hallo,
ich habe seit kurzem das selbe problem wie einige hier im forum, daß google in den ersten einträgen auf kommerzielle seiten wie ebay verlinkt (bei allen suchbegriffen!)!
bin auch neu beim problem hijacking. habe mich aber informiert, das ein log-file von HijackThis wohl hilfreich bei der problemfindung ist. welche einträge können fixiert werden? hier das aktuelle file:

Logfile of HijackThis v1.99.1
Scan saved at 11:56:40, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\hijackthis\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Dokumente und Einstellungen\***\Eigene Dateien\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [Festoon] C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe /BOOT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: movie-XL.lnk = C:\Programme\movieXL\StartJP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOpen Silent-Fan AP.lnk = C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport downloaden - C:\Dokumente und Einstellungen\***\Eigene Dateien\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport downloaden - C:\Dokumente und Einstellungen\***\Eigene Dateien\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{52158989-9CEE-4973-A6C3-8E83F04E1357}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B7E2A9-C747-45A6-BBD6-1AAA25D9DB56}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD8FF6D-11DC-454B-97B7-CA7371971CB7}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C092D3-5020-4D65-9904-57A0F6AFADA9}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS2\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



wenn noch irgendwelche informationen gebraucht werden sagt bescheid,
vielen dank erstmal

pepe

Hallo,
scanne dein System mal mit F-Secure Blacklight und poste das Log (wird automatisch im selben Pfad erstellt, fsbl**.txt).


Grüße Wildone

log-file von f-secure:

06/06/06 13:17:44 [Info]: BlackLight Engine 1.0.37 initialized
06/06/06 13:17:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/06/06 13:17:44 [Note]: 7019 4
06/06/06 13:17:44 [Note]: 7005 0
06/06/06 13:17:49 [Note]: 7006 0
06/06/06 13:17:49 [Note]: 7011 588
06/06/06 13:17:50 [Note]: 7026 0
06/06/06 13:17:50 [Note]: 7026 0
06/06/06 13:17:53 [Note]: FSRAW library version 1.7.1015
06/06/06 13:18:01 [Info]: Hidden file: c:\Programme\CyberLink DVD Solution\PowerDVD\cltest.exe
06/06/06 13:18:01 [Note]: 10002 1
06/06/06 13:18:11 [Info]: Hidden file: c:\WINDOWS\system32\dmfns.exe
06/06/06 13:18:11 [Note]: 7002 32
06/06/06 13:18:11 [Note]: 7003 1
06/06/06 13:18:11 [Note]: 10002 1
06/06/06 13:18:12 [Info]: Hidden file: c:\WINDOWS\system32\kilacln.exe
06/06/06 13:18:12 [Note]: 10002 1
06/06/06 13:18:12 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
06/06/06 13:18:12 [Note]: 10002 1
06/06/06 13:18:13 [Info]: Hidden file: c:\WINDOWS\system32\howiper.exe
06/06/06 13:18:13 [Note]: 10002 1
06/06/06 13:18:14 [Info]: Hidden file: c:\WINDOWS\system32\sphlp32.exe
06/06/06 13:18:43 [Note]: 7002 5
06/06/06 13:18:43 [Note]: 7003 1
06/06/06 13:18:43 [Note]: 10002 1
06/06/06 13:18:44 [Info]: Hidden file: c:\WINDOWS\system32\csweq.exe
06/06/06 13:18:44 [Note]: 7002 32
06/06/06 13:18:44 [Note]: 7003 1
06/06/06 13:18:44 [Note]: 10002 1
06/06/06 13:19:04 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
06/06/06 13:19:04 [Note]: 10002 1
06/06/06 13:19:07 [Note]: 2000 1006
06/06/06 13:24:31 [Note]: 7007 0

während des f-secure scans hat Antivir noch diesen trojaner gefunden "TR/Click.526" (?) zugriff wurde verweigert.

pepe

hab grade bemerkt karl k hat im gleichen thema ("google-Links verbinden falsch") ein ähnliches problem. die versteckten dateien, die durch f-secure gefunden wurden scheinen dieselben zu sein?!

Hallo,
benenne mit Blacklight (bei "Step 2 Cleaning" mit der renamefunktion) folgende Dateien um:

c:\WINDOWS\system32\dmfns.exe
c:\WINDOWS\system32\kilacln.exe
c:\WINDOWS\system32\pppcgm.exe
c:\WINDOWS\system32\howiper.exe
c:\WINDOWS\system32\sphlp32.exe
c:\WINDOWS\system32\csweq.exe

diese tauchen dann auch im Explorer auf, als

c:\WINDOWS\system32\dmfns.exe.ren
c:\WINDOWS\system32\kilacln.exe.ren
c:\WINDOWS\system32\pppcgm.exe.ren
c:\WINDOWS\system32\howiper.exe.ren
c:\WINDOWS\system32\sphlp32.exe.ren
c:\WINDOWS\system32\csweq.exe.ren

die Dateien löschst du dann.

Dann fixt (Hakendavor und auf "fix checked") du folgende Einträge mit HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{52158989-9CEE-4973-A6C3-8E83F04E1357}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B7E2A9-C747-45A6-BBD6-1AAA25D9DB56}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD8FF6D-11DC-454B-97B7-CA7371971CB7}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C092D3-5020-4D65-9904-57A0F6AFADA9}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS2\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67

und postest danach ein neues HijackThis Log.


