Google Links leiten mich üebr Firefox zunächst auf ebay weiter

0tak1n9 · 26.11.2008, 13:53

Hallo liebe Trojaner-Boarder,

Eilige können diesen Paragrafen gerne überspringen und beim nächsten Absatz beginnen:
Nachdem ich nun seit einigen Wochen verzweifelt versuche, das Problem selbst in die Hand zu nehmen, wende ich mich nun an euch, da ich mit meinem Latein am Ende bin. Ich sehe schon, dass ich unter Umständen das System neu aufsetzen muss, aber vorher wollte ich eben noch alle Alternativen ausschöpfen.

Seit mehreren Wochen leitet mich Firefox bei einer google Suche als erstes auf ebay. Gehe ich dann zurück und klicke erneut auf den Link, so funktioniert alles. Auch weitere Links leiten mich ordnungsgemäß zur richtigen Seite. Das Problem tritt also am Anfang einer Session auf.

Ich habe bereits alle mir bekannten Anti Spy Tools ausprobiert: spybot, antivi, ad-aware, easyspy-remover

Hier mein HJT Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:19, on 26.11.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
D:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
d:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p:\\w*w.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NBKeyScan] "D:\Program Files\nero trial\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Easy SpyRemover] D:\Program Files\Easy SpyRemover\EasySpyRemover.exe /smart
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = D:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\nero trial\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\VistaSrv.exe

--
End of file - 8023 bytes

Ich hatte bereits in mehreren Posts von Leuten mit ähnlichen Problemen gelesen, aber der Lösungsweg ist jedesmal ein individuell anderer. Bevor ich selber noch weiter rumpfusche, wende ich mich lieber an euch.

lg,

0tak1n9

PS: Habe gerade den Beitrag von Halong gefunden. Werde gleich mal MAM laufen lassen und das Log posten. Silent Runner lass ich auch gleich rüberlaufen.

0tak1n9 · 26.11.2008, 16:30

wie folgt noch das mbam logfile (nichts besonderes zu entdecken):

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1424
Windows 6.0.6001 Service Pack 1

26.11.2008 16:14:00
mbam-log-2008-11-26 (16-14-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 206186
Laufzeit: 1 hour(s), 1 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und das log von SilentRunners:

Code:

ATTFilter

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows Vista
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Sidebar" = "C:\Program Files\Windows Sidebar\sidebar.exe /autoRun" [MS]
"LightScribe Control Panel" = "C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden" ["Hewlett-Packard Company"]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020" ["Nero AG"]
"WMPNSCFG" = "C:\Program Files\Windows Media Player\WMPNSCFG.exe" [MS]
"SpybotSD TeaTimer" = "d:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"RtHDVCpl" = "RtHDVCpl.exe" ["Realtek Semiconductor"]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"RemoteControl" = ""C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"LanguageShortcut" = ""C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"" [null data]
"ZoneAlarm Client" = ""d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Check Point Software Technologies LTD"]
"avgnt" = ""D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NBKeyScan" = ""D:\Program Files\nero trial\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"" ["Nero AG"]
"Adobe Reader Speed Launcher" = ""C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"WinampAgent" = ""D:\Program Files\Winamp\winampa.exe"" [null data]
"Easy SpyRemover" = "D:\Program Files\Easy SpyRemover\EasySpyRemover.exe /smart" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Malwarebytes' Anti-Malware" = "d:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{00020d75-0000-0000-c000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"


  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\Windows\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\Windows\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{7842554E-6BED-11D2-8CDB-B05550C10000}" = "Monitor"
  -> {HKLM...CLSID} = "Monitor Class"
                   \InProcServer32\(Default) = "C:\Windows\system32\btncopy.dll" ["Broadcom Corporation."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook File Icon Extension"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "D:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{2F5AC606-70CF-461C-BFE1-734234536262}" = "WindowBlinds CPL Extension"
  -> {HKLM...CLSID} = "DisplayCplExt Class"
                   \InProcServer32\(Default) = "C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbui.dll" ["Stardock Corporation"]

0tak1n9 · 27.11.2008, 16:54

niemand? na wird vielleicht noch ein bisschen dauern...

