Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Unaufgeforderte Websites!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.03.2006, 13:57   #1
ricochet
 
Unaufgeforderte Websites! - Icon21

Unaufgeforderte Websites!



Hallo!

Hab ein kleines Problem. Und zwar fiel es mir letztens auf, als ich in einem Forum war und dort einen Link öffnen wollte, den jemand gepostet hat. Allerdings führte der Link nicht zur Zielseite, sondern zu google, wo schon irgendwelche Suchbegriffe eingegeben waren.
Nun hab ich gedacht, da ist irgendwas schief gelaufen, aber das ist mir jetzt auch noch auf anderen websites passiert, wenn ich da Links angeklickt hab. Da kommt dann immer die google-Seite und dann schmiert der Rechner ab!
hab Spybot, Tune-Up und Ad-Aware durchlaufen lassen, aber der Fehler wurde nicht behoben.
Hat jemand eine Ahnung, was das sein könnte??

Gruß!

Alt 08.03.2006, 14:00   #2
BataAlexander
> MalwareDB
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo,

poste ein HijackThis Logfile, Anleitung zur Erstellung in meiner Signatur.

Gruß

Schrulli
__________________

__________________

Alt 08.03.2006, 14:46   #3
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Logfile of HijackThis v1.99.1
Scan saved at 14:38:24, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{48AF5CD8-FF8D-4BDD-BEF3-AB42C3615845}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

So, hoffe mal, da wird jemand draus schlau
__________________

Alt 08.03.2006, 22:57   #4
BataAlexander
> MalwareDB
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo,

Zitat:
Zitat von ricochet
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{48AF5CD8-FF8D-4BDD-BEF3-AB42C3615845}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
ist Dein Provider "WV Fiber"? Ansonsten im HJT fixen.
Der Rest sieht normal aus.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 08.03.2006, 23:52   #5
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Danke erst mal für deine Mühe! Aber ich bin nicht so der Fachmann, daher weiß ich auch nicht, ob "WV Fiber" mein Provider ist. Meinst du damit meinen Internetzugang? Ich bin bei 1&1 DSL.
Und, äh, wo hast du das mit dem "WV Fiber" gelesen? Sind die betroffenen Dateien die 017er?


Alt 09.03.2006, 00:00   #6
BataAlexander
> MalwareDB
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo,

die Ip´s in diesen Einträgen landen auf Servern http://www.wvfiber.net/
dieser Firma, daher die Frage.
Da Du bei 1und1 bist, fixe diese Einträge.
Und dieser
Zitat:
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
sollte auch raus, falls DU ihn nicht kennst.

Edit: Nach einem Tip von Wildone(Danke dafür ), lade Dir http://www.f-secure.com/blacklight/
doppelklicke blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop (hier posten)

Gruß

Schrulli
__________________
--> Unaufgeforderte Websites!

Geändert von Schrulli (09.03.2006 um 00:47 Uhr)

Alt 09.03.2006, 01:01   #7
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Also ich hab erst mal die paar Sachen da gefixt und jetzt funzt es wieder! Danke für die Hilfe!!! Das andere, was du noch als Edit angefügt hast, werd ich mal auch noch machen..

Alt 09.03.2006, 01:17   #8
BataAlexander
> MalwareDB
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo,

um sicherzugehen das alles gut ist, führe dies aber recht bald aus.
Sonst kommen die Probleme vlt. schneller wieder als uns lieb ist

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 09.03.2006, 16:01   #9
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



03/09/06 15:54:38 [Info]: BlackLight Engine 1.0.33 initialized
03/09/06 15:54:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/09/06 15:54:39 [Note]: 7019 4
03/09/06 15:54:39 [Note]: 7005 0
03/09/06 15:54:45 [Note]: 7006 0
03/09/06 15:54:45 [Note]: 7011 1492
03/09/06 15:54:46 [Note]: FSRAW library version 1.7.1015
03/09/06 15:56:03 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
03/09/06 15:56:03 [Note]: 10002 1
03/09/06 15:56:08 [Info]: Hidden file: C:\WINDOWS\system32\csjqz.exe
03/09/06 15:56:08 [Note]: 7002 32
03/09/06 15:56:08 [Note]: 7003 1
03/09/06 15:56:08 [Note]: 10002 1
03/09/06 15:56:09 [Info]: Hidden file: C:\WINDOWS\system32\dmikf.exe
03/09/06 15:56:09 [Note]: 7002 32
03/09/06 15:56:09 [Note]: 7003 1
03/09/06 15:56:09 [Note]: 10002 1
03/09/06 15:56:09 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
03/09/06 15:56:09 [Note]: 10002 1
03/09/06 15:56:10 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
03/09/06 15:56:10 [Note]: 10002 1
03/09/06 15:56:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
03/09/06 15:56:18 [Note]: 10002 1
03/09/06 15:56:18 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
03/09/06 15:56:18 [Note]: 10002 1
03/09/06 15:56:21 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
03/09/06 15:56:34 [Note]: 7002 5
03/09/06 15:56:34 [Note]: 7003 1
03/09/06 15:56:34 [Note]: 10002 1



Also das ist jetzt das von F-secure.

