Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Google-hijack

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.03.2007, 16:41   #1
Max24
 
Google-hijack - Standard

Google-hijack



Guten Tag!
Meine Google-Ergebnisse werden immer wieder umgeleitet. Ich hab mich natürlich schon in anderen Googel-threads umgesehen, konnte aber noch keine Gemeinsamkeiten finden. Sonst funktioniert alles wie gewohnt. Bin leider recht unerfahren was diese Dinge angeht.
Vielen Dank schon mal, wenn sich jemand die Zeit nimmt.


Logfile of HijackThis v1.99.1
Scan saved at 16:19:20, on 11.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\MT\MT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\dokumente und einstellungen\Mäx\quicktime\PictureViewer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.msn.com/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.msn.com/spbasic.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Dokumente und Einstellungen\Mäx\GetRight\xx2gr.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\dokumente und einstellungen\mäx\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\MX2FE9~1\ICQ\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\MX2FE9~1\ICQ\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36669D80-D50C-45FA-9675-2A46C5698A6E} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/13cd6eedc0d4fb734519/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136614600500
O17 - HKLM\System\CCS\Services\Tcpip\..\{11F18477-BBE3-4254-9754-45511D399457}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{168A4CDB-BF4C-4B91-8BE2-E265F26B7E89}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B98A37-F6F7-4367-BB02-09490DCA59DB}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{5278FCC9-34B9-4036-ADF1-9923EFCE0348}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EFA49E7-F583-473E-8E73-BB9AC0D8C646}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9290719-CD77-439D-9507-010C74302A40}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBBF0F98-2DAD-48FA-A1D5-F411D7924758}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.143
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.143
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Alt 11.03.2007, 17:21   #2
Damon Ridenow
 
Google-hijack - Standard

Google-hijack



Zitat:
Zitat von Max24 Beitrag anzeigen
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Dokumente und Einstellungen\Mäx\GetRight\xx2gr.dll
Das piekst mir schon sehr ins Auge. Lass das doch bitte bei http://www.virustotal.com/ scannen.

Zitat:
Zitat von Max24 Beitrag anzeigen
O17 - HKLM\System\CCS\Services\Tcpip\..\{11F18477-BBE3-4254-9754-45511D399457}: NameServer = 85.255.114.108,85.255.112.143
Gibt es einen bestimmten Grund, warum der NameServer in die Ukraine will?
__________________


Geändert von Damon Ridenow (11.03.2007 um 18:01 Uhr)

Alt 11.03.2007, 17:27   #3
irrlicht
 
Google-hijack - Standard

Google-hijack



Hallo,
mal kurz einmisch....

Wenn der Threadersteller und "Damon Ridenow" mal hier schauen möchten...

http://www.trojaner-board.de/28388-a...ntfernung.html
Zu dem O2-BHO läßt sich sicherlich noch der passende O4-Run Eintrag finden...
Irrlicht
__________________

Alt 11.03.2007, 17:46   #4
Damon Ridenow
 
Google-hijack - Standard

Google-hijack



Zitat:
Zitat von irrlicht Beitrag anzeigen
Zu dem O2-BHO läßt sich sicherlich noch der passende O4-Run Eintrag finden...
Nen passenden O4 Eintrag find ich nicht unbedingt, könnt aber daran liegen, dass der O2-Eintrag im einen und der O8 Eintrag im anderen Augen piekst... der da:

O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm

Alt 11.03.2007, 17:50   #5
Damon Ridenow
 
Google-hijack - Standard

Google-hijack



Zitat:
Zitat von Max24 Beitrag anzeigen
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\MT\MT.EXE
Auf den zweiten Blick frag ich mich auch, was das hier ist..... ist ein Scan ok?


Alt 11.03.2007, 18:29   #6
Max24
 
Google-hijack - Standard

Google-hijack



Wow, na das ging ja schon mal ruckzuck mit euren antworten! Herzlichen Dank schon mal!
Also der scan von der dll. hat mal nichts ergeben:

STATUS: FINISHEDComplete scanning result of "xx2gr.dll", received in VirusTotal at 03.11.2007, 18:04:13 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.10.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.11.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 No threat detected
Fortinet 2.85.0.0 03.11.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 no virus found
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 no virus found
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.10.2007 no virus found


Aditional Information
File size: 233472 bytes
MD5: 06ee81c0abbcfcd09ed3b3a9798871d3
SHA1: ac11bcd12336389de6962108a0541850b44aee3f
Bit9 info: Bit9 FileAdvisor - Search Results


Die MT.exe scheint auch sauber zu sein (Keine ahnung was das für ein prog is...)

