Google.de statt Windows Update

Hiho,

haste vieleicht ein versuchtes backup eingespielt ?

Downloade dir Hijackthis führe das Pogramm aus und klick auf "Do a System scan and save Logfile"
Danach den log posten.

Download Link
Hijackthis

So hab ich mal gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:58, on 12.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 3276 bytes

ist schon echt nervig die sache
 

hallo,

Malwarebytes runterladen (&updaten)

systemwiederherstellung deaktivieren...
platenbereinigung durchführen...

pc im abgesichertem modus starten und platte mit MB Vollscannen.
nach neustarten MB Report hier rein.

downloadlink:
http://virus-protect.org/artikel/tools/malwarebytes.html

mfg Zidane

Log ist ok...
Befolg die anweisungen von Zidane 

Okay habe das Programm runtergeladen, allerdings macht auch dieses keine Updates  der behauptet ich soll sicherstellen das eine Internetverbindung besteht. Es besteht aber eine sonst könnte ich ja hier nicht schreiben

hallo,

dan führe die anweisungen ohne update aus.


mfg Zidane  

Lustig hatte formatiert und der hat tatsächlich 4 als infiziert erklärt, das muss ich nicht verstehen:

Malwarebytes' Anti-Malware 1.34
Database version: 1749
Windows 5.1.2600 Service Pack 3

12.02.2009 20:19:37
mbam-log-2009-02-12 (20-19-27).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 110928
Time elapsed: 45 minute(s), 56 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 4
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151 85.255.112.152 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f264f768-efc1-449c-9447-d2c67b34c173}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151 85.255.112.152 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151 85.255.112.152 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f264f768-efc1-449c-9447-d2c67b34c173}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151 85.255.112.152 -> No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Hoffe ich hab jetzt das richtige gepostet

Endlich mal wieder ein Problem was etwas aufwändiger ist 

Funde löschen lassen und Combofix download:

http://virus-protect.org/artikel/tools/combofix.html

Führe es wie in der Anleitung aus und Poste das Logfile dann hier.

Mensch ist das ne Posterei

ComboFix 09-02-12.02 - Benny 2009-02-12 20:48:45.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1023.712 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Benny\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\resycled
d:\resycled\boot.com
E:\resycled
e:\resycled\boot.com

.
(((((((((((((((((((((((   Dateien erstellt von 2009-01-12 bis 2009-02-12  ))))))))))))))))))))))))))))))
.

