Hartnäckige Malware - Umleitung von Webseiten

[Petra]

===== Punkt 1 =====

ja, sehe es gerade, dann mache folgendes:

Wenn sich Bonjour nicht komplett über Systemsteuerung => Software deinstallieren ließ, fahre wie folgt fort:

1. Start => ausführen => dort reinschreiben: services.msc => OK => es öffnet sich das "Dienste"-Fenster.
   "Bonjour Dienst" in der Liste auswählen und "Beenden" ausführen.
2. Kommandozeile öffnen: Start => ausführen => cmd reinschreiben
   und ins Verzeichnis "<Systemvolume>\Programme\Bonjour" wechseln,
   z. B. mit dem Kommando: cd "C:\Programme\Bonjour"
3. Folgendes Kommando eingeben: mDNSResponder -remove
4. Danach kannst Du den Ordner C:\Programme\Bonjour löschen.

Wenn das so auch nicht klappt, gehe auf diese Seite, lade Dir lspfix.zip runter und entpacke das Archiv auf Deinen Desktop. Wenn Du kein Zip-Programm hast, kannst Du auch LSPFix.exe und spfix.txt runterladen. Starte LSPFix.exe, schiebe mit dem >>-Button die mdnsnsp.dll nach rechts, da sie muss raus, hake "I know what i'm doing" an und klicke auf "Finish". Rechner neu starten. Der Ordner C:\Programme\Bonjour\ sollte sich nun löschen lassen.


===== Punkt 2 =====

Panda Activescan kannst Du über Systemsteuerung => Software wieder deinstallieren.

[geistzeit]

Okey, beides erledigt. Ging tatsächlich nur über LSPFix.

[Petra]

===== Punkt 1 =====

Noch vergessen => auch deinstallieren => ESET Online Scanner v3


===== Punkt 2 =====

Welchen Router hast Du? Fritz.Box oder Microlink?



===== Punkt 3 =====

Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen.
Folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis (bei Vista mit Rechtsklick als Adminstrator)
Hijackthis solltest Du hier finden => C:\Programme\Trend Micro\HijackThis\<hijackthis> oder <Benutzername>.exe
=> Do a system scan only => mache vor folgenden Zeilen einen Haken klicke und dann "Fix checked":

Code:

  
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

Optional könntest Du noch folgende einzelne Programme aus dem Systemstart nehmen, da sie bei Bedarf automatisch aufgerufen werden oder über Programme und Systemsteuerung aufgerufen werden können, wenn sie gebraucht werden. Sie müssen nicht bei jedem Systemstart mitstarten. Es ist Deine Entscheidung, ob Du die Programme immer gestartet haben möchtest oder nicht, falls nein => fixen. Außerdem entfernen wir eine Reihe von unnötigen Einträgen sowie installierten alten ActiveX-Elementen, die ebenfalls bei Bedarf neu heruntergeladen werden. Damit wird sich die Performance Deines Rechners verbessern.

Code:

  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

Den Rechner neu starten.



===== Punkt 4 =====



Werden Websites noch umgeleitet?

Berichte, wie der Computer läuft und welche Probleme er noch macht.

[geistzeit]

1 - Erledigt.

2 - Weder noch: FritzBox war es früher, habe ich jetzt deinstalliert. Und Microlink ist DLAN, was ich ab und zu noch verwende.

3 - Erledigt.

4 - Ich habe jetzt mal ein paar Tests mit Suchbegriffen gemacht und es traten keine Umleitungen auf. Computer verhält sich normal.

[Petra]

ok, dann mache noch folgendes, um diesen Dienst zu löschen:

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)


Dienst beenden/löschen:

Für Windows 2000 und XP => Start => ausführen => cmd (reinschreiben => OK.
Es öffnet sich ein DOS-Fenster.
Nach dem Prompt nacheinander die folgenden Befehle ausführen:
(je eine Zeile aus der Codebox eintippen und Enter drücken).

Code:

sc config de_serv start= disabled
sc stop de_serv  
sc delete de_serv
exit

Wenn nach dem sc stop-Befehl eine Fehlermeldung kommt, ignorieren und den sc delete-Befehl eingeben.
Rechner neu starten.


Dieser scheint auch nicht mehr gebraucht zu werden, zumindestens sehe ich nichts in der Uninstall-Liste von Macrovision und/oder Flexnet

O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)

Code:

sc config "FLEXnet Licensing Service" start= disabled
sc stop "FLEXnet Licensing Service"
sc delete "FLEXnet Licensing Service"
exit

[geistzeit]

Okey, erledigt.

[Petra]

Bestens

Läuft dann alles wie es soll oder gibt es noch Probleme? Falls nein:

Tool-Bereinigung mit OTM

Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTM von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTM.exe um das Programm auszuführen.
  Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTM und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

[geistzeit]

Alles läuft soweit normal.

Antivir jedoch lässt sich (auch nach Neuinstallation) nicht updaten. Der Status "Suche nach Aktualisierungen" zeigt nun unter Verstrichene Zeit schon 35min an - und es passiert nichts. Habe auch schon manuell versucht die updater.exe von der Firewall zuzulassen.