STATUS: FINISHEDComplete scanning result of "MT.exe", received in VirusTotal at 03.11.2007, 18:15:08 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.10.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.11.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 no virus found
Fortinet 2.85.0.0 03.11.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 no virus found
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 no virus found
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.10.2007 no virus found


Aditional Information
File size: 343552 bytes
MD5: 39ca6943c552c2ff7040d14c54099828
SHA1: 7df20d62eff9e98dd1675d89ff4e20b35f3fade2
packers: ASPACK
packers: Aspack


Und so auch die DitExp.exe.

STATUS: FINISHEDComplete scanning result of "DitExp.exe", received in VirusTotal at 03.11.2007, 18:20:31 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.10.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.11.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 no virus found
Fortinet 2.85.0.0 03.11.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 no virus found
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 no virus found
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.10.2007 no virus found


Aditional Information
File size: 65536 bytes
MD5: ecea636e0d1bc27818da909dfeb70733
SHA1: add3559c2e18cfd64e792a8606e582554d4f8b79



Was hat es mit diesem Russen-Server auf sich? Gehört der zu einem Programm?
Vielen Dank für die Hilfe!
Max

EDIT: Sollte ich die Dateien löschen auch wenn sie nichts ergeben haben??

Alt 11.03.2007, 18:34   #7
Max24
 
Google-hijack - Standard

Google-hijack



Zitat:
Zitat von Damon Ridenow Beitrag anzeigen
Nen passenden O4 Eintrag find ich nicht unbedingt, könnt aber daran liegen, dass der O2-Eintrag im einen und der O8 Eintrag im anderen Augen piekst... der da:

O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm
Interessant finde ich, daß ich in dem "Balkan Beat" Ordner gar keinen GetRight Unterordner habe....

Alt 11.03.2007, 19:26   #8
Rene-gad
 
Google-hijack - Standard

Google-hijack



@Max24
Zitat:
Was hat es mit diesem Russen-Server auf sich?
Lassen wir uns noch mal lesen:
Zitat:
Zitat von Damon Ridenow
warum der NameServer in die Ukraine will?
Wenn du Russland von der Ukraine nicht unterscheiden kannst, gibt es vlt. keinen Sinn, den Thread weiter zu führen .
Zitat:
Gehört der zu einem Programm?
Ja. Zur Malware, die du eingefangen hast

Alt 11.03.2007, 20:15   #9
Max24
 
Google-hijack - Standard

Google-hijack



Ja natürlich sollte man es jetzt politisch korrekt trennen...war jetzt auch nicht unbedingt negativ von mir gemeint.

Alt 12.03.2007, 04:36   #10
nochdigger
 
Google-hijack - Standard

Google-hijack



Hallo

lasse bitte auch Blacklight dein System überprüfen und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

Alt 12.03.2007, 18:00   #11
Max24
 
Google-hijack - Standard

Google-hijack



Danke......1 Datei wurde gefunden.
Der Log:

03/12/07 17:35:56 [Info]: BlackLight Engine 1.0.55 initialized
03/12/07 17:35:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/12/07 17:35:56 [Note]: 7019 4
03/12/07 17:35:56 [Note]: 7005 0
03/12/07 17:36:22 [Note]: 7006 0
03/12/07 17:36:22 [Note]: 7011 2468
03/12/07 17:36:23 [Note]: 7026 0
03/12/07 17:36:23 [Note]: 7026 0
03/12/07 17:36:39 [Note]: FSRAW library version 1.7.1021
03/12/07 17:51:49 [Info]: Hidden file: c:\WINDOWS\system32\kdkhx.exe
03/12/07 17:51:49 [Note]: 7002 32
03/12/07 17:51:49 [Note]: 7003 1
03/12/07 17:51:49 [Note]: 10002 1
03/12/07 17:55:45 [Note]: 2000 1012
03/12/07 17:55:45 [Note]: 2000 1012


Soll ich das Programm weiter ausführen und die Datei bereinigen lassen?

Alt 12.03.2007, 18:41   #12
nochdigger
 
Google-hijack - Standard

Google-hijack



Hallo

benenne bitte die versteckt laufende Datei mit Blacklight um und lasse sie anschließend hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Alt 12.03.2007, 20:00   #13
Max24
 
Google-hijack - Standard

Google-hijack



So...hab jetzt mal nur bei Virustotal durchlaufen lassen und die sind fündig geworden:

STATUS: FINISHEDComplete scanning result of "kdkhx.exe.ren", received in VirusTotal at 03.12.2007, 19:53:10 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.12.2007 TR/Dldr.DNSChanger.Gen
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.12.2007 Win32NSChanger-BA
AVG 7.5.0.447 03.12.2007 no virus found
BitDefender 7.2 03.12.2007 no virus found
CAT-QuickHeal 9.00 03.12.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 03.12.2007 no virus found
DrWeb 4.33 03.12.2007 no virus found
eSafe 7.0.14.0 03.12.2007 no virus found
eTrust-Vet 30.6.3472 03.12.2007 no virus found
Ewido 4.0 03.12.2007 no virus found
FileAdvisor 1 03.12.2007 no virus found
Fortinet 2.85.0.0 03.12.2007 suspicious
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.12.2007 no virus found
Ikarus T3.1.1.3 03.12.2007 Trojan.Win32.DNSChanger.hg
Kaspersky 4.0.2.24 03.12.2007 no virus found
McAfee 4982 03.12.2007 no virus found
Microsoft 1.2306 03.12.2007 no virus found
NOD32v2 2109 03.12.2007 no virus found
Norman 5.80.02 03.12.2007 W32/Suspicious_C.gen
Panda 9.0.0.4 03.12.2007 Suspicious file
Prevx1 V2 03.12.2007 Malicious
Sophos 4.15.0 03.12.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 VIPRE.Suspicious
Symantec 10 03.12.2007 no virus found
TheHacker 6.1.6.074 03.12.2007 no virus found
UNA 1.83 03.12.2007 no virus found
VBA32 3.11.2 03.12.2007 no virus found
VirusBuster 4.3.19:9 03.12.2007 Trojan.DNSChanger.MU


Aditional Information
File size: 63472 bytes
MD5: 2e2cec6a5f04c88edf2c9821dcf10d8a
SHA1: b13d095a1e6e6941baa60302cf0b30e9923cccef
packers: PECRYPT
Prevx info: 01.EXE Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


Der smiley ist natürlich nicht von mir...

Alt 13.03.2007, 19:49   #14
Max24
 
Google-hijack - Standard

Google-hijack



Ich lösche jetzt die Datei mit dem von PREVX angebotenem Programm ja?

Alt 13.03.2007, 20:15   #15
irrlicht
 
Google-hijack - Standard

Google-hijack



Hallo,
schau mal hier,wie die Datei entfernt werden kann :http://www.trojaner-board.de/37030-i...gle-hilfe.html

Ich will aber nicht verhehlen ,das es mit einem Risoko behaftet ist,ein Rotkit zu entfernen und zu glauben es wäre alles in Butter.....
Wäre es mein Rechner und ich hätte bei EBay ein Passwort und würde Onlinebanking machen.....
Ich würde auf der Stelle neu aufsetzen,allein um die absolute Gewissheit zu haben,alleiniger Boss auf meiner Kiste zu sein....
Irrlicht

Antwort

Themen zu Google-hijack
adobe, bho, browser, computer, dateien, dll, download, einstellungen, excel, explorer, hijack, hijackthis, icq, immer wieder, internet, internet explorer, internet security, microsoft, musik, programme, rundll, security, settings manager, software, symantec, system, windows, windows xp



Ähnliche Themen: Google-hijack


  1. Browser Google Hijack isearchinfo + Werbeeinblendungen und Linkumleitungen
    Log-Analyse und Auswertung - 24.02.2013 (3)
  2. Google Redirect Virus bzw. Google Hijack + PC Langsam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (2)
  3. Browser Hijack: Firefox 9.0.1 leitet Google Suchergebnisse um
    Log-Analyse und Auswertung - 25.01.2012 (3)
  4. Weiterleitung zu Epoclick, Gomeo, google analytics, google websites, google anderer länder
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (6)
  5. Viren Hijack.Regedit und Hijack.TaskManager: Wie beheben?
    Log-Analyse und Auswertung - 14.11.2010 (5)
  6. Google Hijack - ich bekomm es nicht gelöscht
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (19)
  7. Google Hijack
    Log-Analyse und Auswertung - 13.07.2010 (2)
  8. Google und IExplorer öffnen Werbeseiten, AVir meldet Viren, HiJack funktioniert nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 28.04.2010 (26)
  9. antivir, hijack, spybot funktionieren nicht; von gmer.net/hijackthis.de auf google um
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (4)
  10. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  11. Spamweiterleitung bei Google, HiJack This tut´s nicht...äh...Hilfe?!
    Log-Analyse und Auswertung - 10.07.2009 (2)
  12. Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten
    Log-Analyse und Auswertung - 27.03.2009 (4)
  13. Google-Browser-Hijack
    Log-Analyse und Auswertung - 18.02.2009 (1)
  14. Google Weiterleitung bei Suchen (Browser-Hijack)
    Log-Analyse und Auswertung - 09.02.2009 (0)
  15. Google Links werden redirected, HiJAck-Log
    Log-Analyse und Auswertung - 04.10.2008 (6)
  16. Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (3)
  17. Firefox findet Google und Hotmail nicht mehr - Hijack!?!
    Plagegeister aller Art und deren Bekämpfung - 03.12.2004 (6)

Zum Thema Google-hijack - Guten Tag! Meine Google-Ergebnisse werden immer wieder umgeleitet. Ich hab mich natürlich schon in anderen Googel-threads umgesehen, konnte aber noch keine Gemeinsamkeiten finden. Sonst funktioniert alles wie gewohnt. Bin leider - Google-hijack...
Archiv
Du betrachtest: Google-hijack auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.