2009-02-12 20:41 . 2009-02-12 20:41   <DIR>   d--------   c:\programme\CCleaner
2009-02-12 20:19 . 2009-02-12 20:19   <DIR>   dr-------   c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-02-12 13:09 . 2009-02-11 16:31   <DIR>   d--h-----   c:\dokumente und einstellungen\Administrator\Vorlagen
2009-02-12 13:09 . 2009-02-11 16:16   <DIR>   dr-------   c:\dokumente und einstellungen\Administrator\Startmenü
2009-02-12 13:09 . 2009-02-11 16:16   <DIR>   d--h-----   c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-02-12 13:09 . 2009-02-12 20:49   <DIR>   d--h-----   c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-02-12 13:09 . 2009-02-11 16:16   <DIR>   d--------   c:\dokumente und einstellungen\Administrator\Favoriten
2009-02-12 13:09 . 2009-02-11 16:16   <DIR>   d--h-----   c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-02-12 13:09 . 2009-02-12 13:09   <DIR>   d--------   c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-12 13:09 . 2009-02-12 13:09   <DIR>   dr-h-----   c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-02-12 13:09 . 2009-02-12 20:19   <DIR>   d--------   c:\dokumente und einstellungen\Administrator
2009-02-12 12:50 . 2009-02-12 12:50   <DIR>   d--------   c:\programme\Malwarebytes' Anti-Malware
2009-02-12 12:50 . 2009-02-12 12:50   <DIR>   d--------   c:\dokumente und einstellungen\Benny\Anwendungsdaten\Malwarebytes
2009-02-12 12:50 . 2009-02-12 12:50   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-12 12:50 . 2009-02-11 10:19   38,496   --a------   c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 12:50 . 2009-02-11 10:19   15,504   --a------   c:\windows\system32\drivers\mbam.sys
2009-02-12 12:14 . 2009-02-12 12:14   <DIR>   d--------   c:\programme\Trend Micro
2009-02-12 11:59 . 2009-02-12 11:59   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\IM
2009-02-12 11:57 . 2009-02-12 13:01   <DIR>   d--------   c:\programme\IncrediMail
2009-02-12 11:57 . 2009-02-12 11:57   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\IncrediMail
2009-02-12 02:22 . 2009-01-18 22:35   15,688   --a------   c:\windows\system32\lsdelete.exe
2009-02-12 02:18 . 2009-02-12 02:18   <DIR>   d----c---   c:\windows\system32\DRVSTORE
2009-02-12 02:18 . 2009-02-12 02:18   <DIR>   d--------   c:\programme\Lavasoft
2009-02-12 02:18 . 2009-02-12 02:18   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-12 02:18 . 2009-02-12 02:18   <DIR>   d--h-c---   c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-12 02:18 . 2009-01-18 22:30   64,160   --a------   c:\windows\system32\drivers\Lbd.sys
2009-02-12 01:40 . 2009-02-12 01:41   <DIR>   d--------   c:\programme\Winamp
2009-02-12 01:40 . 2009-02-12 02:00   <DIR>   d--------   c:\dokumente und einstellungen\Benny\Anwendungsdaten\Winamp
2009-02-12 01:34 . 2009-02-12 01:35   <DIR>   d--------   c:\programme\TuneUp Utilities 2009
2009-02-12 01:34 . 2009-02-12 01:34   <DIR>   d--------   c:\dokumente und einstellungen\Benny\Anwendungsdaten\TuneUp Software
2009-02-12 01:34 . 2009-02-12 01:34   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-12 01:34 . 2009-02-12 01:34   603,904   --a------   c:\windows\system32\TUProgSt.exe
2009-02-12 01:34 . 2009-02-12 01:34   360,192   --a------   c:\windows\system32\TuneUpDefragService.exe
2009-02-12 01:34 . 2008-12-11 13:31   27,904   --a------   c:\windows\system32\uxtuneup.dll
2009-02-12 01:33 . 2009-02-12 01:33   <DIR>   d--hs----   c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-12 01:24 . 2009-02-12 01:24   <DIR>   d--------   c:\windows\system32\LogFiles
2009-02-12 01:05 . 2009-02-12 01:05   <DIR>   d--------   c:\programme\Avira
2009-02-12 01:05 . 2009-02-12 01:05   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-12 00:54 . 2009-02-12 00:54   <DIR>   d--------   c:\dokumente und einstellungen\LocalService\Startmenü
2009-02-12 00:54 . 2009-02-12 01:41   316,640   --a------   c:\windows\WMSysPr9.prx
2009-02-11 21:24 . 2009-02-11 21:24   <DIR>   d---s----   c:\windows\system32\Microsoft
2009-02-11 21:18 . 2009-02-11 21:18   <DIR>   d--------   c:\windows\system32\de-de
2009-02-11 21:16 . 2008-04-14 07:26   2,973,696   -----c---   c:\windows\system32\dllcache\wmploc.dll
2009-02-11 21:13 . 2006-12-29 00:31   19,569   --a------   c:\windows\003633_.tmp
2009-02-11 21:12 . 2007-08-10 20:44   26,488   --a------   c:\windows\system32\spupdsvc.exe
2009-02-11 21:06 . 2009-02-11 21:06   <DIR>   d--------   c:\programme\NOS
2009-02-11 21:06 . 2009-02-11 21:06   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-02-11 20:57 . 2002-06-14 18:46   19,274   --a------   c:\windows\001189_.tmp
2009-02-11 20:31 . 2009-02-11 20:31   0   --a------   c:\windows\nsreg.dat
2009-02-11 18:24 . 2009-02-11 18:25   <DIR>   d--------   c:\dokumente und einstellungen\Benny\Anwendungsdaten\vlc
2009-02-11 18:23 . 2009-02-11 18:23   <DIR>   d--------   c:\programme\VideoLAN

