Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Domain hijack?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.09.2005, 07:38   #1
TAG
 
Domain hijack?! - Standard

Domain hijack?!



Moin moin!
ich habe folgendes problem,
wenn ich online gehe und z.B. google aufrufen möchte läd erst immer diese seite:

h**p://217.0.117.27:8080/serviceRedirect;jsessionid=skvotbx6l0y?serviceURL=http%3A%2F%2Fwww.google.de%2F&t=ee80dm2v
h**p://217.0.117.27:8080/status
h**p://217.0.117.27:8080/serviceStart/refresh/home?service=sInternet

danach kommt dann eine seite von 1und1 (mein provider)

h**p://portal.1und1.de/?originURL=0

habe im windows abgesicherten modus antivir, ad-aware und HijackThis checken lassen, ohne erfolg!

hi das hijack log:
Logfile of HijackThis v1.99.0
Scan saved at 20:12:28, on 29.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Winamp\Winampa.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\download\System_Standart_TAG\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A83163-F7A6-464B-B828-6DBD39E7F6CE}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe


habe dann 017 HKLM\System\CCS\Services... wg domain hijack gelöst, und es taucht auch nicht mehr auf wenn ich nun mit HijackThis erneut checke.



Logfile of HijackThis v1.99.0
Scan saved at 07:40:19, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Winamp\Winampa.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\DOKUME~1\KATJA\LOKALE~1\TEMP\_VWUPSRV.EXE
D:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\download\System_Standart_TAG\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: AntiVir Update Temp - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\KATJA\LOKALE~1\TEMP\_VWUPSRV.EXE

aber leider habe ich immernoch das selbe problem, wenn ich online gehe kommt immer erst diese ominöse "http://217.0.117.27:8080" Seite und dann die weiterleitung zur "1und1" seite!


ich wäre für jede hilfe dankbar!
danke + gruß
TAG

[edit]
links entfernt
[/edit]

Geändert von GUA (30.09.2005 um 18:00 Uhr)

Alt 30.09.2005, 10:33   #2
stupormundi
 
Domain hijack?! - Standard

Domain hijack?!



Guten Tag, TAG!
Poste bitte ein LogFile aus dem "normalen" Modus!
Zitat:
Logfile of HijackThis v1.99.0
Scan saved at 07:40:19, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Ein Update auf SP2 plus aller seitdem erschienen Sicherheitsupdates ist auch notwendig!
Bis nach dem neuen LogFile, stupormundi
__________________


Alt 30.09.2005, 10:35   #3
joeyblack
 
Domain hijack?! - Standard

Domain hijack?!



Hallo TAG,

zur Fehlersuche kann ich leider nicht beitragen, aber Deinem Windows XP fehlen die letzten updates (SP2), darüber hinaus kann ich Dir noch einen anderen Browser (z.B. Firefox) empfehlen.

Grüße

Joeyblack
_____________________________________
Ubi bene ibi patria !

@ stupormundi

...beim dritten crossposting schulde ich Dir ein virtuelles Bier Deiner Wahl.

Grüße
Joeyblack
__________________

Geändert von joeyblack (30.09.2005 um 10:40 Uhr)

Alt 30.09.2005, 10:35   #4
Wildone
 
Domain hijack?! - Standard

Domain hijack?!



Hallo,
zukünftig die Mails von 1&1 besser lesen, die haben angekündigt das sie die Umleitung machen, und auch beschrieben wie man das im Controlcenter wieder rückgängig machen kann, siehe hier
Und lass die Finger von den O17 Einträgen es sei denn du willst deinen Internetzugang zerschießen.


Grüße Wildone

Alt 30.09.2005, 11:36   #5
TAG
 
Domain hijack?! - Standard

Domain hijack?!



Zitat:
Zitat von Wildone
Hallo,
zukünftig die Mails von 1&1 besser lesen, die haben angekündigt das sie die Umleitung machen, und auch beschrieben wie man das im Controlcenter wieder rückgängig machen kann, siehe hier
Und lass die Finger von den O17 Einträgen es sei denn du willst deinen Internetzugang zerschießen.


Grüße Wildone
oops,
1&1 spamned mich mit "werbung" zu, schätze das ich ne wichtige mail übersehen bzw gelöst habe!
vielen dank für deine hilfe

Gruß + schönes wochenende
TAG


Antwort

Themen zu Domain hijack?!
abgesicherten modus, ad-aware, adobe, antivir, aufrufe, avg, bho, dateien, download, dsl, excel, explorer, firewall, google, hijack, hijackthis, hotkey, internet explorer, log, microsoft, problem, programme, system, temp, windows, windows xp



Ähnliche Themen: Domain hijack?!


  1. Vertipper-Domain...Virus, Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (15)
  2. Domain sperren
    Alles rund um Windows - 13.11.2013 (11)
  3. Metasploit-Domain gekapert
    Nachrichten - 11.10.2013 (0)
  4. Domain wird als Spam missbraucht
    Überwachung, Datenschutz und Spam - 08.10.2013 (5)
  5. Domain-Registrar Name.com gehackt
    Nachrichten - 10.05.2013 (0)
  6. Domain wird umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (9)
  7. Domain unter .secure nur mit Sicherheitsvorgaben
    Nachrichten - 16.05.2012 (0)
  8. Domain unter .secure nur mit Sicherheitvorgaben
    Nachrichten - 16.05.2012 (0)
  9. Meine Domain wird umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (1)
  10. Domain des Sicherheitsdienstleisters Secunia gekapert
    Nachrichten - 25.11.2010 (0)
  11. lsass.exe sendet zu spez. Domain
    Plagegeister aller Art und deren Bekämpfung - 18.06.2009 (0)
  12. www.domain.de ist momentan nicht verfübar
    Mülltonne - 14.11.2008 (0)
  13. Zombie in der Domain?
    Überwachung, Datenschutz und Spam - 16.05.2007 (2)
  14. Domain Betreiber raus bekommen?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2006 (1)
  15. Biete Domain malware.de
    Alles rund um Windows - 24.04.2004 (3)

Zum Thema Domain hijack?! - Moin moin! ich habe folgendes problem, wenn ich online gehe und z.B. google aufrufen möchte läd erst immer diese seite: h**p://217.0.117.27:8080/serviceRedirect;jsessionid=skvotbx6l0y?serviceURL=http%3A%2F%2Fwww.google.de%2F&t=ee80dm2v h**p://217.0.117.27:8080/status h**p://217.0.117.27:8080/serviceStart/refresh/home?service=sInternet danach kommt dann eine seite von 1und1 - Domain hijack?!...
Archiv
Du betrachtest: Domain hijack?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.