Zunächst einmal:
Sollte ich hier etwas posten, zu dem es bereits einen Thread gibt, bitte ich um Entschuldigung. Ich habe einfach nichts dementsprechendes gefunden, möchte mich meines Problems aber dennoch annehmen :-)

Also...
Ich habe folgendes Problem:
Wenn ich mit dem Internetexplorer irgendwas im Internet suche (ich benutze wie der Großteil aller anderen Leute fast ausschließlich Google zum suchen), und irgendeine der Seiten, die bei der Suche herausgekommen sind anklicke, werde ich jedes mal zunächst auf eine andere Seite weitergeleitet, die definitv nicht die Seiten sind, die ich eigentlich vor hatte anzuklicken.

Noch mal genau:

Ich öffne den IE (Startseite Google),
Ich gebe einen Suchbegriff ein (zB. Trojaner-Board)
Ich klicke auf den Link
Ich werde auf irgendeine andere Seite weitergeleitet (meist irgendeine, die auch etwas mit Trojanern zu tun, aber nicht die war, die ich eigentlich anklicken wollte. Neben irgendwelchen "Casino-Seiten auch völlig seriöse Seiten wie Ebay, oder Douglas.de).
Wegklicken hilft zwar, aber es nervt erlesen doll und es geht einfach ums Prinzip.
Das Überprüfen mit HJT und CWshredder hat auch nichts gebracht, da mir bei der Auswertung immer gesagt wirde, dass alles in Ordnung sei und ich selbst auch nichts Ungewöhnliches erkennen kann.

Nichts desto Trotz hier mal mein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:46, on 01.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
D:\emule\eMule\emule.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\backup\Technik Shit\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NWEReboot] C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero\Uninstall\Unnero.exe /REMOVE="C:\DOKUME~1\Hanno\LOKALE~1\Temp\RarSFX0"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero BackItUp\NBJ.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

So... Weiter weiß ich auch nicht, denn ich will nicht jedes einzelne Element meiner Systemdateien erst bei Google nachschlagen müssen und schon gar nicht will ich irgendetwas nur auf Verdacht löschen, denn dabei hab ich mir schon mal meine Betriebssystem ruiniert und das soll mir nicht noch einmal passieren :-)

Naja, ich hoffe, dass mir hier irgendeiner der klugen Köppe helfen kann und ich den Kampf gegen die Konsumindustrie gewinnen werde :-)

Vielen Dank im Voraus!

Zitat:

Zitat von beowoelfi

Sollte ich hier etwas posten, zu dem es bereits einen Thread gibt, bitte ich um Entschuldigung. Ich habe einfach nichts dementsprechendes gefunden, möchte mich meines Problems aber dennoch annehmen :-)

Es ist schon ziemlich schwer diesen Thread zu verfehlen...

http://www.trojaner-board.de/showthread.php?t=25916

Mach gleich bei eScan weiter. Aber les Dir die Anleitung von Cidre genau und vollständig und aufmerksam durch!

Jo, danke für die Weiterleitung. War ja klar, dass ich wieder mal einen Unsinns-Thread ins Leben rufe. Tschuldigung!

Hallo,
Unsinns-Thread ist es nicht. Mach halt mal Escan. Danach auch Blacklight (Log wird nach dem Scan automatisch im selben Pfad erstellt) und Silentrunners.


Grüße Wildone

Ich würde gerne erst einmal versuchen das ganze nur mit escan bzw. Killbox zu versuchen, um nicht unnötig hohen Aufwand betreiben zu müssen (ja, ich weiß ich bin faul )

Ich hab meine ganze IE Cache usw noch mal mit Clearprog gelehrt, was zur Folge hatte, dass ich jetzt statt 18 "gefährlichen" Einträgen nur noch 15 habe (diese 15 hocken allesamt in der Registry) und mein Scan nur 5 Minuten statt ner Stunde gedauert hat. Das ist ja schon mal erfreulich. Weniger erfreulich ist aber nach wie vor, dass ich nicht genau weiß, wo sie sich nun eingenistet haben, denn ein Virus-Log file hab ich nach wie vor nicht in meinem Bases_X Ordner.
Alles was ich nach gründlichem Gucken sehen kann ist folgendes:

b 02 11:52:21 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Feb 02 11:52:21 2006 => Loading Spyware Signatures from new External Database (Size: 152294).
Thu Feb 02 11:52:21 2006 => Indexed Spyware Databases Successfully Created...

Thu Feb 02 11:56:34 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:34 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:36 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:37 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Feb 02 11:56:37 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:37 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Feb 02 11:56:37 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\winstall.exe
Thu Feb 02 11:56:38 2006 => System found infected with spywareno!/spysheriff Commercial KeyLogger (winstall.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\kl.exe
Thu Feb 02 11:56:38 2006 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\secure32.html
Thu Feb 02 11:56:38 2006 => System found infected with smitfraud variant Browser Hijacker (secure32.html)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\tool2.exe
Thu Feb 02 11:56:38 2006 => System found infected with cws.loadadv.400 Browser Hijacker (tool2.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending Folder found: C:\WINNT\DOWNLO~1\conflict.1
Thu Feb 02 11:56:39 2006 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending file found: C:\WINNT\DOWNLO~1\load.exe
Thu Feb 02 11:56:39 2006 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending file found: C:\WINNT\system32\paytime.exe
Thu Feb 02 11:56:39 2006 => System found infected with paymite Trojan-Spy (paytime.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:40 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Anwendungsdaten\azureus\logs\save
Thu Feb 02 11:56:40 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:46 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\anwendungsdaten\google\hello\scache\1024
Thu Feb 02 11:56:46 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:47 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\Anwendungsdaten\google\hello\scache\1024
Thu Feb 02 11:56:47 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.


Was soll ich nun also tun? Ich lad mir erstmal Killbox runter und guck mal, ob ich so irgendwas erreiche

Hallo,
also du kannst da jetzt manuell rangehen, im Prinzip auch kein Fehler, aber das gröbste solltest du erstmal hiermit beseitigen. Und den Rest dann mit killbox, aber ich befürchte einfach das das nicht alles ist, da normalerweise Spysheriff nicht die Suchergebnisse bei google ändert.



Grüße Wildone