Problem mit Google: Trojaner?

**RPG Hacker** · 13.09.2008 17:38

Zitat

Nun kommt aber diesem Unterfangen bei Windows Me und XP oft eine Funktion namens Systemwiederherstellung in die Quere. Diese stellt nämlich die zu löschenden Einträge beim nächsten PC-Start wieder her

Das ist aber gar nicht mein Problem. Die Einträge werden nicht nach Systemneustart wiederhergstellt, sondern sie werden gar nicht erst gelöscht!

**Sebbo** · 13.09.2008 17:40

Abgesicherter Modus.

**RPG Hacker** · 13.09.2008 18:07

OK. Die Einträge sind jetzt weg. Danke schonmal für die Hilfe. Aber umgeleitet werde ich auf Google jetzt trotzdem noch

Habe auch nochmal neu gestartet und mit HijackThis scan gemacht. Keine schädlichen Einträge werden mehr angezeigt:

Zitat von logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:56, on 13.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
E

WINDOWS\System32\smss.exe
E

WINDOWS\system32\winlogon.exe
E

WINDOWS\system32\services.exe
E

WINDOWS\system32\lsass.exe
E

WINDOWS\system32\svchost.exe
E

WINDOWS\System32\svchost.exe
E

WINDOWS\system32\spoolsv.exe
E

WINDOWS\Explorer.EXE
D

Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D

Programme\a-squared Free\a2service.exe
D

Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E

Programme\avmwlanstick\WlanNetService.exe
E

Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
E

WINDOWS\system32\svchost.exe
E

Programme\avmwlanstick\wlangui.exe
E

WINDOWS\Mixer.exe
D

Programme\Microsoft Office\Office12\GrooveMonitor.exe
D

Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
D

Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E

WINDOWS\system32\ctfmon.exe
E

Dokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
D

Programme\Kodak EasyShare software\bin\EasyShare.exe
D

Programme\Trillian\trillian.exe
D

Programme\Winamp\winamp.exe
E

WINDOWS\system32\wuauclt.exe
D

Programme\Mozilla Firefox\firefox.exe
D

Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ikarim.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E

Programme\Gemeinsame Dateien\Adobe\Acrobat\Active

AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D

Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E

Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - E

Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E

Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O4 - HKLM\..\Run: [AVMWlanClient] E

Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [IMJPMIG8.1] "E

WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] E

WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] E

WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E

WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "D

Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E

WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D

Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D

Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D

Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] E

WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "E

Dokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Trillian.lnk = D

Programme\Trillian\trillian.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D

Programme\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D

PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E

Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E

Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - E

Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - E

Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D

PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D

PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D

PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E

WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E

WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E

Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E

Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F22F3C-F3AC-4701-95B1-E9C58C8A8632}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D

Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D

Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D

Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D

Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - E

Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Updater Service (gusvc) - Google - E

Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7667 bytes

OK... Ich habe mich geirrt... Das sind wohl doch so welche von der Sorte, die sich von selbst wieder regenerieren? Aber an Systemwiederherstellung kann es nicht liegen. Weil ich habe nachgeguckt, neu gestaret, nochmal nachgeguckt und es war normal. Dann das Programm geschlossen und jetzt für diesen Post nochmal nachgeguckt. Und auf einmal sind sie wieder da! Also jetzt habe ich wirklich keine Ahnung mehr...

**Sebbo** · 13.09.2008 18:27

Also das Logfile ist sauber, du wirst dennoch weiterhin umgeleitet?

Öffne mal einfach IE und Firefox und mach nochmal ein Logfile...

Ad-Aware und Spybot S&D können auch helfen. Beide Programme vor dem Scannen updaten.

**RPG Hacker** · 13.09.2008 18:54

Zitat von Sebbo

Also das Logfile ist sauber, du wirst dennoch weiterhin umgeleitet?

Öffne mal einfach IE und Firefox und mach nochmal ein Logfile...

Ad-Aware und Spybot S&D können auch helfen. Beide Programme vor dem Scannen updaten.

Ne ^^
Ich habe ja noch unten drunter geschrieben, dass sich dei Einträge von selbst wieder hergestellt haben. Also erst einen Scan gemacht, war sauber. Dann nachher noch einen Scan gemacht, schon waren sie wieder drin.

OK. Ich probiere die Programme mal.

**NeM** · 13.09.2008 20:10

Was offenbar noch nicht genannt wurde: Versuchs mal mit einem 30 Tage Trial von Kaspersky, das ist eine Vollversion die 30 Tage lang funktioniert. Hab ich früher immer benutzt, bevor ich mir das Programm dann gekauft habe - war kein Fehlkauf

Kann natürlich für nichts garantieren, aber falls sonst nichts hilft wärs mal nen Versuch wert.

**bomando** · 14.09.2008 12:21

Hi,

ich würde dir raten Escan zu downloaden und dann damit mal deine Platte zu scannen. Die Version löscht keine Malware sondern scannt nur, da es die kostenlose Version ist. Um die Malwarezu löschen empfehle ich dir Killbox noch zu saugen.

Hier mal ein

Mfg
bomando

**RPG Hacker** · 23.09.2008 10:52

So. Hatte mich jetzt länger nicht gemeldet. Ich hatte ein paar von den oben aufgeführten Programmen ausprobiert. Aber so wie ich das sehe hatten die alle nichts gebracht. Darum habe ich mich entschlossen dann doch das Programm auszuprobieren, dass mir mein ehemaliger EDV Lehrer gegeben hat. G Data InternetSecurity oder AVK oder was auch immer. Weiß jetzt nicht genau, wie das heißt. Auf jeden Fall konnte ich nachdem ich das Programm installiert habe die falschen Einträge ganz leicht mit HijackThis entfernen und sie kamen auch nicht mehr wieder. Ob es jetzt allerdings wirklich an G Data lag oder an irgendeinem anderen Programm, dass ich schon vorher istalliert habe, kann ich nicht genau sagen. Nur so viel, dass mein PC jetzt wieder Clean ist

!

Thema: Problem mit Google: Trojaner?

Themen-Optionen

Anzeige

Berechtigungen