| |
| |||||||
Log-Analyse und Auswertung: Umleitung der Google-SuchergebnisseWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.01.2006, 14:19
| #1 |
| |  Umleitung der Google-Suchergebnisse Hallo Trojaner-Jäger, trotz Firewall & Kaspersky AV habe ich mir (vermutl. über eine SPAM-Mail) folgendes Problem eingefangen: Sofern ich google über h**p://www.google.de aufrufe und z. B. nach "Microsoft" suche, erhalte ich die ganz "normalen" Google-Suchergebnisse. Nur mit dem Unterschied, das die Links auf irgendwelche Werbe-Seiten verweisen; Im Internet-Explorer ist in der unteren Adressleiste dann auch immer eine Umleitung zu erkennen (wird nur kurz angezeigt): "http://85.255.116.163/click.php?PHPSESSID2E4879...(usw.)" Der Firefox (1.5) ist von dieser "Umleitung" übrigens nicht betroffen. Sofern ich google über die IP http://216.239.37.99 (google.de) aufrufe, läuft alles ganz normal. Auch andere Suchdienste (lycos/altavista/etc.) sind von der Umleitung nicht betroffen. Die HOSTS - Datei ist auch sauber, auch habe ich in der Registry des Systems weder die IP-Adresse, noch irgendeinen "verbogenen" "www.google.de"-Eintrag finden können. Weder Symantec, Kaspersky, TrojanCheck, Ad Aware SE, Spybot S&D noch CWS-Shredder (natürl. mit den aktuellen Signaturen) haben etwas finden können. Ich habe auch das System im abgesicherten Mod. mit Spybot S&D und CleanUP! schon gesäubert. Ohne Erfolg. Spybot S&D findet als einzigstes den "PIPAS.A" in folgendem RegKey: (SB S&D - LOG): Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, fixed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins Der RegKey "ruins" ist mit RegEdit übrigens nicht sichtbar. Anbei mal das HiJack-Log (normaler Betriebsmodus): Hinweis: Der PC hat zwei Netzwerkkarten, die Einträge für IP / DNS sind so, wie aufgeführt o.k., da der PC wahlweise direkt über einen Router läuft, bzw. über die zweite Netzwerkkarte über einen Proxy-/VPN Server. Das obige Google-Fehlverhalten ist aber immer gleich, egal ob nur der Router oder der Proxy dazwischenhängt. Logfile of HijackThis v1.99.1 Scan saved at 14:10:39, on 10.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\Sony Ericsson\Mobile\SyncIndicator.exe D:\Programme\SecurityTools\HiJackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.19.71.121:3128;http=10.19.71.121:3128;https=10.19.71.121:3128;socks=10.19.71.121:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;10.19.71.0;10.19.171.0;127.0.0.1;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\SecurityTools\Spybot-SearchDestroy\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.ex_ O4 - HKLM\..\Run: [KAV50] "C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121674276640 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{2BBDE089-5AC2-4C09-BB88-9893E1391311}: NameServer = 10.19.171.101 O17 - HKLM\System\CS1\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253 O17 - HKLM\System\CS3\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GOCCZSXVBCTF - Unknown owner - C:\DOKUME~1\*****\LOKALE~1\Temp\GOCCZSXVBCTF.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Danke vorab. |
| Themen zu Umleitung der Google-Suchergebnisse |
| ad aware, adobe, antivirus, antivirus scan, aufrufe, bho, cs3, einstellungen, firefox, firewall, fritz!, ftp, google, hijackthis, internet explorer, ip-adresse, kaspersky, log, microsoft, netzwerkkarte, problem, programme, security, software, spam-mail, suche, symantec, temp, träge, verweise, windows, windows xp |
Baum-Darstellung