Umleitung der Suchergebnisse bei Google, Help!

stupormundi · 17.01.2006, 06:25

Servus!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

cronos · 17.01.2006, 07:10

Zusätzlich mal diesen Eintrag mit HJT-Fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207

Das ist nämlich mit 100%iger Sicherheit nicht der DNS-Server deines Providers.

Pianoman.ht · 17.01.2006, 17:31

So, habe nach ausführlichem Studieren der Anleitung - und zwei Fehlversuchen ;-) - folgendes Logfile anzubieten :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 14:59:34 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken.
Tue Jan 17 15:14:32 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0
Tue Jan 17 15:50:22 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken.
Tue Jan 17 16:00:11 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 14:59:39 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Jan 17 14:59:39 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Jan 17 14:59:56 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
Tue Jan 17 15:50:27 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Jan 17 15:50:27 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Jan 17 15:50:44 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 15:40:43 2006 => Total Objects Scanned: 38244
Tue Jan 17 17:08:25 2006 => Total Objects Scanned: 46561
Tue Jan 17 15:40:43 2006 => Total Critical Objects: 6
Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0
Tue Jan 17 15:40:43 2006 => Total Deleted Objects: 0
Tue Jan 17 17:08:25 2006 => Total Critical Objects: 6
Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0
Tue Jan 17 17:08:25 2006 => Total Deleted Objects: 0
Tue Jan 17 15:40:43 2006 => Total Errors: 52
Tue Jan 17 17:08:25 2006 => Total Errors: 52
Tue Jan 17 15:40:43 2006 => Time Elapsed: 00:41:55
Tue Jan 17 17:08:25 2006 => Time Elapsed: 01:17:36
Tue Jan 17 14:50:24 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 14:51:53 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 14:53:11 2006 => Virus Database Date: 1/17/2006
Tue Jan 17 14:57:45 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:40:42 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:40:46 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:48:31 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:08:25 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:08:52 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:16:49 2006 => Virus Database Date: 1/16/2006

Ich habe schon versucht näheres über die Beseitigung der Biester rauszufinden, aber bisher ohne Erfolg!

cronos · 17.01.2006, 18:43

Lösche zunächst deine temporären Dateien mittels CleanUp.
Wechsle dann in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Lösche mittels Killbox folgende Dateien:

C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv

Zitat:

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Nach dem Neustart wechsle wieder in den abgesicherten Modus und scanne dein System mit Adaware, Spybot und Ewido.
Neu booten und erstelle ein neues HJT-Logfile.Poste uns auch die Log-Datei von Ewido.

Pianoman.ht · 18.01.2006, 12:37

So, alles durchgeführt, hier is das neue Logfile von HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 12:32:25, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmgsm.exe] C:\WINDOWS\system32\dmgsm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe

Das Logfile von Ewido zu posten macht glaube ich weniger Sinn da dort nur eine einzige Fehlermeldung steht, die dafür zwölfmal untereinander:

RegQueryValueEx failed, Value: 00000002

Ich hoffe ihr könnt damit was anfangen?

Wildone · 18.01.2006, 12:51

Hallo,
poste noch das Log(wird nach dem Scan als Textdatei im selben Pfad erzweugt) von F-Secure Blacklight.

Grüße Wildone

Pianoman.ht · 18.01.2006, 13:08

So, auch das hätten wir...

01/18/06 13:06:07 [Info]: BlackLight Engine 1.0.30 initialized
01/18/06 13:06:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/18/06 13:06:08 [Note]: 7019 4
01/18/06 13:06:08 [Note]: 7005 0
01/18/06 13:06:13 [Note]: 7006 0
01/18/06 13:06:13 [Note]: 7011 1272
01/18/06 13:06:14 [Note]: FSRAW library version 1.7.1014
01/18/06 13:07:06 [Note]: 7007 0

Umleitung der Suchergebnisse bei Google, Help!

Plagegeister aller Art und deren Bekämpfung: Umleitung der Suchergebnisse bei Google, Help!