0tak1n9 · 30.11.2008, 12:35

hab jetzt noch einmal die Anti-Malware software von a-squared drüber laufen lassen, und der entdeckt folgenden Host-Prozess, der auch für die ganze falsche Weiterleitung verantwortlich ist: partners.webmasterplan.com

Hab den Prozess jetzt blockiert. Jetzt wird ebay zwar nicht mehr aufgerufen, wenn ich in google etwas suche, aber dafür kommt eine "konnte nicht verbinden" seite.

brauch dringend hilfe! bin mit meinem Latein am Ende.

No_Scrap · 30.11.2008, 22:33

Poste doch bitte den Inhalt der hosts und lmhosts dateien.
Kopiere dazu unten stehenden Pfad in die Eingabezeile "Ausführen" (über Start und Anwahl von Ausführen).
c:\WINDOWS\system32\drivers\etc
Dann mit Editor oder WordPad-MFC-Anwendung öffnen.

0tak1n9 · 01.12.2008, 15:14

Die hosts Datei ist extrem lang und lässt sich hier nicht posten. Würde wahrscheinlich etliche Posts brauchen, um die hier unterzubringen. Anhängen ging auch nicht, da zu groß. Hab sie daher auf drop.io hochgeladen.

Das ist der Link zur hosts.doc

Die lmhosts sieht aus wie folgt:

Code:

ATTFilter

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample LMHOSTS file used by the Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to computernames
# (NetBIOS) names.  Each entry should be kept on an individual line.
# The IP address should be placed in the first column followed by the
# corresponding computername. The address and the computername
# should be separated by at least one space or tab. The "#" character
# is generally used to denote the start of a comment (see the exceptions
# below).
#
# This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts
# files and offers the following extensions:
#
#      #PRE
#      #DOM:<domain>
#      #INCLUDE <filename>
#      #BEGIN_ALTERNATE
#      #END_ALTERNATE
#      \0xnn (non-printing character support)
#
# Following any entry in the file with the characters "#PRE" will cause
# the entry to be preloaded into the name cache. By default, entries are
# not preloaded, but are parsed only after dynamic name resolution fails.
#
# Following an entry with the "#DOM:<domain>" tag will associate the
# entry with the domain specified by <domain>. This affects how the
# browser and logon services behave in TCP/IP environments. To preload
# the host name associated with #DOM entry, it is necessary to also add a
# #PRE to the line. The <domain> is always preloaded although it will not
# be shown when the name cache is viewed.
#
# Specifying "#INCLUDE <filename>" will force the RFC NetBIOS (NBT)
# software to seek the specified <filename> and parse it as if it were
# local. <filename> is generally a UNC-based name, allowing a
# centralized lmhosts file to be maintained on a server.
# It is ALWAYS necessary to provide a mapping for the IP address of the
# server prior to the #INCLUDE. This mapping must use the #PRE directive.
# In addtion the share "public" in the example below must be in the
# LanManServer list of "NullSessionShares" in order for client machines to
# be able to read the lmhosts file successfully. This key is under
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
# in the registry. Simply add "public" to the list found there.
#
# The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE
# statements to be grouped together. Any single successful include
# will cause the group to succeed.
#
# Finally, non-printing characters can be embedded in mappings by
# first surrounding the NetBIOS name in quotations, then using the
# \0xnn notation to specify a hex value for a non-printing character.
#
# The following example illustrates all of these extensions:
#
# 102.54.94.97     rhino         #PRE #DOM:networking  #net group's DC
# 102.54.94.102    "appname  \0x14"                    #special app server
# 102.54.94.123    popular            #PRE             #source server
# 102.54.94.117    localsrv           #PRE             #needed for the include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# In the above example, the "appname" server contains a special
# character in its name, the "popular" and "localsrv" server names are
# preloaded, and the "rhino" server name is specified so it can be used
# to later #INCLUDE a centrally maintained lmhosts file if the "localsrv"
# system is unavailable.
#
# Note that the whole file is parsed including comments on each lookup,
# so keeping the number of comments to a minimum will improve performance.
# Therefore it is not advisable to simply add lmhosts file entries onto the
# end of this file.

