Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HILFE!: hijack nach "United-Domains"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.03.2004, 11:55   #1
HH
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



Hallo.
Ich habe ein Problem, und frage mich, ob jemand helfen kann.

Seit einigen Tagen werden bestimmte Adressen auf meinem IE6 gehijackt. www.google.de wird zu www.www.google.de.com (United-Domains), www.google.co.uk und www.google.com, aber auch sites wir symantec und Microsoft funktionieren gar nicht mehr.

Ich habe verschiedene scanner durchlaufen lassen (f-prot, spybot, CW shredder), aber das Problem besteht weiter.

Kann mir jemand helfen?
HH

Anbei mein "hijack this" log:

Logfile of HijackThis v1.97.7
Scan saved at 12:22:18, on 29/03/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\CPQALERT.EXE
C:\WINDOWS\CPQDMI.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\DMI98\WIN32\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ESSNDSYS.EXE
C:\WINDOWS\SYSTEM\CHPSTART.EXE
C:\PROGRAMME\COMPAQ\PROGRAMMABLE KEYS 95\CPQKL.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\FSI\F-PROT\F-STOPW.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\VERBATIM STORE N GO\VERBATIM STORE 'N' GO.EXE
C:\WINDOWS\SYSTEM\WLANSTA.EXE
C:\PROGRAMME\FSI\F-PROT\F-SCHED.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\ANTI VIRUS ETC\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/s/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ESSNDSYS] ESSNDSYS.EXE
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [Compaq PK Daemon] C:\Programme\COMPAQ\Programmable Keys 95\CPQKL.EXE
O4 - HKLM\..\Run: [Hibernation] C:\Programme\COMPAQ\PWRCON\HIB32.EXE
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\CD-Writer Plus\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [CPQCalib] C:\Programme\COMPAQ\PWRCON\CPQCALIB.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Programme\FSI\F-Prot\F-STOPW.EXE"
O4 - HKLM\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [VERBATIM STORE 'N' G] c:\programme\verbatim store n go\verbatim store 'n' go.exe sys_auto_run C:\PROGRAMME\VERBATIM STORE N GO
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [CPQALERT] CPQALERT.EXE
O4 - HKLM\..\RunServices: [CPQDMI] CPQDMI.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...960.1980671296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

[ 29. März 2004, 14:00: Beitrag editiert von: HH ]
__________________
HH

Alt 29.03.2004, 18:13   #2
Shadow
/// Mr. Schatten
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



</font><blockquote>Zitat:</font><hr />Original erstellt von HH:
Ich habe ein Problem, und frage mich, ob jemand helfen kann. </font>[/QUOTE]Fragst Du jetzt Dich oder uns?
Bin mit Win98 inzwischen recht unfit, geh' mal auf suchen =&gt; Datei namens hosts, wenn sie da ist mit dem Editor öffnen und den Inhalt hier posten.
Wenn sie nicht da ist, ist DIES nicht das Problem.
IIRC kommt Win98 'ohne' daher.

Prinzipiell lädts Du recht viel Blödsinn, den ich zum Teil auch nicht kenne (z.B. Verbatim...., bist Du Kunde von Verbatim?)
Auf jeden Fall solltest Du (Ausnahmen gibt es aber) die depperte Indexerstellung ausschalten (fastfind, kostet normalerweise nur Leistung), auch den Office-Start-Link würde ich killen.
__________________

__________________

Alt 29.03.2004, 18:32   #3
Yopie
Moderator, a.D.
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



Hi HH,

nimm mal bitte die Programme, die Du kennst, aus dem Autostart raus (i.d.R. über die Konfiguration bei den entsprechenden Programmen), und beende möglichst alle Programme, bevor Du mit HijackThis scannst, z.B. über den Taskmanager, so dass dort nur noch "Explorer" und "Systray" stehen.
Der Log wird dann viel übersichtlicher und wir müssen nicht bei jedem zweiten Eintrag nachfragen, ob Du das Programm installiert hast.

Außerdem gibts unter http://www.trojaner-board.de/51130-a...ijackthis.html eine gute Anleitung zu HJT, hast Du Dich damit schon beschäftigt?

Ein HJT-Log unter Win98 kann nämlich auch so aussehen:
Logfile of HijackThis v1.97.7
Scan saved at 19:21:43, on 29.03.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

[ 29. M&auml;rz 2004, 19:37: Beitrag editiert von: Yopie ]
__________________

Alt 30.03.2004, 17:55   #4
HH
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



Guten Tag.
Danke erstmal für den Rat. Ich bin alles andere als ein Profi mit dem Computer. Werde wohl mal ordentlich aufräumen müssen. (Verbatim brauche ich aber, das ist der Treiber für den memory stick).

Im Augenblick versucht jemand auf www.spywareinfo.com, mir zu helfen (mit mäßigem Erfolg bisher, aber man wird sehen); und es widerspricht wohl der Etikette, gleich zwei Foren zu beschäftigen.