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 19:55   155,995   ----a-w   c:\windows\java\Packages\DF5JXVRF.ZIP
2009-02-11 16:27   ---------   d--h--w   c:\programme\InstallShield Installation Information
2009-02-11 16:27   ---------   d-----w   c:\programme\Realtek Sound Manager
2009-02-11 16:27   ---------   d-----w   c:\programme\AvRack
2009-02-11 16:27   ---------   d-----w   c:\programme\ATI Technologies
2009-02-11 16:26   ---------   d-----w   c:\programme\Gemeinsame Dateien\InstallShield
2009-02-11 15:35   ---------   d-----w   c:\programme\microsoft frontpage
2009-02-11 15:33   ---------   d-----w   c:\programme\Online-Dienste
2009-02-11 15:32   ---------   d-----w   c:\programme\Gemeinsame Dateien\Dienste
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"IncrediMail"="c:\programme\IncrediMail\bin\IncMail.exe" [2009-02-02 251264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-18 506712]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2003-01-19 16:29 294912 c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 07:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2003-01-20 10:48 47104 c:\windows\SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AvRack\\rtlrack.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-12 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 921936]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-12 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2009-02-11 33752]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-02-12 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]

2009-02-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 22:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe


.
------- Zusätzlicher Suchlauf -------
.
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Benny\Anwendungsdaten\Mozilla\Firefox\Profiles\kninh5ab.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.computerhilfen.de/hilfen-17-271633-0.html
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-12 20:49:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-12 20:50:44
ComboFix-quarantined-files.txt  2009-02-12 19:50:36

Vor Suchlauf: 8 Verzeichnis(se), 30.425.624.576 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 30,451,503,104 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

153
 

Also "Trojan.DNSChanger" erklärt schonmal, warum du auf falschen Seiten landest.

Check auch mal den Inhalt deiner hosts-Datei unter
C:\WINDOWS\system32\drivers\etc

Ausser "127.0.0.1    localhost" sollte da nix drinstehen.

D:\resycled
d:\resycled\boot.com
E:\resycled
e:\resycled\boot.com

Okay Klicke: Start -> Ausführen -> Combofix /U

Mache einen online Scan mit F-secure Report hier posten.

http://support.f-secure.com/ger/home/ols.shtml

Diesen scheiß DNS-Changer hatte ich auch drauf gehabt. Mit antivirentools die Dateien löschen, die Ordner Resycles und die Autorun.inf löschen (im abgesicherten oder idealer Weise von einer Live CD). Dann nochmal C: formatieren und gleich beim ersten Start, einen Suchlauf starten. Damit sollte das Pro lem gelöst sein. Gruß kev

Das ist die harmlose DNS Changer form. Der neue Rootkit ist krass!

So ich habe jetzt erstmal den Rat von Ersguterjunge befolgt ^^ man das ist soo nervig dieses prob.

Scanning Report
Sunday, February 15, 2009 17:14:54 - 17:42:36

Computer name: CRYPT
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\
Result: 2 malware found
TrackingCookie.2o7 (spyware)

    * System

TrackingCookie.Atdmt (spyware)

    * System

Statistics
Scanned:

    * Files: 11608
    * System: 2397
    * Not scanned: 9

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * None: 2
    * Submitted: 0

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\WINDOWS\SYSTEM32\CONFIG\SAM
    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
    * C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{4F17FB4F-9C3B-4E12-B833-24999D2AFEAF}.BIN
    * C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{CF82DCEB-7B7E-4686-8CCA-A6DC044590A7}.BIN
    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\LAVASOFT\AD-AWARE\MINIMESSAGE\2

Options
Scanning engines:

    * F-Secure USS: 3.0.0
    * F-Secure Hydra: 3.6.8511, 2009-02-13
    * F-Secure AVP: 7.0.171, 2009-02-13
    * F-Secure Pegasus: 1.20.0, 1970-00-01
    * F-Secure Blacklight: 0.0.0

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
    * Use Advanced heuristics 

Achso und ähm unter dem Ordner Drivers/etc da ist sämtlicher Kram drin nur nicht die Datei die du meinst *lach*

hosts
Imhosts
networks
protocol
services

bemerkenswert,das dieses system neu instaliert wurde,aber schon tune up druf ist.wie wurde instaliert? wurde platte kommplet mit nullen überschriben? wenn nein,das nachholen und system neu instalieren.Das herumgebaltel ist reine zeitverschwendung.
Der gast stammt sicher auws einer datensicherung,die bedenkenlos eingespielt wurde.
Nur wollen das die voodoo prister nicht einsehen und schreien jeden nieder,die sich in ihre predigten einmischt.

