| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: google-Links verbinden falschWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.05.2006, 20:03
| #1 |
| |  google-Links verbinden falsch Hallo, ich habe seit Tagen ein hartnäckiges Problem: Bei einer Google-Suche verbinden die Links dann falsch. Meits Adultfriendfinder oder eine Suchmaschine. Dieses Problem habe ich nur mit IE6 mit firefox funktioniert es einwandfrei. Habe bereits Ad-Aware, spybot und antivir ohne erfolg laufen lassen. Bei den Netzwerkeinstellungen war plötzlich ein anderer DNS-Server eingestellt: 85.255.114.195. Diesen habe ich wieder richtig eingestellt. Aber die Umleitung ist immer noch aktiv. Hier mein Highjack-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 21:00:11, on 27.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Office\Office10\msoffice.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Software\AntiVirus\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136827007078 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136826994312 O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp08.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{71646EA0-9FA1-471F-95FC-2BC70B077CCB}: NameServer = 192.168.1.1 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe |
|
28.05.2006, 20:27
| #2 |
| Administrator > Competence Manager  | google-Links verbinden falsch Hallo karl_k,
__________________also entweder bin ich blind oder dein Hijacklog ist wirklich sauber!? Mach mal folgendes: 1.) einen kompletten eScan, Anleitung in meiner Signatur. 2.) F-Secure Blacklight scannen lassen und den bericht genau wie bei eScan posten, sowie... 3.) öffne mit dem EDITOR folgende Datei: c:\Windows\System32\Drivers\ETC\hosts , poste dann was dort drinnen steht Gruß Daniel
__________________ |
|
28.05.2006, 21:15
| #3 |
| | google-Links verbinden falsch Habe hier mal die Datei hots:
__________________# Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 localhost escan hat auch was gefunden, ist aber noch nicht fertig, wenn´s mal wieder länger dauert..... Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "helpexpress Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken. kompletes logfile folgt noch. |
|
28.05.2006, 22:02
| #4 |
| | google-Links verbinden falsch Hier noch das log von blacklight 05/28/06 22:30:17 [Info]: BlackLight Engine 1.0.36 initialized 05/28/06 22:30:17 [Info]: OS: 5.1 build 2600 (Service Pack 2) 05/28/06 22:30:18 [Note]: 7019 4 05/28/06 22:30:18 [Note]: 7005 0 05/28/06 22:57:03 [Note]: 7006 0 05/28/06 22:57:03 [Note]: 7011 2292 05/28/06 22:57:03 [Note]: 7026 0 05/28/06 22:57:03 [Note]: 7026 0 05/28/06 22:57:07 [Note]: FSRAW library version 1.7.1015 05/28/06 22:57:15 [Info]: Hidden file: c:\Programme\CyberLink\PowerDVD\cltest.exe 05/28/06 22:57:15 [Note]: 10002 1 05/28/06 22:57:22 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\TCPTEST. 05/28/06 22:57:22 [Note]: 10002 1 05/28/06 22:57:30 [Info]: Hidden file: c:\Programme\T-Online\DSL-Manager\TDSLTest.exe 05/28/06 22:57:31 [Note]: 10002 1 05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe 05/28/06 22:57:58 [Note]: 10002 1 05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe 05/28/06 22:57:58 [Note]: 10002 1 05/28/06 22:57:59 [Info]: Hidden file: c:\WINDOWS\system32\cspfj.exe 05/28/06 22:57:59 [Note]: 7002 32 05/28/06 22:57:59 [Note]: 7003 1 05/28/06 22:57:59 [Note]: 10002 1 05/28/06 22:58:00 [Info]: Hidden file: c:\WINDOWS\system32\dmckb.exe 05/28/06 22:58:00 [Note]: 7002 32 05/28/06 22:58:00 [Note]: 7003 1 05/28/06 22:58:00 [Note]: 10002 1 05/28/06 22:58:19 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe 05/28/06 22:58:19 [Note]: 10002 1 05/28/06 22:58:58 [Note]: 7007 0 Das Log von mwva ist ja einige Seiten lang, die 4 obigen Objekte hat er ja gefunden. Was soll ich jetzt tun? |
|
28.05.2006, 22:13
| #5 |
  | google-Links verbinden falsch Hallo, du hast einen Trojaner auf dem system der Rootkittechnologie verwendet, wenn du 100% sicher gehen willst solltest du das System neu aufsetzen. Falls du dich doch für eine Bereinigung entscheidest mache folgendes: Nochmal mit Blacklight scannen. Dann bei "Step 2 Cleaning" mit der Rename Funktion folgende Dateien umbenennen: 05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe 05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe 05/28/06 22:57:59 [Info]: Hidden file: c:\WINDOWS\system32\cspfj.exe 05/28/06 22:58:00 [Info]: Hidden file: c:\WINDOWS\system32\dmckb.exe diese tauchen dann folgendermaßen im system32 Ordner auf: c:\WINDOWS\system32\filesafer23.exe.ren c:\WINDOWS\system32\pppcgm.exe.ren c:\WINDOWS\system32\cspfj.exe.ren c:\WINDOWS\system32\dmckb.exe.ren Diese löschst du dann und berichtest ob die Umleitungen weg sind. Grüße Wildone |
|
29.05.2006, 13:11
| #6 |
| | google-Links verbinden falsch Super, danke! Endlich funktioniert es wieder. Habe es so gemacht wie beschrieben, die 4 dateien umbenannt und dann gelöscht. Oder was meint Ihr, ein Neuaufsetzen des Systems muss nicht mehr sein. Gruß Karl |
|
29.05.2006, 13:16
| #7 | |
| | google-Links verbinden falsch Hallo, Zitat:
Jetzt noch mal einen Halbsatz zur Vorsorge, zukünftig keine Software aus unseriösen Quellen (P2P, Crackseiten, Mailanhänge usw.) mehr ausführen. Außerdem das System (Browser, Java usw.) immer aktuell halten und einen sicher konfigureirten Browser verwenden. Mehr zum Thema Systemsicherheit hier. Grüße Wildone |
|
30.05.2006, 12:25
| #8 |
| | google-Links verbinden falsch Danke für die Hinweise, werde ich befolgen. Noch eine Frage: Wenn ich escan nochmal drüber laufen lasse findet er immer noch diese Hinweise: Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "helpexpress Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken. Läuft aber alles einwandfrei. Die anderen Viren- und Spywereprogramme melden nichts mehr. Soll ich noch etwas unternehmen? Gruß Karl |
|
30.05.2006, 12:28
| #9 |
| | google-Links verbinden falsch Hallo, Escan ist für seine Paranoia bekannt. Untersuche das System mal mit Ewido, mal schauen was der noch findet. Wegen dem "smitfraud Browser Hijacker" könntest du mal mit Smitfraudfix schauen ob der etwas findet, bzw. entfernt. Grüße Wildone |
|
| Themen zu google-Links verbinden falsch |
| ad-aware, adobe, antivir, antivirus, avira, bho, computer, cyberlink, dns-server, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, microsoft, mozilla, mozilla firefox, notebook, nvidia, problem, programme, rundll, software, system, t-online, unknown file in winsock lsp, windows, windows xp |
Linear-Darstellung