weiß jetzt nicht, ob die dir was bringt (steht ja drin, dass die nur ein beispiel ist)

Schon mal danke auf jeden Fall, dass du dir mein Problem anschaust

No_Scrap · 01.12.2008, 21:27

Die lmhosts ist nicht manipuliert, sie wird so stehen gelassen.

Bei der hosts-datei alles löschen außer

127.0.0.1 localhost.

Falls es danach Probleme gibt, teste es nochmal indem du den Eintrag
::1 (für IpV6)
wieder hinzufügst.

Hinweise zum Ändern der hosts-Datei unter Vista:
Hosts-Datei bzw. Lmhosts-Datei lässt sich in Windows Vista nicht ändern

Evtl. PFW (Windows Firewall) abstellen/den NAT-Filter des Routers arbeiten lassen wärend des Tests.
Edith: Ich sehe gerade das schreckliche (unnötige und den Rechner "versauende") Zonealarm. Bitte vorrübergehend deaktivieren inkl. Hinweis zum NAT-Filter.

myrtille · 01.12.2008, 21:33

Eventuell könntest du dabei noch erwähnen, dass er mit dem Löschen der hosts-Datei die Funktion "immunisieren" von Spybot rückgängig macht und nicht einfach für den TO entscheiden, dass die Schritte, die er zur Erhöhung der Sicherheit des Systems gemacht hat, rückgängig gemacht werden sollen.

lg myrtille

EDIT:
Ich bin auch kein großer Freund dieser Funktion von Sypbot, aber ein Wort der Warnung bevor du unnötige Veränderungen an Systemen vornimmst ist sicherlich etwas was du dir angewöhnen solltest.

No_Scrap · 01.12.2008, 21:45

Ja sorry da muss ich dir recht geben. Aber Spybot inkl. Teatimer wird auf Grund von Problemen in der Vergangenheit nicht mehr auf meinen Systemen geduldet und ich rate davon ab.
Ein User der allerdings Zonealarm anwendet, ist dann eh nicht mehr mein Bereich.
Willst du die Sache übernehmen? (Ich frage mich auch warum hier von Euch noch keiner eine Antwort gegeben hat)

myrtille · 01.12.2008, 22:06

Weil wir immernoch davon ausgehen, dass Leute die herkommen und anderen Leute Tipps geben, wissen was sie tun und nicht aus Spass an der Freude die Rechner anderer Leute ruinieren.

Das hier ist ein Forum, das heißt jeder darf mitmachen, das heißt aber auch wir gehen davon aus, dass wenn Leute aushelfen, sie wissen was sie empfehlen.
Alle Helfer hier arbeiten ehrenamtlich und müssen nebenbei noch Geld verdienen.
Wenn wir dann Zeit haben Leuten zu helfen, wollen wir diese Zeit nicht noch darauf verwenden die Threads anderer Leute Kontrolle zu lesen.

Zuviele Köche verderben den Brei und nicht jeder arbeitet mit denselben Programmen. Daher ist in der Regel derjenige der eine Bereinigung anfängt, auch derjenige der sie beendet.

lg myrtille

@TO
Inhaltlich hat No Scrap nicht Unrecht. Spybot, Adaware und Co haben ihre besten Zeiten hinter sich gelassen. Easy Spyremover lebt an der Grenze zum Rogue (Programm das Funktionalitäten nur vortäuscht und gezielt Fehlalarme erzeugt um Verkaufsraten zu steigern)
Ich würde dir raten sämtliche Antispywareprogramme zu deinstallieren und nur Malwarebytes und/oder SUPERAntiSpyware zu behalten. Das sind meines Erachtens die beiden besten Antispywareprogramme auf dem Markt derzeit und es gibt von beidem kostenfreie Varianten.

