Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: google-Links verbinden falsch

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.05.2006, 21:03   #1
karl_k
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Hallo,

ich habe seit Tagen ein hartnäckiges Problem:
Bei einer Google-Suche verbinden die Links dann falsch. Meits Adultfriendfinder oder eine Suchmaschine. Dieses Problem habe ich nur mit IE6 mit firefox funktioniert es einwandfrei.
Habe bereits Ad-Aware, spybot und antivir ohne erfolg laufen lassen.
Bei den Netzwerkeinstellungen war plötzlich ein anderer DNS-Server eingestellt: 85.255.114.195. Diesen habe ich wieder richtig eingestellt. Aber die Umleitung ist immer noch aktiv.
Hier mein Highjack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:00:11, on 27.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Software\AntiVirus\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136827007078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136826994312
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp08.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{71646EA0-9FA1-471F-95FC-2BC70B077CCB}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Alt 28.05.2006, 21:27   #2
Sunny
Administrator
> Competence Manager
 

google-Links verbinden falsch - Standard

google-Links verbinden falsch



Hallo karl_k,

also entweder bin ich blind oder dein Hijacklog ist wirklich sauber!?

Mach mal folgendes:

1.) einen kompletten eScan, Anleitung in meiner Signatur.
2.) F-Secure Blacklight scannen lassen und den bericht genau wie bei eScan posten, sowie...
3.) öffne mit dem EDITOR folgende Datei: c:\Windows\System32\Drivers\ETC\hosts , poste dann was dort drinnen steht

Gruß
Daniel
__________________

__________________

Alt 28.05.2006, 22:15   #3
karl_k
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Habe hier mal die Datei hots:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
127.0.0.1 localhost

escan hat auch was gefunden, ist aber noch nicht fertig, wenn´s mal wieder länger dauert.....

Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "helpexpress Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.

kompletes logfile folgt noch.
__________________

Alt 28.05.2006, 23:02   #4
karl_k
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Hier noch das log von blacklight

05/28/06 22:30:17 [Info]: BlackLight Engine 1.0.36 initialized
05/28/06 22:30:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/28/06 22:30:18 [Note]: 7019 4
05/28/06 22:30:18 [Note]: 7005 0
05/28/06 22:57:03 [Note]: 7006 0
05/28/06 22:57:03 [Note]: 7011 2292
05/28/06 22:57:03 [Note]: 7026 0
05/28/06 22:57:03 [Note]: 7026 0
05/28/06 22:57:07 [Note]: FSRAW library version 1.7.1015
05/28/06 22:57:15 [Info]: Hidden file: c:\Programme\CyberLink\PowerDVD\cltest.exe
05/28/06 22:57:15 [Note]: 10002 1
05/28/06 22:57:22 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\TCPTEST.
05/28/06 22:57:22 [Note]: 10002 1
05/28/06 22:57:30 [Info]: Hidden file: c:\Programme\T-Online\DSL-Manager\TDSLTest.exe
05/28/06 22:57:31 [Note]: 10002 1
05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe
05/28/06 22:57:58 [Note]: 10002 1
05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
05/28/06 22:57:58 [Note]: 10002 1
05/28/06 22:57:59 [Info]: Hidden file: c:\WINDOWS\system32\cspfj.exe
05/28/06 22:57:59 [Note]: 7002 32
05/28/06 22:57:59 [Note]: 7003 1
05/28/06 22:57:59 [Note]: 10002 1
05/28/06 22:58:00 [Info]: Hidden file: c:\WINDOWS\system32\dmckb.exe
05/28/06 22:58:00 [Note]: 7002 32
05/28/06 22:58:00 [Note]: 7003 1
05/28/06 22:58:00 [Note]: 10002 1
05/28/06 22:58:19 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
05/28/06 22:58:19 [Note]: 10002 1
05/28/06 22:58:58 [Note]: 7007 0

Das Log von mwva ist ja einige Seiten lang, die 4 obigen Objekte hat er ja gefunden.

Was soll ich jetzt tun?

Alt 28.05.2006, 23:13   #5
Wildone
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Hallo,
du hast einen Trojaner auf dem system der Rootkittechnologie verwendet, wenn du 100% sicher gehen willst solltest du das System neu aufsetzen.

Falls du dich doch für eine Bereinigung entscheidest mache folgendes:

Nochmal mit Blacklight scannen. Dann bei "Step 2 Cleaning" mit der Rename Funktion folgende Dateien umbenennen:

05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe
05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
05/28/06 22:57:59 [Info]: Hidden file: c:\WINDOWS\system32\cspfj.exe
05/28/06 22:58:00 [Info]: Hidden file: c:\WINDOWS\system32\dmckb.exe

diese tauchen dann folgendermaßen im system32 Ordner auf:

c:\WINDOWS\system32\filesafer23.exe.ren
c:\WINDOWS\system32\pppcgm.exe.ren
c:\WINDOWS\system32\cspfj.exe.ren
c:\WINDOWS\system32\dmckb.exe.ren

Diese löschst du dann und berichtest ob die Umleitungen weg sind.


