Ein hoffnungsvolles Hallo an alle UMLEITUNGSGENERVTEN!Seit etwa 3 Monaten wird meine Google-Suche sporadisch zu einer Website mit dem Namen:spywareagency.com umgeleitet.Merkwürdig ist aber,dass es diese Seite lt.Google-Suche gar nicht gibt!Hijack-scan und regedit.sowie alle einschlägigen Viren-und Spywarescanner finden auch nicht's.
Kennt jemand das Problem?
Danke im Voraus...

Poste bitte das komplette Logfile.

Was ich mal hatte, war das der Router ab und an ma sich dazwischen gefunkt hatte *sitecom*. und man statt auf die gewuenschte Seite auf www.sitecom.com gelandet ist....

hab mir dann die neue firmware fuer den router gezogen und seitdem is Ruhe

Hallo Sonybuddy,
das mag in deinem Fall vielleicht geholfen haben,was ich aber noch bezweifle...
Hat mit dem Problem von Ursulaner nichts zu tun.Ohne Kenntnis seines Log`s ist das nur Raten,Weissagen oder Hellsehen...
Irrlicht

es hat geholfen, hab bei sitecom direkt angefragt, was der quatsch soll, und die haben mir dann prompt ne antwort geschickt mir direktlink auf die neue firmware :

Hallo Freunde,hier mein LOG(wenn's was bringt!?)Mist,habe das Hijack.Log unter -eigene Dateien gespeichert-aber bei-Anhänge verwalten-hochladen bekomme ich eine Fehlermeldung.(mache das auch das erste mal)gebt mir doch bitte den Hinweis wie ich mein Log poste.Danke an alle!

Zitat:

Zitat von Ursulaner

gebt mir doch bitte den Hinweis wie ich mein Log poste.

Nachdem du den Scan gemacht hats, sollte sich eine Text Datei öffnen, einfach alles Makieren, Rechte Maustaste, Kopieren und hier in einer Antwort einfügen.
Ganz einfach!

Logfile of HijackThis v1.99.1
Scan saved at 11:08:18, on 23.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
DANKE MELLOSUN
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Telefonica\Kit ADSL USB\DSLMON.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\sabi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Consola KIT ADSL.lnk = C:\Programme\Telefonica\Kit ADSL USB\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147125262522
O17 - HKLM\System\CCS\Services\Tcpip\..\{2447AC71-7C56-4F96-865F-3FC976F10168}: NameServer = 85.255.115.116 85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{2447AC71-7C56-4F96-865F-3FC976F10168}: NameServer = 85.255.115.116 85.255.112.169
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 8.exe


Bitte mal bei Jotti oder Virustotal auswerten lassen. Finde unterschiedliche Meinungen, könnte der Swissors sein.
Oder sollte ich mich da täuschen?


Gruß Mellosun

Hallo,

Zitat:

Zitat von Mellosun

Oder sollte ich mich da täuschen?

denke schon

Das Problem wird der ukrainische Provider sein.
Blacklight downloaden und das Logfile hier posten.

Gruß

Schrulli

und nu'?bin fast am Verzweifeln,kriege weiterhin bei Google nur 50% der Seiten die ich auch haben will,ansonsten:Jottis Malwarescan 2.99-TRANSITION_TO_3.00-R1

Datei, die hochgeladen und gescannt werden soll:
Dienst
Datei: hijackthis.log
Auslastung: 0% 100%

Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Powered by

Disclaimer
Durch das Hochladen von Dateien auf diesen Server stimmen Sie zu, dass ihre Dateien lokal gespeichert werden.

Ferner: Dieser Dienst ist keineswegs hundertprozentig sicher. Falls der Scanner ein 'OK' gibt, bedeutet das nicht notwendigerweise, dass die Datei sauber ist. Es könnte ein völlig neuer Virus auf freiem Fuß sein! Verlassen Sie sich niemals auf ein einzelnes Produkt alleine, selbst auf diesen Dienst nicht, obwohl er mehrere Produkte einsetzt. Für Schäden, die durch diesen nichtkommerziellen Online-Dienst verursacht wurden, bin ich daher nicht verantwortlich, noch kann ich dafür verantwortlich gemacht werden.