Ja also ich habe halt meine Partition 1 C: Formartiert. Komplett, habe dann XP frisch aufgespielt, mich wunderts ja selber und naja dann hatte ich halt das Prob. und habe TuneUp besorgt. Aufjedenfall hab ich selber auch daran gdacht nochmal zu Formatieren, aber warum sollte dann nicht wieder das selbe problem bestehen???

Platte komplet mit nullen überschreiben,dann partionieren und formatieren.Dann Image dieser instalation auf sauberer extra platte ablegen.
Dann chipsatztreiber instalieren,dann alle anderen treiber.Dann davon wieder ein image.
Nun einen eingeschränkten benutzer anlegen,als admin Eine brauchbares AV tool instalieren,signaturen aktualisieren und als benutzer die datensicherung prüfen.Dort sollten sich gäste verstecken.
Das system nur über einen router mit NAT online lassen,nicht direkt ans internet anklemmen.
Ein beenden nicht unbedingt erforderlicher dienste minimiert die angriffsfläche nach außen.
Von Tuneup besser finger weg,was dieses tool kann,geht auch mit boardmitteln.selbst wenn das etwas mehr arbeit ist.
Durch tuneup wird kein system schneller,auch das ist etwas,was gewisse leute nicht begreifen wollen.

Achso und ähm unter dem Ordner Drivers/etc da ist sämtlicher Kram drin nur nicht die Datei die du meinst *lach*

hosts
Imhosts
networks
protocol
services

@w wir kennen alle deine Meinung.

Aber überlass die Arbeit dem Malware-Team!

Goodbye!

Boa also bevor ich das ganze mit dem Formatieren und neu partitionieren machen hoffe ich erstmal auf noch einfachre bzw. unkomplizierte lösung, aber danke. Ich hofe einfach das ich das bald weg bekomme. G Data wird das sicher auch nicht lösen können das problem oder?

Ladt bitte mal Rsit runter:

http://virus-protect.org/artikel/tools/random.html

Anweden Logfile posten.

Hallo Malware-Team!

Eure Tipps sind alle richtig und gut. Aus eigener Erfahrung möchte ich für Betroffene aber auch noch einen Tipp beisteuern:

Bei mir hat ein infizierter Router (Netgear DG834GB) das Problem verursacht. Mir fiel auf, dass die Infizierung bereits unmittelbar nach dem Aufspielen des Betriebssystems vorhanden war, allerdings erst, als eine Verbindung mit dem Router hergestellt worden war, während ein testweise Zugang mit einem Web'n'Walk-Stick keinerlei Auffälligkeiten zeigte (Spybot-Update funktionierte, keine Verlinkung auf Google, etc).

Lösung: Rechner vom Router trennen. Mit Spybot (oder Malwarebytes' Anti-Malware) die Einträge löschen (bei mir war'S Zlob.DNSChanger). Danach Router auf Werkseinstellung zurück setzen (hierfür Taste auf Routerrückseite 10 sec. gedrückt halten), und danach Zugangsdaten neu eintragen und das Kennwort ändern.

Bevor Festplatten formatiert oder langwierige Protokollauswertungen erfolgen, sollten Betroffene den o.g. Schritt auf jeden Fall auch ausprobieren (dauert nämlich nur 10 Minuten...).

Hier gibt's noch einen Artikel zu dem Phänomen: h..p://www.pcwelt.de/start/sicherheit/virenticker/news/165924/zlob_malware_manipuliert_router/

Greetz!

Okay probieren kann mans, aber wenn der router betroffen ist, müsste dann nicht auch der andere Rechner das Problem haben? Ist nämlich hier nicht der fall, da läuft alles tutti

ALLES KLAR ich habe das gemacht und es funktioniert wieder alles JEAH also vielen Dank euch allen für eure tips und für eure hilfe, wäre ohne euch echt aufgeschmissen gewesen