umgeleitet - warum?

jo da war ein paar rote, hab mal alles fixen lassen, passiert aber trotsdem noch weiter die leitung auf --- sites? und nun?????

Kannst du mal einen Logfile posten 

Warum fixxen die immer einfach die Einträge ?? 

hijackthis Logfile hier posten.

Combofix anwenden und Log hier posten:
http://virus-protect.org/artikel/tools/combofix.html

Und Malwarebytes laufen lassen, alle funde löschen lassen und den report hier posten.

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html


gruß deniz

Warum fixxen die immer einfach die Einträge ?? 

Das Problem ist dass viele Helfer hier schreiben, dass die dass Automatisch auswerten können!!! :'(

Naja ich will dazu nix sagen und habe auch erlich gesagt keine Lust dazu. Ich warte bis der Logfile mal kommt 

jo klar, nicht alles weg fixen geht net

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINNT\system32\msasvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\**** Soft\**** 120\StarWind\StarWindService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\wdfmgr.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\ntpi32.exe
C:\WINNT\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\htpatch.exe
C:\WINNT\System32\RunDll32.exe
C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE
C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\hyperfolio\hfbspy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MYWEBS~1\bar\6.bin\mwsoemon.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\WhenUSearch\Search.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINNT\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Save\Save.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\System32\svchost.exe
C:\61.exe
C:\DOKUME~1\ADO~1\LOKALE~1\Temp\16_09.EXE
c:\winnt\system32\rundl7.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\DOKUME~1\ADO~1\Desktop\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\6.bin\MWSSRCAS.DLL
F2 - REG:system.ini: Shell=Explorer.exe ntpi32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe,ntpi32.exe
O1 - Hosts: 216.180.239.154 www.halifax-online.co.uk
O1 - Hosts: 216.180.239.154 ibank.barclays.co.uk
O1 - Hosts: 216.180.239.154 online.lloydstsb.co.uk
O1 - Hosts: 216.180.239.154 online-business.lloydstsb.co.uk
O1 - Hosts: 216.180.239.154 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 216.180.239.154 www.nwolb.com
O1 - Hosts: 216.180.239.154 banesnet.banesto.es
O1 - Hosts: 216.180.239.154 extranet.banesto.es
O1 - Hosts: 216.180.239.154 ebanking.bccbrescia.it
O1 - Hosts: 216.180.239.154 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 216.180.239.154 www.rbsdigital.com
O1 - Hosts: 216.180.239.154 oi.cajamadrid.es
O1 - Hosts: 216.180.239.154 bancae.caixapenedes.com
O1 - Hosts: 216.180.239.154 banking.postbank.de
O1 - Hosts: 216.180.239.154 meine.deutsche-bank.de
O1 - Hosts: 216.180.239.154 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 216.180.239.154 ibank.cahoot.com
O1 - Hosts: 216.180.239.154 webbank.openplan.co.uk
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\6.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\6.bin\MWSBAR.DLL
O2 - BHO: HyperFolio IE Site Restrictor Class - {22C1B5B2-ACB4-11D3-A719-0060089C5699} - C:\Programme\hyperfolio\HFIER10.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Programme\WhenUSearch\search.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\6.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINNT\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HYPERFOLIO BROWSER SPY] C:\Programme\hyperfolio\hfbspy.exe "C:\Programme\hyperfolio\hfolio.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\6.bin\mwsoemon.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Compaqs Service Driver] copypad32.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Programme\WhenUSearch\whse.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [LXBSCATS] rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe
O4 - HKLM\..\Run: [SvcManager] rundl7.exe
O4 - HKLM\..\RunServices: [Compaqs Service Driver] copypad32.exe
O4 - HKLM\..\RunServices: [Windows Kernel System Service] ntpi32.exe
O4 - HKLM\..\RunServices: [stonedrv] c:\winnt\system32\stonedrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\6.bin\mwsoemon.exe
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Compaqs Service Driver] copypad32.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe
O4 - HKCU\..\RunServices: [Compaqs Service Driver] copypad32.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] ntpi32.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\6.bin\MWSOEMON.EXE
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\6.bin\MWSOEMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201977515828
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class)
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06BC2104-8947-451F-833F-4D5D8F9FD346}: NameServer = 84.16.240.126,85.237.87.183
O17 - HKLM\System\CCS\Services\Tcpip\..\{0802CA27-F4FA-491E-A75D-22A0A992C4B6}: NameServer = 85.237.87.179,84.16.240.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINNT\System32\svchx7.dll
O20 - Winlogon Notify: jadapter - C:\WINNT\SYSTEM32\jadapter.dll
O21 - SSODL: wdpoefan - {77612FEA-BB41-4FEA-9B93-55058F67A057} -C:\WINNT\SYSTEM32\wdpoefan.dll
O21 - SSODL: vadokmxt - {5FBC69B1-AD29-4BE7-B2AC-C48633994070} - C:\WINNT\SYSTEM32\vadokmxt.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINNT\System32\lxbscoms.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\**** Soft\**** 120\StarWind\StarWindService.exe

soll ich nochmals scan machen??

Ahja das ist der PC von einem Profi 
formatier und geh nie wieder ins internet 



ach noch was : ich weiß warum fixen nicht gefunkt hat. War vermutlich so viel Arbeit das der Pc abgestürst ist 



 

Sowas hab ich ja noch nie gesehen.Formatieren brauch er nicht,er sollte nur nie wieder ins Netz gehen.

Ich würde sagen er ist ein Profi im malware Sammeln. Das zu toppen ist ja fast unmöglich 

in einem anderen forum sagt man mir spybot würde da helffen beim umleitenten system, ich lasse es gleich mal lauffen! schade das ihr nicht soviel anung von der sache habt. 

Dir hilft nicht Spybot du hst nen ausgewachsenen backdoor Trojaner drauf, wenn du keinen Bock auf die Bullerei hast, dann formatier schleungist!!!!

O1 - Hosts: 216.180.239.154 ibank.barclays.co.uk
O1 - Hosts: 216.180.239.154 online.lloydstsb.co.uk
O1 - Hosts: 216.180.239.154 online-business.lloydstsb.co.uk
O1 - Hosts: 216.180.239.154 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 216.180.239.154 www.nwolb.com
O1 - Hosts: 216.180.239.154 banesnet.banesto.es
O1 - Hosts: 216.180.239.154 extranet.banesto.es
O1 - Hosts: 216.180.239.154 ebanking.bccbrescia.it
O1 - Hosts: 216.180.239.154 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 216.180.239.154 www.rbsdigital.com
O1 - Hosts: 216.180.239.154 oi.cajamadrid.es
O1 - Hosts: 216.180.239.154 bancae.caixapenedes.com
O1 - Hosts: 216.180.239.154 banking.postbank.de
O1 - Hosts: 216.180.239.154 meine.deutsche-bank.de
O1 - Hosts: 216.180.239.154 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 216.180.239.154 ibank.cahoot.com
O1 - Hosts: 216.180.239.154 webbank.openplan.co.uk