Zitat:

hab jetzt noch einmal die Anti-Malware software von a-squared drüber laufen lassen, und der entdeckt folgenden Host-Prozess, der auch für die ganze falsche Weiterleitung verantwortlich ist: partners.webmasterplan.com

Welcher Host-Prozess? Die Umleitung über webmasterplan.com ist normal und von ebay so gewollt.

Tritt das Problem nur bei Firefox auf, oder auch bei Internet Explorer und zb Opera?

Kannst du mir bitte mal alle Addons listen, die beim Firefox installiert sind.

lg myrtille

0tak1n9 · 02.12.2008, 02:03

Erst einmal danke, dass ihr euch meiner annimmt. Und danke für die Tipps mit den Anti-Spyware Programmen.
Werde das ganze mal morgen in Ruhe machen und meine Ergebnisse posten. Muss jetzt erst mal in die Heia.

gn8,

0tak1n9

halong22 · 02.12.2008, 13:50

Hallo,
möglicherweise kann Dir dieser thread weiterhelfen, ich hatte selbst vor ein paar Tagen das gleiche Problem:

http://www.trojaner-board.de/65127-umleitung-von-google-suchergebnissen-nach-ebay.html

Viel Erfolg bei der Suche
halong22

0tak1n9 · 02.12.2008, 16:47

So, hab jetzt mal die Ratschläge befolgt. NAT war im Router eingeschaltet. Nach den Schritten, zu denen ihr mir geraten habt, scheint das Problem auch gelöst zu sein :aplaus:

Muss das aber noch ausgiebig testen. War schon mal so, dass ich dachte ich hätte den Hijacker eliminiert, aber dann kam er doch wieder.

Zitat:

Bei der hosts-datei alles löschen außer

127.0.0.1 localhost

done. Hab auch Spybot und alle anderen Anti-Malware Programme deinstalliert. Zone Alarm hab ich jetzt aber noch drauf. Will irgendwie nicht ganz auf eine Software Firewall verzichten.
Was ist denn da die Alternative? Windows Firewall? Irgendwie traue ich Microsoft nicht ^^
Und wie sieht es denn dann eigentlich mit Avira aus? Auch gegen eine andere Software austauschen oder reichen da etwa mbam und Superantispyware?

Zitat:

Ich würde dir raten sämtliche Antispywareprogramme zu deinstallieren und nur Malwarebytes und/oder SUPERAntiSpyware zu behalten. Das sind meines Erachtens die beiden besten Antispywareprogramme auf dem Markt derzeit und es gibt von beidem kostenfreie Varianten.

Ok, danke für den Hinweis. Hab die beide installiert und durchlaufen lassen. Die beiden Logs im folgenden:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/02/2008 at 01:01 PM

Application Version : 4.22.1014

Core Rules Database Version : 3658
Trace Rules Database Version: 1639

Scan type       : Quick Scan
Total Scan Time : 00:21:16

Memory items scanned      : 714
Memory threats detected   : 0
Registry items scanned    : 461
Registry threats detected : 6
File items scanned        : 16220
File threats detected     : 1

Rootkit.Rustock/Variant
	HKLM\System\ControlSet001\Services\d3dsxf
	C:\WINDOWS\SYSTEM32\DRIVERS\D3DSXF.SYS
	HKLM\System\ControlSet001\Enum\Root\LEGACY_d3dsxf
	HKLM\System\ControlSet018\Services\d3dsxf
	HKLM\System\ControlSet018\Enum\Root\LEGACY_d3dsxf
	HKLM\System\CurrentControlSet\Services\d3dsxf
	HKLM\System\CurrentControlSet\Enum\Root\LEGACY_d3dsxf