HH
__________________
HH

Alt 30.03.2004, 18:12   #5
Yopie
Moderator, a.D.
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



</font><blockquote>Zitat:</font><hr />Original erstellt von HH:
Im Augenblick versucht jemand auf www.spywareinfo.com, mir zu helfen (mit mäßigem Erfolg bisher, aber man wird sehen); und es widerspricht wohl der Etikette, gleich zwei Foren zu beschäftigen.</font>[/QUOTE]Ich finde, solange man es angibt, ist es ok. Es müsste sich um diesen Beitrag handeln, oder?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie


Alt 30.03.2004, 18:16   #6
HH
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



Richtig.

Hat auch einen ganzen Tag lang wunderbar funktioniert. Muß aber doch wohl immer noch dasselbe Problem sein (ich rate...).
Kann sowas wirklich am google bar liegen?

HH
__________________
--> HILFE!: hijack nach "United-Domains"

Alt 30.03.2004, 22:47   #7
mav1976
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



hi,

bitte mal folgendes fixen:

</font><blockquote>Zitat:</font><hr />
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/s/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
F1 - win.ini: run=hpfsched
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
</font>[/QUOTE]bei dem critical update bin ich mir nicht sicher, zu was das gehört. sicherlich sind dort noch einige sachen, die nicht unbedingt in den autostart gehören.

bitte öffne deine win.ini und suche unter "run" den eintrag oben und lösche diesen (nur diesen)
__________________
Gruß mav

Alt 31.03.2004, 01:19   #8
HH
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



Also, ich habe meine startseite (faz.net) entfernt, und im Augenblick geht alles wieder. Mal sehn, wie lang... Aber wie kann denn das sein, daß meine startseite (die ich vor 2 oder 3 Jahren eingestellt habe) damit was zu tun hat?

HH
__________________
HH

Alt 31.03.2004, 08:28   #9
HH
 
HILFE!: hijack nach "United-Domains" - Beitrag

HILFE!: hijack nach "United-Domains"



...zu früh gefreut.
__________________
HH

Antwort

Themen zu HILFE!: hijack nach "United-Domains"
bho, dateien, desktop, explorer, frage, hijack this, hijackthis, http://www.google.com, internet, internet explorer, log, meinem, microsoft, nicht, object, problem, programme, registry, rundll, rundll32.exe, scan, shockwave, software, symantec, system, system32, upd.exe, update, virus, windows



Ähnliche Themen: HILFE!: hijack nach "United-Domains"


  1. Nach Photo Transfer mit "MPE" nach"D", auf "C" ca. 5GB verloren? Rest: 5,6GB auf "C"!
    Alles rund um Windows - 17.04.2016 (21)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "Fehler: Server nicht gefunden" immer noch nach "WAJAM.A.1"-Befall
    Plagegeister aller Art und deren Bekämpfung - 05.11.2014 (15)
  4. Internet Explorer öffnet Pup ups von "lpcloudbox" nach Installation von FreeYoutubeDownloader "update"
    Log-Analyse und Auswertung - 07.09.2014 (5)
  5. Win7 nach AntiVir Funden "TR/Crypt.zpack.Gen7" und "Adspy.Gen2" stark verlangsamt
    Log-Analyse und Auswertung - 13.04.2014 (28)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. Browser/Werbe popup, "AppsHat", MBAM Funde, nach "Schrift-Download"
    Plagegeister aller Art und deren Bekämpfung - 26.08.2013 (31)
  8. Avira meldet "TR/Downloader.Gen8" und "TR/Matsnu.EB.130" nach öffnen von Malware
    Plagegeister aller Art und deren Bekämpfung - 20.03.2013 (32)
  9. Diverse Fehlermeldungen bei Start des Systems nach "Entfernen" des "Polizei-Virus"
    Log-Analyse und Auswertung - 27.10.2012 (10)
  10. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  11. hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland
    Plagegeister aller Art und deren Bekämpfung - 08.12.2010 (10)
  12. Kann nichts mehr runterladen, auch nicht "HiJack This"! ("Your Computer is infected")
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (9)
  13. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  14. "" HiJack Log File "" brauche Hilfe !!
    Log-Analyse und Auswertung - 22.06.2006 (6)
  15. Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!
    Log-Analyse und Auswertung - 20.07.2004 (1)
  16. "DSO Exploit" und "Alexa Relatet" HiJack prüfen
    Log-Analyse und Auswertung - 02.07.2004 (3)
  17. "Hijack this"-Auswertung Hilfe bitte
    Log-Analyse und Auswertung - 26.06.2004 (3)

Zum Thema HILFE!: hijack nach "United-Domains" - Hallo. Ich habe ein Problem, und frage mich, ob jemand helfen kann. Seit einigen Tagen werden bestimmte Adressen auf meinem IE6 gehijackt. www.google.de wird zu www.www.google.de.com (United-Domains), www.google.co.uk und www.google.com, - HILFE!: hijack nach "United-Domains"...
Archiv
Du betrachtest: HILFE!: hijack nach "United-Domains" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.