Alt 09.03.2006, 16:42   #10
BataAlexander
> MalwareDB
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo,

sieht aus, als hätte Wildone recht gehabt.
Scanne mal online

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe

Zitat:
Zitat von stupormundi
bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 09.03.2006, 16:56   #11
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Also ich hatte ja dann die Probleme, die F-Secure angezeigt hat, behoben. Allerdings stehen in der Logdatei immer noch die

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe

Hab jetzt also die ganze Logdatei durch Online-Scanner gejagt und der sagte mir, dass nichts gefunden wurde.

Alt 09.03.2006, 16:58   #12
BataAlexander
> MalwareDB
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo,

nicht die LogDatei, sondern die eigentlichen Dateien hochladen.
Du kannst ganz einfach den Pfad in das Feld kopieren.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 09.03.2006, 17:15   #13
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Oha, alles klar! Hmm, die erste Datei konnte nur AntiVir identifizieren. Dabei hab ich doch immer den AntiVir laufen.
Als ich da mit dem Hijack-dingens gescannt hab, meinte er in der Auswertung, dass ich kein Antivirusprogramm aktiviert hab und auch keine firewall. Hab aber alles aktiviert. Da hat er sich wohl geirrt, oder?

Alt 09.03.2006, 17:21   #14
Wildone
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Hallo ricochet,
du hast ein ausgewachsenes Rootkit auf deinem PC, da sich dieses sehr tief in das System eingräbt kann es nicht ohne weiteres mit Gewißheit beseitigt werden. Um das System wieder in einen vertrauenswürdigen Zustand zu versetzen solltest du Formatieren und Neuaufsetzen.
Eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest findest du hier.



Grüße Wildone

Alt 09.03.2006, 17:31   #15
ricochet
 
Unaufgeforderte Websites! - Standard

Unaufgeforderte Websites!



Oh shit. Woran siehst du das jetzt genau? Und das krieg ich so nicht weg? So ein Mist, dabei hab ich doch erst letztens den Rechner platt gemacht.
Komischerweise hatte ich danach, als ich XP neu drauf gemacht hab, neben C: noch die Partition D:, die aber noch nicht formatiert ist.
Kann ich diverse wichtige Dateien nach D: verschieben, bevor ich C: platt mache und dann XP neu drauf mache?

Achso, und was ist ein Rootkit?

Antwort

Themen zu Unaufgeforderte Websites!
ad-aware, ahnung, andere, anderen, angeklickt, fehler, forum, führte, geklickt, gelaufen, gepostet, google, kleines, link, links, rechner, schief, schmiert, spybot, suchbegriffe, websites, öffnen



Ähnliche Themen: Unaufgeforderte Websites!


  1. Firefox unaufgeforderte Verbindungen entdeckt
    Überwachung, Datenschutz und Spam - 20.05.2015 (1)
  2. avast blockiert Websites auf Win 7
    Plagegeister aller Art und deren Bekämpfung - 08.05.2015 (19)
  3. Rechner ändert Verbindungseinstellungen und Websites
    Plagegeister aller Art und deren Bekämpfung - 22.07.2014 (10)
  4. Win 8.1: Einige Websites nicht erreichbar
    Log-Analyse und Auswertung - 13.06.2014 (11)
  5. Trojaner der Websites von Antivirussoftware blockiert
    Plagegeister aller Art und deren Bekämpfung - 12.05.2014 (19)
  6. Weiterleitung an unbekannte Websites
    Plagegeister aller Art und deren Bekämpfung - 04.02.2014 (17)
  7. Ständig unaufgeforderte Werbefenster Pop-Ups erscheinen beim Surfen
    Log-Analyse und Auswertung - 07.01.2014 (11)
  8. Websites werden nicht geladen
    Log-Analyse und Auswertung - 14.11.2013 (22)
  9. IE öffnet regelmäßig Websites
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (8)
  10. Unbekannte Websites werden blockiert
    Log-Analyse und Auswertung - 08.04.2011 (1)
  11. nach google such im IE falsche websites
    Log-Analyse und Auswertung - 11.03.2009 (27)
  12. IE öffnet ungewollte Websites
    Log-Analyse und Auswertung - 11.11.2008 (3)
  13. Unaufgeforderte installation! Ich weiß nicht was es ist!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2008 (0)
  14. Unerwünschte Websites
    Log-Analyse und Auswertung - 18.01.2008 (0)
  15. bis zu 100% cpu beim laden von Websites
    Log-Analyse und Auswertung - 11.09.2007 (5)
  16. Opera: aktualisieren von Websites
    Alles rund um Windows - 07.10.2006 (2)
  17. popups und unerwünschte websites
    Log-Analyse und Auswertung - 06.11.2005 (10)

Zum Thema Unaufgeforderte Websites! - Hallo! Hab ein kleines Problem. Und zwar fiel es mir letztens auf, als ich in einem Forum war und dort einen Link öffnen wollte, den jemand gepostet hat. Allerdings führte - Unaufgeforderte Websites!...
Archiv
Du betrachtest: Unaufgeforderte Websites! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.