Grüße Wildone

ok, durchgeführt, hier das neue log-file:

Logfile of HijackThis v1.99.1
Scan saved at 14:06:43, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [Festoon] C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe /BOOT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [dmfns.exe] C:\WINDOWS\system32\dmfns.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: movie-XL.lnk = C:\Programme\movieXL\StartJP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOpen Silent-Fan AP.lnk = C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport downloaden - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport downloaden - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

pepe

Hallo,
fixe auch noch folgende Einträge:
O4 - HKLM\..\Run: [dmfns.exe] C:\WINDOWS\system32\dmfns.exe
wenn nicht bewußt so eingerichtet auch alle O15 Einträge.

Ansonsten sollte es das gewesen sein. Die Umleitungen sind jetzt weg, oder?
Zukünftig keine Cracks oder sonstige Programme von unseriösen Quellen (P2P, Mailanhänge...) ausführen. Sicherheitshalber solltest du auch deine Passwörter ändern, es ist möglich, dass diese übermittelt wurden.


Grüße Wildone

super das scheint wieder zu laufen! was heißen denn diese O15 einträge? Das der explorer diese "schreibfehler" erkennt?

sonst schonmal vielen dank, danke das es euch gibt!

pepe

Hallo,
die O15 Einträge sind dafür da bewußt bestimmte Protokolle(http, ftp...) in einer gesonderten Sicherheitszone laufen zu lassen. Wenn du das nicht so eingestellt hast solltest du sie fixen.
Hier mal noch ein Tipp wie der IE eingestellt sein sollte um mit ihm sicherer unterwegs zu sein.


Grüße Wildone

danke für die hilfe

pepe

Hi,
ich hatte das selbe Problem mit der falschen Verlinkung und habe deshalb die gleichen Schritte wie oben beschrieben befolgt. Allerdings waren die vesteckten Dateien nicht alle gleich.

log-file Blacklight:

06/20/06 16:10:08 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 16:10:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 16:10:08 [Note]: 7019 4
06/20/06 16:10:08 [Note]: 7005 0
06/20/06 16:10:12 [Note]: 7006 0
06/20/06 16:10:12 [Note]: 7011 472
06/20/06 16:10:12 [Note]: 7026 0
06/20/06 16:10:12 [Note]: 7026 0
06/20/06 16:10:19 [Note]: FSRAW library version 1.7.1015
06/20/06 16:10:22 [Info]: Hidden file: c:\CCStudio_v3.1\cc\bin\evmdsktest.exe
06/20/06 16:10:22 [Note]: 10002 1
06/20/06 16:14:18 [Info]: Hidden file: c:\WINDOWS\system32\kilacln.exe
06/20/06 16:14:40 [Note]: 10002 1
06/20/06 16:14:43 [Info]: Hidden file: c:\WINDOWS\system32\dmxxk.exe
06/20/06 16:14:43 [Note]: 7002 32
06/20/06 16:14:43 [Note]: 7003 1
06/20/06 16:14:43 [Note]: 10002 1
06/20/06 16:14:45 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
06/20/06 16:14:45 [Note]: 10002 1
06/20/06 16:14:47 [Info]: Hidden file: c:\WINDOWS\system32\csfgy.exe
06/20/06 16:14:47 [Note]: 7002 32
06/20/06 16:14:47 [Note]: 7003 1
06/20/06 16:14:47 [Note]: 10002 1
06/20/06 16:15:46 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
06/20/06 16:15:46 [Note]: 10002 1
06/20/06 16:32:12 [Note]: 7007 0


Ich habe die Dateien kilacln.exe, dmxxk.exe, pppcgm.exe, pppcgm. exe und csfgy.exe umbenannt und gelöscht. Die Datei evmdsktest.exe habe ich nicht gelöscht, da sie zu einer Entwicklungsumgebung für DSPs ist und denke, dass die da bleiben soll.
Anschließend habe ich mit HijackThis die Einträge mit O17 gefixt, also die mit den IP Adressen aus der Ukraine und auch den Eintrag unter O4 und der Datei dmxxk.exe. (Ich bin zur Zeit in Indien, denke aber dass ich auch von hier aus normalerweise nicht über einen ukrainischen Server gehe).
Nach einem Neustart habe ich die beiden Programme nochmal durchlaufen lassen. Seltsamerweise findet Blacklight jetzt nicht mal mehr die nicht gelöschten Dateien. Ist das normal?
Die Probleme unter google sind jetzt weg, jedoch bemerkte ich nach dem HiJackThis, dass ich immer noch über den ukrainischen Server ins Netz gehe. Was kann noch die Ursache dafür sein?

Hier der aktuelle HiJack-log

Logfile of HijackThis v1.99.1
Scan saved at 17:02:45, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\DAP\DAP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\PerSono\perstray.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Timo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111292356781
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2CAE57F-E899-4B2F-96FD-65254B50A428}: NameServer = 85.255.115.43 85.255.112.185
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

Hi nochmal,
ich hab das Problem gelöst. Die IPs waren noch als DNS Server im Protokoll. Hab sie gelöscht und auf automatisch beziehen gestellt.

Hallo, bitte helft mir, ich habe das gleiche Problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]