Falsche weiterleitung von google zu anderen Seiten



Scanning Report
Thursday, October 05, 2006 11:55:46 - 15:12:57
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\


--------------------------------------------------------------------------------

Result: 9 malware found
IM-Worm.Win32.Licat.a (virus)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP276\A0026508.EXE (Renamed & Submitted)
Possible Browser Hijack attempt (spyware)
System (Disinfected)
Softomate Toolbar (spyware)
System (Disinfected)
Stealth_file (hidden item)
C:\WINDOWS\SYSTEM32\CSEVN.EXE
C:\WINDOWS\SYSTEM32\DMQUX.EXE
Tracking Cookie (spyware)
System (Disinfected)
Trojan-Downloader.Win32.Banload.bia (virus)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP276\A0026598.EXE (Renamed)
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\SPRDU.EXE (Renamed)
WhenU.WeatherCast (spyware)
System (Disinfected)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 42504
System: 5211
Not scanned: 11
Actions:
Disinfected: 4
Renamed: 3
Deleted: 0
None: 2
Submitted: 1
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\TEMP\SQLITE_VNWOFGO5NTWTK7E
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-10-05
F-Secure Libra: 2.4.1, 2006-10-04
F-Secure Orion: 1.2.37, 2006-10-03
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-08-29
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

--------------------------------------------------------------------------------

Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Und jetzt ENDLICH nochmal im abges. Modus und bei abgeschalteter Systemwiederherstellung !!!

ABER : ohne anständigen Virenscanner und mit S-W = AN wird er/sie die Dinger NIE los !!!
Wie wäre es , die Platte mit einem IDE-USB-Adapter an einem anderen PC zu scannen
Der dortige , ggf ordentliche Virenschutz sollte ja dann den 2. PC schützen , ODER
Mein Nachbar : IT-Spezi und PC-Höker , hat sich einen alten PC als reinen Virenscanner eingerichtet !!
Und falls was passiert , kommt das Image wieder drauf !!

Ähmm,
irgendwas haben wir übersehen, denn
zwei neue Stealth_file wurden erstellt !

C:\WINDOWS\SYSTEM32\CSTYD.EXE
C:\WINDOWS\SYSTEM32\DMAVW.EXE

Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure:
https://europe.f-secure.com/exclude/blacklight/index.shtml

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC nach dem Download ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. BlackLight  starten und eine komplette Überprüfung des Systems vornehmen.
Nach dem Scan sollten die gefunden Dateien durch die Software unbenannt werden,
drücke dazu einfach dem entsprechenden Button.
5. Boote den PC neu im abgesicherten Modus (!) und scanne den PC mit Ewido.
Poste auch diesen Bericht !

PC wieder normal Starten und scanne im Anschluss erneut den kompletten PC mit dem Online-Scanner von F-Secure !
Poste bitte wieder das ausführliche Scanprotokoll hier.
Die Systemwiederherstellung bleibt deaktivieren !

Und wieder was gelernt !


Dann führe das Tool im normalen Modus aus.

also ich habe die 2 Dateien, die Blacklight gefundne hat renamen lassen und das google Problem ist verschwunden! Keine falschen Weiterleitungen mehr. Ich führe nochmal ewido aus und poste den bericht.Oder soll ich auch noch den Anti-Rootkit ausführen?

Das hört sich doch jetzt Gut an!
Die Malware ist noch auf dem PC, ist aber nicht mehr aktiv.
Scanne mit Ewido und dem Online-Scanner von F-Secure den PC zum letzten mal.
Dabei werden die beiden unbenannten Daten als Malware gemeldet und beseitigt.
Poste die beiden Protokolle, damit ich sie noch mal prüfen kann bzw. damit wissen mit welcher Malware wie es zu tun hatten (auch wenn da eine Vorahnung habe). 

... poste bitte noch den Scanbericht von Ewido !