Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Werde andauernd zu google.com umgeleitet!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.12.2005, 15:46   #1
Google-Geplagter
 
Werde andauernd zu google.com umgeleitet!! - Standard

Werde andauernd zu google.com umgeleitet!!



Ich werde andauernd zu google.com umgeleitet, teilweise sind pornographische Begriffe schon eingegeben, teilweise nur die Startseite.
Adaware und Co waren leider erfolglos

Logfile of HijackThis v1.99.1
Scan saved at 15:42:17, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\F-Secure\Common\FSLAUNCH.EXE
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Programme\Opera7\opera.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\standard\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RSPC Driver] rspc.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RSPC Driver] rspc.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{591CFDDB-D3F6-47D5-A4B0-FD424CC3A5A2}: NameServer = 85.255.114.21,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{78CC1ABD-718A-4044-B22D-48A95DD2EE8B}: NameServer = 85.255.114.21,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{93385B82-CB71-47F4-80EC-F42C440BCC92}: NameServer = 85.255.114.21,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD013D35-BA34-44AA-BA90-6A1244E6D316}: NameServer = 85.255.114.21,85.255.112.94
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Danke für die Hilfe

Alt 26.12.2005, 16:47   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werde andauernd zu google.com umgeleitet!! - Standard

Werde andauernd zu google.com umgeleitet!!



> R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
> R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,


Diese Einträge fixen, wenn nicht gewollt.

> rspc.exe

Diese Datei ausfindig machen und Jotti prüfen lassen. Ergebnis bitte posten.
__________________

__________________

Alt 26.12.2005, 17:31   #3
Cidre
Administrator, a.D.
 
Werde andauernd zu google.com umgeleitet!! - Standard

Werde andauernd zu google.com umgeleitet!!



Zitat:
Zitat von Google-Geplagter
O4 - HKLM\..\Run: [RSPC Driver] rspc.exe
Hierbei handelt es sich um den W32/Rbot-SE.

Zitat:
W32/Rbot-SE ist ein Netzwerkwurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.
Dein System ist somit nicht mehr vertrauenswürdig und sollte ASAP neu aufgesetzt werden, siehe die Anleitung in meiner Signatur.
__________________
__________________

Alt 26.12.2005, 18:36   #4
Google-Geplagter
 
Werde andauernd zu google.com umgeleitet!! - Standard

Werde andauernd zu google.com umgeleitet!!



also die rspc.exe konnte ich nicht ausfindig machen (ja habe auch versteckte und Systemdateien gecheckt, sowie in system32 nachgeguckt).

Hat sich auch mit HijackThis Problemlos entfernen lassen, Problem besteht aber immernoch.

Das System neu aufsetzen würde ich extrem ungerne, gibt es noch andere Möglichkeiten?

Hier ein aktuelles Log:


Logfile of HijackThis v1.99.1
Scan saved at 18:31:31, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\standard\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{591CFDDB-D3F6-47D5-A4B0-FD424CC3A5A2}: NameServer = 85.255.114.21,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{78CC1ABD-718A-4044-B22D-48A95DD2EE8B}: NameServer = 85.255.114.21,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{93385B82-CB71-47F4-80EC-F42C440BCC92}: NameServer = 85.255.114.21,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD013D35-BA34-44AA-BA90-6A1244E6D316}: NameServer = 85.255.114.21,85.255.112.94
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Alt 26.12.2005, 18:52   #5
irrlicht
 
Werde andauernd zu google.com umgeleitet!! - Standard

Werde andauernd zu google.com umgeleitet!!



Hallo Google-Geplagter,
Solltest du deinen Computer weiterhin mit Fremden teilen wollen und für deren Aktivitäten verantwortlich gemacht werden,dann laß alles wie es ist.
Beschwere dich aber nicht wenn dir ein SEK mal die Haustüre eintritt.
Alleiniger Herrscher über dein System wirst du nur wieder mit format :c !
Hier ein Link der dir helfen wird,wenn du dich punktgenau daran hältst
http://www.trojaner-board.de/showthread.php?t=12154
Irrlicht


Alt 26.12.2005, 18:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werde andauernd zu google.com umgeleitet!! - Standard

Werde andauernd zu google.com umgeleitet!!



