Hallo liebes TrojanerBoard-Team,

ich habe folgendes Problem und versuche es schon seit gestern zu beheben, aber die Beiträge in diversen Foren konnten mir nicht helfen:

Sobald ich mit dem Firefox in Google etwas suche, dann zeigt er mir die gesuchten Themen auch an, aber sobald ich auf den dazugehörigen Link klicke, öffnet er alles, nur nicht das was ich suche. Im Internetexplorer ist es seit heute ein ähnliches Problem. Oft öffnet sich dann entweder gar nichts, die google-Seite wird erneut angezeigt oder aber oft die Page einer bekannten Online-Auktionsfirma.

Ich weiß weder wie gefährlich dieser Virus/Trojaner oder wie auch immer ist, noch wie ich ihn vernünftig entfernt bekomme, ohne gleich den ganzen PC plattmachen zu müssen.

Zu den oben genannten Problemen, macht der PC alle gefühlten 2 Minuten ein seltsames kurzes "Brummgeräusch", dass vorher auch nicht da war.

Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:30:55, on 25.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\QuickTime\QTTask.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\rundll32.exe

J:\Tobit ClipInc\Server\ClipInc-Server.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\NetCologne\signup\wlanmon.exe

C:\Programme\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Alles mit FlashGet laden - K:\tools\standalone\Anwendungen\Internet\UP-Download Tools\FlashGet 1.73.128\jc_all.htm

O8 - Extra context menu item: Mit FlashGet laden - K:\tools\standalone\Anwendungen\Internet\UP-Download Tools\FlashGet 1.73.128\jc_link.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A412CFCD-23C8-453B-B046-EF2B339C2F64}: NameServer = 192.168.168.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6101F5F-B1AE-48BA-8FDE-4D22096479C1}: NameServer = 213.168.112.60 194.8.194.60

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O20 - Winlogon Notify: c002BB53 - c002BB53.mat (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe



--

End of file - 4715 bytes




Ein Freund hat mir gesagt, dass ich mal (nachdem ich einen Systemwiederherstellungspunkt festlegen sollte) mal diese Files löschen soll, da die ihm merkwürdig vorkommen:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199


Habe ich gemacht... aber die sind später wiedergekommen.

Ich bin wirklich nicht besonders fit, was so PC-Probleme angeht. In diversen Foren, darunter auch dieses hier, habe ich zu diesem Problem Themen gefunden... aber keine wirkliche Lösung.

Kann mir dabei jemand von euch helfen?

Vielen DAnk!

Hat niemand eine Ahnung?

Zitat:

Zitat von ascitiesburn

Hat niemand eine Ahnung?

Ohne jetzt den wahren experten des Forums vorzugreifen:

Ich würd kein Online Banking mehr machen. O17 weist auf eine Fremd IP. Und das ist mittlerweile ein bekanntes Problem. Die scheint wohl auch aus der Ukraine zu kommen.

Nur mal so als Warnung bevor dir die Mods helfen können!

Hallo ascitiesburn und

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet. Da der mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten.

Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen )

Code: Alles auswählenAufklappen

ATTFilter

organisation:    ORG-UL25-RIPE
org-name:        UkrTeleGroup Ltd.
org-type:        LIR
address:         UkrTeleGroup Ltd.
                    65029 Odessa
                    Ukraine
phone:           +3804++++++++ edit
fax-no:          +3804++++++++ edit
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
         

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code: Alles auswählenAufklappen

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von SDFix
         

Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code: Alles auswählenAufklappen

ATTFilter

Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         

Für Vista:
In die Netzwerkkontrolle gelangst du so

Code: Alles auswählenAufklappen

ATTFilter

- Windows-Taste + “R” drücken
- Eingabe des Befehles “%windir%/system32/ncpa.cpl“
- Enter drücken oder “OK” bestätigen
         

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User


Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....

Vielen Dank... dann werde ich das jetzt mal angehen.