sehr nerviges problem mit webseiten umleitung etc.

bitte logfile von hijackthis hier verlinken,gerne stelle ich die datei in netz,wenn du sie nicht laden kannst.

oh ja richtig...das wollte ich noch anhängen...malwarebytes hat sich jetzt auch installieren lassen, allerdings startet es nicht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:00, on 07.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
c:\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOKUME~1\Hunne\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\Hunne\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\MAXON\CINEMA 4D R11\CINEMA 4D.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user')
O4 - Startup: EarthClock.lnk = C:\Programme\EarthClock\EarthClock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


joa...O22 wäre das einzige was mir suspekt vorkommt...

Ah,selber gemerkt? sehr fein.O22 ist sehr suspekt.
C:\DOKUME~1\Hunne\LOKALE~1\Temp\Adobelm_Cleanup.0001
Das aber auch,noch seltsamer.Bitte kontrolloeren,wo das aufgerufen wird.Autoruns von systernals ist hioer sehr hilfreich.
O4 - HKUS\S-1-5-18\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM')
W"ürde sagen,backdoor.Bitte daten mit knoppix sichern und system neu instalieren.Die gesicherten daten als infiziert behandeln.Das bedeutet,sie müssen erst untersucht werden.
Von goole software würde ich generell die finger lassen,lies deren AGB mal sehr genau durch und gebe deine meinung dazu kurz mit eigenen worten wieder.
 

Von goole software würde ich generell die finger lassen,lies deren AGB mal sehr genau durch und gebe deine meinung dazu kurz mit eigenen worten wieder.
 

von was? versteh grade nich was du damit meinst.

neuinstallieren ist im moment keine option, weil ich die nötigen CD´s nicht da hab, muss doch auch irgendwie anders gehen.

Ich mene damit,das Du aktuell von Googel software im system hast,wenn ich das richtig gesehen hjabe.
Leider ist google sehr neugierig und intressiert sich für fast alles.Was ich auf meinem rechner mache,hat google nicht zu intressieren.Jedoch nehmen die sich das recht heraus,die gewonnen informationen weiter zu verkaufen.

Eine datensicherung solltest Du umgehen machen.
Um das problem temporär zu lösen,ist der aufruf der bemängelten dateien zu umterbinden.Autoruns ist da recht fein,aber auch gefährlich.
Sauber und vertrauenswürdig ist das system IMHO nicht mehr zu bekommen.Aber gucke mal selber,was es mit dem O4 eintrag auf sich hat.

Wie weit reichen deine systemkenntnisse?
Gerne kann ich per IRC helfen,sofern gewünscht.

oh ich glaube das einzige was ich von google drauf hab is google talk. aber das wars dann auch schon...

ja, also ich bin jetzt zu der erkenntnis gekommen das es sich hier wohl um einen der übelsten trojaner überhaupt handelt...
die links werden über go.google.com umgeleitet und das is auf irgendeinen trojaner bzw. ein virus zurückzuführen...

naja, ich denk schon das ich einigermaßen plan hab...bis jetzt hat mein sys schon so manchen trojaner überstanden, und diesen müll hier hoffentlich auch ohne neuinstallation, weil die bei mir sowieso nich ganz einfach war...und da ich den rechner im moment 24/7 brauch kann ich das grade überhaupt nicht gebrauchen...wobei..außer inet geht ja alles (noch)

meine ordneroptionen und das anzeigen von versteckten dateien is auch nicht mehr vorhanden...

edit: ich glaub ich hab da was gefunden...
http://www.troublefixers.com/remove-virus-which-redirects-to-gogooglecom-gogooglecom-redirect-virus-removal-tool-for-windows/

TDSSserv.sys...na mal sehen

Dann schaue bitte mit Autoruns nach,was wo geladen wird.Das ann entfernen bzw mit BartPe die dateien löschen.Sind diese weg,kann man drangehen,die aänderungen an der regestry rückgängig zu machen,was nicht trival ist.ebenso sollte man die gruppenrichtlinien durchsehen,ob da was geändert wurde.
Ein sauberes image nicht zur hand?

Was isr an dem system schwer zu instalieren?

Ich würde dir empfehlen das du combofix benützt, solang du keine Windows CD hast.

Das Logfile von Combofix dann hier posten!

http://virus-protect.org/artikel/tools/combofix.html

Was isr an dem system schwer zu instalieren?

das setup hat sich immer bei 37% aufgehangen und dann ging nix mehr..warum auch immer (hab bestimmt 3 tage lang probiert und an der cd lags nicht), und wie gesagt muss die kiste laufen

so...hab gerade einträge in der registry unter "TDSS"->"disallowed" gefunden...so ziemlich jeder bekannte spyware remover steht da drin...naja, mal sehen ob es reicht den dienst von diesem ding zu deaktivieren damit ich wenigstens meine BA noch fertig machen kann bevor ich das System dann wohl oder übel mal wieder platt mach
ein image hab ich nicht, werd ich aber beim nächsten mal sicherlich mal machen

das mit autoruns/combofix mach ich dann nachher mal...aber trotzdem schonmal vielen dank

Mach mal bitte folgendes, hab hier grade eine bat Datei geschrieben um den backdoor eintrag zu löschen.

Ladt dir runter und führe sie aus, danach mach mal bitte en neues Hijackthis Logfile.

http://www.dateiupload.com/files/3EaopuemHm.bat

eeheheehehheeee...weg isser 

@ersguterjunge: das backdoor war schon zu. musste nur noch die reste beseitigen...

und dank eines netten programms wie regrun kann man anderen kram der sich da so einträgt gleich noch vor´m Windows start abwürgen...


das rootkit is zwar noch da, davon geh ich jedenfalls aus, aber zumindest erstmal unwirksam...

aber wie w schon sagte: PLATTMACHEN muss wohl trotzdem demnächst sein *G*


damit ist mein Problem erstmal aus der Welt,

danke an euch!!!

SP2 und IE6 ist das gewollt ???