[Petra]

AntiVir manuell updaten

Führe ein manuelles Update von Antivir nach folgender Anleitung durch und mache anschließend einen vollständigen Systemscan. Poste mir den Bericht davon hier in den Thread.

[geistzeit]

Avira AntiVir

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 28. Januar 2010  01:23

Es wird nach 1705523 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : COMPUTER1

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 16:51:12
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 16:51:12
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 16:51:12
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 16:51:12
VBASE004.VDF   : 7.10.3.76      2048 Bytes  26.01.2010 16:51:12
VBASE005.VDF   : 7.10.3.77      2048 Bytes  26.01.2010 16:51:12
VBASE006.VDF   : 7.10.3.78      2048 Bytes  26.01.2010 16:51:12
VBASE007.VDF   : 7.10.3.79      2048 Bytes  26.01.2010 16:51:12
VBASE008.VDF   : 7.10.3.80      2048 Bytes  26.01.2010 16:51:12
VBASE009.VDF   : 7.10.3.81      2048 Bytes  26.01.2010 16:51:12
VBASE010.VDF   : 7.10.3.82      2048 Bytes  26.01.2010 16:51:12
VBASE011.VDF   : 7.10.3.83      2048 Bytes  26.01.2010 16:51:12
VBASE012.VDF   : 7.10.3.84      2048 Bytes  26.01.2010 16:51:12
VBASE013.VDF   : 7.10.3.85      2048 Bytes  26.01.2010 16:51:12
VBASE014.VDF   : 7.10.3.86      2048 Bytes  26.01.2010 16:51:12
VBASE015.VDF   : 7.10.3.87      2048 Bytes  26.01.2010 16:51:12
VBASE016.VDF   : 7.10.3.88      2048 Bytes  26.01.2010 16:51:12
VBASE017.VDF   : 7.10.3.89      2048 Bytes  26.01.2010 16:51:12
VBASE018.VDF   : 7.10.3.90      2048 Bytes  26.01.2010 16:51:12
VBASE019.VDF   : 7.10.3.91      2048 Bytes  26.01.2010 16:51:12
VBASE020.VDF   : 7.10.3.92      2048 Bytes  26.01.2010 16:51:12
VBASE021.VDF   : 7.10.3.93      2048 Bytes  26.01.2010 16:51:12
VBASE022.VDF   : 7.10.3.94      2048 Bytes  26.01.2010 16:51:12
VBASE023.VDF   : 7.10.3.95      2048 Bytes  26.01.2010 16:51:12
VBASE024.VDF   : 7.10.3.96      2048 Bytes  26.01.2010 16:51:12
VBASE025.VDF   : 7.10.3.97      2048 Bytes  26.01.2010 16:51:12
VBASE026.VDF   : 7.10.3.98      2048 Bytes  26.01.2010 16:51:12
VBASE027.VDF   : 7.10.3.99      2048 Bytes  26.01.2010 16:51:12
VBASE028.VDF   : 7.10.3.100      2048 Bytes  26.01.2010 16:51:12
VBASE029.VDF   : 7.10.3.101      2048 Bytes  26.01.2010 16:51:12
VBASE030.VDF   : 7.10.3.102      2048 Bytes  26.01.2010 16:51:12
VBASE031.VDF   : 7.10.3.110     81408 Bytes  27.01.2010 16:51:12
Engineversion  : 8.2.1.154
AEVDF.DLL      : 8.1.1.3      106868 Bytes  27.01.2010 16:51:12
AESCRIPT.DLL   : 8.1.3.12     823675 Bytes  27.01.2010 16:51:12
AESCN.DLL      : 8.1.4.0      127348 Bytes  27.01.2010 16:51:12
AESBX.DLL      : 8.1.1.1      246132 Bytes  27.01.2010 16:51:12
AERDL.DLL      : 8.1.3.4      479605 Bytes  27.01.2010 16:51:12
AEPACK.DLL     : 8.2.0.5      422262 Bytes  27.01.2010 16:51:12
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  27.01.2010 16:51:12
AEHEUR.DLL     : 8.1.1.1     2322805 Bytes  27.01.2010 16:51:12
AEHELP.DLL     : 8.1.10.0     237942 Bytes  27.01.2010 16:51:12
AEGEN.DLL      : 8.1.1.85     369012 Bytes  27.01.2010 16:51:12
AEEMU.DLL      : 8.1.1.0      393587 Bytes  27.01.2010 16:51:12
AECORE.DLL     : 8.1.10.0     184695 Bytes  27.01.2010 16:51:12
AEBB.DLL       : 8.1.0.3       53618 Bytes  27.01.2010 16:51:12
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 28. Januar 2010  01:23

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '32147' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtWLan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <Volume>


Ende des Suchlaufs: Donnerstag, 28. Januar 2010  02:27
Benötigte Zeit:  1:04:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7714 Verzeichnisse wurden überprüft
 456422 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 456421 Dateien ohne Befall
   2374 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
  32147 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden