF7ACC292]
SSDT sptd.sys ZwQueryValueKey [0xF7ACC112]
SSDT 832D1880 ZwResumeThread
SSDT 8311D0C0 ZwSetContextThread
SSDT 83135120 ZwSetInformationProcess
SSDT 831F7180 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xF6226A50]
SSDT 830F2208 ZwSuspendProcess
SSDT 831070B0 ZwSuspendThread
SSDT 831273F0 ZwTerminateProcess
SSDT 83110298 ZwTerminateThread
SSDT 832C44A8 ZwUnmapViewOfSection
SSDT 8303DAB8 ZwWriteVirtualMemory

Code \??\C:\DOKUME~1\Sylvia\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F76BD8AC 5 Bytes JMP 82E4E578
? C:\DOKUME~1\Sylvia\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467178F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671710 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671754 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467169C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716D6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717CA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[1968] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7AC6AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7AC6C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7AC6B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7AC7748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F7AC761E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7ADBACA] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82F277A0
Device \FileSystem\Fastfat \FatCdrom 833441E8

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 82F05598
Device \Driver\usbuhci \Device\USBPDO-1 82F05598
Device \Driver\usbuhci \Device\USBPDO-2 82F05598
Device \Driver\NetBT \Device\NetBT_Tcpip_{59C49FCB-1FC9-4849-9305-4182034288C8} 831BA7A0
Device \Driver\usbehci \Device\USBPDO-3 82EF61E8

AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 833611E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume2 833611E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 82E361E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 833611E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume4 833611E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBt_Wins_Export 831BA7A0
Device \Driver\NetBT \Device\NetbiosSmb 831BA7A0
Device \Driver\usbstor \Device\000000c6 830821E8
Device \Driver\usbstor \Device\000000c7 830821E8

AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\usbuhci \Device\USBFDO-0 82F05598
Device \Driver\usbuhci \Device\USBFDO-1 82F05598
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 830151E8
Device \Driver\usbuhci \Device\USBFDO-2 82F05598
Device \FileSystem\MRxSmb \Device\LanmanRedirector 830151E8
Device \Driver\usbehci \Device\USBFDO-3 82EF61E8
Device \Driver\Ftdisk \Device\FtControl 833611E8
Device \FileSystem\Fastfat \Fat 833441E8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 8312A610

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
25.06.2009, 18:43
...neu hier

Themenstarter

Beiträge: 10
#11 Find die datei C:/Found.000 nicht wo kann sie sein über Gmer1.o15 sehe ich sie aber über Arbeitsplatz nicht!
Seitenanfang Seitenende
25.06.2009, 18:49
Moderator

Beiträge: 7805
#12 Nutz bitte zur Kontrolle KAVs AVPtool: http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

Sollte es etwas melden, poste den Report.

Zu dem Ordner. Den findest du, wenn du folgendes einstellst:
http://freenet-homepage.de/rene-gad/invisible.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.06.2009, 19:31
...neu hier

Themenstarter

Beiträge: 10
#13 SUUUUUUPER PC LÄUFT!!!!

Mache jetzt noch den Scan und poste dir wenn noch was ist aber dank deiner Anleitung habe ich auch noch diverse andere Probleme gelöst was ich echt spitze finde!! Gut das es Menschen wie dich gibt die blöden Menschen wie mir helfen du bist der grösste!!!

Noch eine frage wie kann es sein das so ein Virus sich einschleicht ob wohl ich norten 360 was sich jeden Tag updatet und scan und den virus angeblich gelöscht hat trotzdem im system hängt?
Seitenanfang Seitenende
25.06.2009, 19:35
Moderator

Beiträge: 7805
#14 Das Problem ist, das die Malwareschreiber sehr schnell ihre Programme so aendern, das sie von AV-Programmen nicht mehr gemeldet werden. Es kann sehr gut sein, das dein Norton diese Malware erst in ein paar Tagen erkennt.
Das haette wahrscheinlich auch nichts mehr genutzt, da die Malware Rootkitfaehigkeiten besitzt und sich so vor Programmen, speziell Av Programmen, versteckt...

Programme wie Threatfire, Online Armor,Norton Antibot (oder Norton 360 V3 hat es wohl auch) haetten das Eindringen wohl verhindert. Das nutzen eines eingeschraenkten Benutzerkontos haette es aber auch schon getan...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.06.2009, 22:27
...neu hier

Themenstarter

Beiträge: 10
#15 Scan
----
Scanned: 318646
Detected: 0
Untreated: 0
Start time: 25.06.2009 19:10:20
Duration: 02:57:03
Finish time: 25.06.2009 22:07:23


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------
25.06.2009 19:10:30 Running module: SMSS.EXE\smss.exe ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
Seitenanfang Seitenende