Ich bin mir auch über die Folgen einer Einrichtung wie dieser im klaren. Ich bin mir sicher, dass diese ganze Geschichte keinesfalls wissenschaftlich korrekt ist, da dies ein vollautomatischer Dienst ist (obwohl eine manuelle Korrektur möglich ist). Ich bin mir zum Beispiel bewußt, dass "False Positives" (ein Fehlalarm, bei dem eine saubere Datei irrtümlich als Virus detektiert wird) auftreten könnten, trotz der Anstrengungen, diesen proaktiv zu begegnen. Ich halte das nicht für eine große Sache, also schicken Sie mir bitte keine Emails über solche Vorkommnisse. Dies ist ein einfacher Onlinescanner, und nicht die Universität von Magdeburg.

Die Virensignaturen werden jede Stunde aktualisiert. Das Dateigrößenlimit beträgt 15 MB pro Datei.
DIE MISSBRÄUCHLICHE NUTZUNG DIESES DIENSTES (EINSCHLIESSLICH DES HOCHLADENS ABSICHTLICH MODIFIZIERTER -GEPACKTER/VERSCHLÜSSELTER/BYTESWAPPED- VERSIONEN DER GLEICHEN DATEI) HAT ZUR FOLGE, DASS IHRE IP GESPERRT WIRD.

Bitte fordern Sie keine dieser Viren an, wenn Sie nicht für Hersteller von Anti-Viren-Software arbeiten. Viren sind nicht zum Tauschen da.

Das Scannen kann eine Weile dauern, da mehrere Scanner benutzt werden. Zudem nutzen einige Scanner eine sehr hohe Heuristikstufe (was zeitaufwendig ist). Die benutzten Scanner sind Linuxversionen, und es können sich (oder auch nicht) Unterschiede zu Windowsscannern ergeben. Noch eine Anmerkung: manche Scanner detektieren nur einen Virus, wenn Archive mit mehreren Malwaredateien gescannt werden.

Gefördert durch Spenden (in willkürlicher Reihenfolge) von: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, und einigen Leuten, die es vorziehen, anonym zu bleiben... Vielen Dank an alle!

Statistik
Zuletzt gefundene Malware war important-details.zip, gefunden von:

Scanner Name der Malware
AntiVir Worm/Mytob.bi.2.1
ArcaVir Worm.Mytob.Bi
Avast Win32:Mytob-LD
AVG Antivirus I-Worm/Mytob.YK
BitDefender Win32.Worm.Mytob.BI
ClamAV Worm.Mytob.HX
Dr.Web BackDoor.DarkMoon.66
F-Prot Antivirus W32/Mytob.KR@mm
Fortinet W32/MyTob.KR@mm
Kaspersky Anti-Virus Net-Worm.Win32.Mytob.bi
NOD32 Win32/Mytob.EN
Norman Virus Control W32/Mytob.OF
UNA X
VirusBuster I-Worm.Mytob.LB
VBA32 Net-Worm.Win32.Mytob.bi


Es steht Ihnen frei, diese automatisch generierten, ungültigen Statistiken (falsch) zu interpretieren. Für Vergleichstests von Anti-Viren Software, besuchen Sie AV comparatives.



Häufig gestellte Fragen (FAQ) - Feedback/Kommentare/Fragen/Fehlalarme (bitte ausschließlich auf Englisch)




Copyright (C) Jordi Bosveld 2004-2005

Deutsche Übersetzung von


Schrott!!!

Hallo,

ich weiß ja nicht, was Du gerade gemacht hast und warum Du das HJt log gesannt hast, lade Dir Blacklight und poste das Log hier.

Gruß

Schrulli

Hey Schrulli,
habe mit Blacklight onlinescan gemacht,da gab es aber kein Log,sondern zum Schluss die Aussage:keine Viren gefunden!
Aber sag' mal,wo vermutest Du einen ukrainischen Provider?

Hallo,

Zitat:

85.255.115.116 85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{2447AC71-7C56-4F96-865F-3FC976F10168}: NameServer = 85.255.115.116 85.255.112.169

da.
Lade Dir Rootkit Revealer und poste dessen Log hier.

Gruß

Schrulli

Hallo Ursulaner,

Zitat:

wo vermutest Du einen ukrainischen Provider?

Eine Vermutung ist das schon lange nicht mehr.....
Eine unumstößliche tatsache trifft es besser
Aber schau selbst mal.....hier ist die Abfrageseite :
http://www.iks-jena.de/cgi-bin/whois
Auf der Seite gibst du die Nummer ein die dir Schrulli gezeigt hat.Aber nur eine,achte auf das Komma dazwischen.
Als Ergebnis sollte die Firma "Imhoster Company" rauskommen,wohnhaft sind sie in der Ukraine.Steht alles dabei
:aplaus: Werneeeer,die Russen kommen :aplaus:
Irrlicht