Sehe gerade, dass ich da nur einen Quickscan gemacht habe. Werde den Intensiven noch durchlaufen lassen und das Log posten.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1424
Windows 6.0.6001 Service Pack 1

02.12.2008 15:27:48
mbam-log-2008-12-02 (15-27-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 207380
Laufzeit: 1 hour(s), 32 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hat anscheinend nichts gefunden. Soll ich noch einen regcleaner drüberlaufen lassen? Wenn ja wäre n Link cool, nicht dass ich wieder irgendeinen Schmarrn installiere

Zitat:

Welcher Host-Prozess? Die Umleitung über webmasterplan.com ist normal und von ebay so gewollt.

Hab ich denke ich jetzt auch verstanden. Das ist so ein Standard-Tracking Link, der oft von so affiliate Service Anbietern wie affilinet benutzt wird, oder?!

Zitat:

Easy Spyremover lebt an der Grenze zum Rogue (Programm das Funktionalitäten nur vortäuscht und gezielt Fehlalarme erzeugt um Verkaufsraten zu steigern)

Den habe ich auch gleich wieder von meiner Platte verbannt. Was da für Fehlermeldungen und Alarme kamen war unerträglich.

Zitat:

Tritt das Problem nur bei Firefox auf, oder auch bei Internet Explorer und zb Opera?

Bisher nur bei Firefox. Hab IE n paar Mal versucht, aber da kam immer die korrekte Seite.

Zitat:

Kannst du mir bitte mal alle Addons listen, die beim Firefox installiert sind.

Klar: Das ist Stumble upon und AdBlockPlus. Beide habe ich aber, soweit ich mich erinnern kann, nach dem Auftreten der falschen Weiterleitung installiert.

Zitat:

möglicherweise kann Dir dieser thread weiterhelfen

Danke, den hatte ich auch schon entdeckt und hab einige Schritte befolgt (mbam-log, Silent Runner).

@all: Also auf jeden Fall noch mal danke für die Top Hilfe

Ich werde jetzt mal ein bisschen testen, nochmal das SUPERAntiSpyware Log posten und geb bescheid obs geklapt hat.

0tak1n9 · 02.12.2008, 17:29

ok. Der Intensiv-Scan von SUPERAntiSpyware hat noch einmal drei Gefahren entdeckt. Log im Folgenden:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/02/2008 at 05:15 PM

Application Version : 4.22.1014

Core Rules Database Version : 3658
Trace Rules Database Version: 1639

Scan type       : Complete Scan
Total Scan Time : 00:26:20

Memory items scanned      : 680
Memory threats detected   : 0
Registry items scanned    : 8713
Registry threats detected : 0
File items scanned        : 19713
File threats detected     : 3

Adware.Tracking Cookie
	C:\Users\Judas\AppData\Roaming\Microsoft\Windows\Cookies\Low\judas@ads.quartermedia[1].txt
	C:\Users\Judas\AppData\Roaming\Microsoft\Windows\Cookies\Low\judas@imrworldwide[2].txt
	C:\Users\Judas\AppData\Roaming\Microsoft\Windows\Cookies\Low\judas@webmasterplan[2].txt

Hab den Rechner auch noch einige Male herunter- und wieder hochgefahren und Firefox/google getestet. Bisher sieht es gut aus.

0tak1n9 · 05.12.2008, 13:35

Also nach ein paar Tagen testen kann ich sagen: Mein Problem hat sich gelöst. Vielen Dank für eure Unterstützung!
Eine Frage brennt mir noch unter den Fingern: Was würdet ihr denn statt Avira und ZoneAlarm vorschlagen? Oder reicht da SuperAntiSpywar und Anti Malware?

Google Links leiten mich üebr Firefox zunächst auf ebay weiter

Log-Analyse und Auswertung: Google Links leiten mich üebr Firefox zunächst auf ebay weiter