Grüße Wildone


Alt 29.05.2006, 14:11   #6
karl_k
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Super, danke!

Endlich funktioniert es wieder.
Habe es so gemacht wie beschrieben, die 4 dateien umbenannt und dann gelöscht.

Oder was meint Ihr, ein Neuaufsetzen des Systems muss nicht mehr sein.

Gruß
Karl

Alt 29.05.2006, 14:16   #7
Wildone
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Hallo,
Zitat:
Oder was meint Ihr, ein Neuaufsetzen des Systems muss nicht mehr sein.
Wie gesagt, 100%ig sicher sein kann man nicht, dass der Trojaner weg ist. Aber aller Erfahrung nach ist er es.

Jetzt noch mal einen Halbsatz zur Vorsorge, zukünftig keine Software aus unseriösen Quellen (P2P, Crackseiten, Mailanhänge usw.) mehr ausführen.
Außerdem das System (Browser, Java usw.) immer aktuell halten und einen sicher konfigureirten Browser verwenden.
Mehr zum Thema Systemsicherheit hier.


Grüße Wildone

Alt 30.05.2006, 13:25   #8
karl_k
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Danke für die Hinweise, werde ich befolgen.

Noch eine Frage:

Wenn ich escan nochmal drüber laufen lasse findet er immer noch diese Hinweise:
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "helpexpress Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.

Läuft aber alles einwandfrei. Die anderen Viren- und Spywereprogramme melden nichts mehr.
Soll ich noch etwas unternehmen?

Gruß
Karl

Alt 30.05.2006, 13:28   #9
Wildone
 
google-Links verbinden falsch - Standard

google-Links verbinden falsch



Hallo,
Escan ist für seine Paranoia bekannt. Untersuche das System mal mit Ewido, mal schauen was der noch findet. Wegen dem "smitfraud Browser Hijacker" könntest du mal mit Smitfraudfix schauen ob der etwas findet, bzw. entfernt.



Grüße Wildone

Antwort

Themen zu google-Links verbinden falsch
ad-aware, adobe, antivir, antivirus, avira, bho, computer, cyberlink, dns-server, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, microsoft, mozilla, mozilla firefox, notebook, nvidia, problem, programme, rundll, software, system, t-online, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: google-Links verbinden falsch


  1. Google links leiten falsch um .... (Werbeseiten, Pornoseiten....etc.)
    Log-Analyse und Auswertung - 19.10.2012 (7)
  2. Google Links leiten falsch (adseiten)
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (6)
  3. Google Links verweisen falsch
    Log-Analyse und Auswertung - 19.06.2011 (19)
  4. Google Links leiten des öfteren falsch weiter
    Log-Analyse und Auswertung - 17.08.2010 (12)
  5. google links werden falsch umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (7)
  6. Google verlinkt falsch bzw. andere links leiten falsch weiter!
    Log-Analyse und Auswertung - 01.02.2010 (17)
  7. Google Links falsch verlinkt -> Werbung
    Plagegeister aller Art und deren Bekämpfung - 07.08.2009 (4)
  8. Google-Links sind falsch
    Log-Analyse und Auswertung - 16.02.2009 (39)
  9. links in z.B. google-suche falsch
    Log-Analyse und Auswertung - 07.01.2009 (8)
  10. Google verlinkt alle links falsch
    Log-Analyse und Auswertung - 26.12.2008 (1)
  11. Google-Links falsch
    Plagegeister aller Art und deren Bekämpfung - 19.11.2008 (1)
  12. google-links falsch, symantec gesperrt
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (8)
  13. google links falsch, inet und Pc extrem langsam
    Mülltonne - 05.09.2008 (0)
  14. google links falsch - Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 11.12.2007 (1)
  15. Google-Links verbinden falsch
    Log-Analyse und Auswertung - 29.05.2007 (6)
  16. google links werden falsch verlinkt! Hijacking?
    Plagegeister aller Art und deren Bekämpfung - 21.04.2007 (12)
  17. Google links verbinden nicht richtig
    Plagegeister aller Art und deren Bekämpfung - 15.01.2007 (4)

Zum Thema google-Links verbinden falsch - Hallo, ich habe seit Tagen ein hartnäckiges Problem: Bei einer Google-Suche verbinden die Links dann falsch. Meits Adultfriendfinder oder eine Suchmaschine. Dieses Problem habe ich nur mit IE6 mit firefox - google-Links verbinden falsch...
Archiv
Du betrachtest: google-Links verbinden falsch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.