Da es sich um den Rbot handelt, ist es mit einem einfachen Löschen der Datei nicht getan!
Niemand weiß, welche Manipulationen der Rbot noch vorgenommen hat und KEIN Virenscanner kann diese Manipulationen zuverlässig aufspüren oder gar entfernen. Wirklich sicher fährst Du nur, wenn Du das System von vertrauenswürdigen Medien neu aufsetzt und VOR der ersten Internetverbindung absicherst (SP2 installieren, diese Empfehlungen lesen + anwenden.
__________________
--> Werde andauernd zu google.com umgeleitet!!

Antwort

Themen zu Werde andauernd zu google.com umgeleitet!!
ad-aware, adobe, agent, bho, boot, computer, confused, desktop, einstellungen, explorer, f-secure, firewall, hijack, hijackthis, hotkey, internet, internet explorer, messenger, microsoft, opera, programme, software, system, system32, webroot, windows, windows xp



Ähnliche Themen: Werde andauernd zu google.com umgeleitet!!


  1. Bei Googel werde ich falsch umgeleitet.
    Plagegeister aller Art und deren Bekämpfung - 17.10.2015 (40)
  2. Win7: Werde in Mozilla andauernd auf Werbung weitergeleitet (rvzr-a.akamaihd.net)
    Log-Analyse und Auswertung - 15.12.2013 (7)
  3. Google Suche funktioniert nicht werde andauernd auf Ihavenet.com weitergeleitet!
    Plagegeister aller Art und deren Bekämpfung - 22.10.2013 (3)
  4. In Firefox werde ich bei Anklicken der Links von Google-Suchen auf falsche Seiten umgeleitet
    Log-Analyse und Auswertung - 15.10.2013 (22)
  5. Werde bei Google-Suchergebnissen auf falsche Seiten umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (7)
  6. Werde ständig umgeleitet zu dubiosen Seiten bei Google-Suche
    Log-Analyse und Auswertung - 19.02.2013 (45)
  7. Werde umgeleitet von Google auf nicht ausgewählte Seiten
    Plagegeister aller Art und deren Bekämpfung - 13.12.2010 (25)
  8. Wahrscheinlich Virus! Werde bei google.de auf gondorsarmeederhoffnung.de umgeleitet!
    Plagegeister aller Art und deren Bekämpfung - 20.11.2010 (10)
  9. Werde auf Werbeseiten umgeleitet Trojaner Virus? HILFE
    Log-Analyse und Auswertung - 08.04.2010 (1)
  10. Werde auf Google "umgeleitet"
    Log-Analyse und Auswertung - 16.02.2010 (7)
  11. Hilfe! Werde bei der Googlesuche auf andere Sites umgeleitet usw.
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (2)
  12. Werde immer auf andere Seiten umgeleitet
    Log-Analyse und Auswertung - 11.02.2009 (9)
  13. Ich werde immer von google umgeleitet auf abcjump oder go.google usw.
    Mülltonne - 27.11.2008 (0)
  14. werde auf andere Seiten umgeleitet
    Log-Analyse und Auswertung - 23.11.2008 (15)
  15. Werde einfach auf andere seiten umgeleitet
    Log-Analyse und Auswertung - 19.11.2008 (0)
  16. Werde immer Umgeleitet
    Log-Analyse und Auswertung - 22.08.2007 (2)
  17. Ich werde zu unbekanntem Server umgeleitet
    Log-Analyse und Auswertung - 09.09.2006 (5)

Zum Thema Werde andauernd zu google.com umgeleitet!! - Ich werde andauernd zu google.com umgeleitet, teilweise sind pornographische Begriffe schon eingegeben, teilweise nur die Startseite. Adaware und Co waren leider erfolglos Logfile of HijackThis v1.99.1 Scan saved at 15:42:17, - Werde andauernd zu google.com umgeleitet!!...
Archiv
Du betrachtest: Werde andauernd zu google.com umgeleitet!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.