Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.03.2009, 19:03   #1
ascitiesburn
 
Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten - Standard

Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten



Hallo liebes TrojanerBoard-Team,

ich habe folgendes Problem und versuche es schon seit gestern zu beheben, aber die Beiträge in diversen Foren konnten mir nicht helfen:

Sobald ich mit dem Firefox in Google etwas suche, dann zeigt er mir die gesuchten Themen auch an, aber sobald ich auf den dazugehörigen Link klicke, öffnet er alles, nur nicht das was ich suche. Im Internetexplorer ist es seit heute ein ähnliches Problem. Oft öffnet sich dann entweder gar nichts, die google-Seite wird erneut angezeigt oder aber oft die Page einer bekannten Online-Auktionsfirma.

Ich weiß weder wie gefährlich dieser Virus/Trojaner oder wie auch immer ist, noch wie ich ihn vernünftig entfernt bekomme, ohne gleich den ganzen PC plattmachen zu müssen.

Zu den oben genannten Problemen, macht der PC alle gefühlten 2 Minuten ein seltsames kurzes "Brummgeräusch", dass vorher auch nicht da war.

Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:30:55, on 25.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\QuickTime\QTTask.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\rundll32.exe

J:\Tobit ClipInc\Server\ClipInc-Server.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\NetCologne\signup\wlanmon.exe

C:\Programme\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Alles mit FlashGet laden - K:\tools\standalone\Anwendungen\Internet\UP-Download Tools\FlashGet 1.73.128\jc_all.htm

O8 - Extra context menu item: Mit FlashGet laden - K:\tools\standalone\Anwendungen\Internet\UP-Download Tools\FlashGet 1.73.128\jc_link.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A412CFCD-23C8-453B-B046-EF2B339C2F64}: NameServer = 192.168.168.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6101F5F-B1AE-48BA-8FDE-4D22096479C1}: NameServer = 213.168.112.60 194.8.194.60

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O20 - Winlogon Notify: c002BB53 - c002BB53.mat (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe



--

End of file - 4715 bytes




Ein Freund hat mir gesagt, dass ich mal (nachdem ich einen Systemwiederherstellungspunkt festlegen sollte) mal diese Files löschen soll, da die ihm merkwürdig vorkommen:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199


Habe ich gemacht... aber die sind später wiedergekommen.

Ich bin wirklich nicht besonders fit, was so PC-Probleme angeht. In diversen Foren, darunter auch dieses hier, habe ich zu diesem Problem Themen gefunden... aber keine wirkliche Lösung.

Kann mir dabei jemand von euch helfen?

Vielen DAnk!

Alt 26.03.2009, 08:58   #2
ascitiesburn
 
Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten - Standard

Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten



Hat niemand eine Ahnung?
__________________


Alt 26.03.2009, 09:46   #3
ochnö
 
Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten - Standard

Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten



Zitat:
Zitat von ascitiesburn Beitrag anzeigen
Hat niemand eine Ahnung?
Ohne jetzt den wahren experten des Forums vorzugreifen:

Ich würd kein Online Banking mehr machen. O17 weist auf eine Fremd IP. Und das ist mittlerweile ein bekanntes Problem. Die scheint wohl auch aus der Ukraine zu kommen.

Nur mal so als Warnung bevor dir die Mods helfen können!
__________________

Alt 26.03.2009, 10:13   #4
Redwulf
 
Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten - Standard

Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten



Hallo ascitiesburn und


Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet. Da der mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten.

Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen )
Code:
ATTFilter
organisation:    ORG-UL25-RIPE
org-name:        UkrTeleGroup Ltd.
org-type:        LIR
address:         UkrTeleGroup Ltd.
                    65029 Odessa
                    Ukraine
phone:           +3804++++++++ edit
fax-no:          +3804++++++++ edit
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
         
DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.


Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code:
ATTFilter
Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von SDFix
         
Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code:
ATTFilter
Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         
Für Vista:
In die Netzwerkkontrolle gelangst du so
Code:
ATTFilter
- Windows-Taste + “R” drücken
- Eingabe des Befehles “%windir%/system32/ncpa.cpl“
- Enter drücken oder “OK” bestätigen
         
Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User


Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 27.03.2009, 08:51   #5
ascitiesburn
 
Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten - Standard

Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten



Vielen Dank... dann werde ich das jetzt mal angehen.


Antwort

Themen zu Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten
antivir, avira, browser, diverse, dll, excel, explorer, falsche seite, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, logfile, löschen, microsoft, pc-probleme, problem, programme, rundll, seiten, server, software, system, virus/trojaner, windows, windows xp, öffnet



Ähnliche Themen: Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten


  1. sowohl mit Firefox als auch mit Explorer bei Google Suche auf falsche Seiten umgeleitet
    Log-Analyse und Auswertung - 06.11.2013 (12)
  2. In Firefox werde ich bei Anklicken der Links von Google-Suchen auf falsche Seiten umgeleitet
    Log-Analyse und Auswertung - 15.10.2013 (22)
  3. google links führen auf falsche Seiten und downloads sind nicht möglich.
    Plagegeister aller Art und deren Bekämpfung - 29.09.2013 (13)
  4. Firefox öffnen bei Google-Links oft falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 23.02.2013 (1)
  5. Google-Links leiten mich auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (23)
  6. Google links führen auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 20.12.2012 (7)
  7. Google Links führen auf falsche Seiten
    Log-Analyse und Auswertung - 15.07.2012 (52)
  8. Google links führen auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (9)
  9. Google: Browser (Firefox & Opera) öffnet falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 08.06.2011 (1)
  10. Google, Firefox und Opera öffnen falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 29.05.2011 (15)
  11. ie & firefox öffnen falsche seiten
    Log-Analyse und Auswertung - 02.02.2011 (18)
  12. Links führen auf falsche Seiten/Seiten öffnen sich automat. / HJT-Logfileseite nicht mehr nutzbar
    Plagegeister aller Art und deren Bekämpfung - 19.08.2010 (8)
  13. Browser - Google Links funktionieren nicht, andere Seiten öffnen sich
    Log-Analyse und Auswertung - 04.03.2010 (27)
  14. firefox / google öffnet falsche links
    Log-Analyse und Auswertung - 04.05.2009 (3)
  15. Google-Links leiten mich auf falsche Seiten...
    Log-Analyse und Auswertung - 22.12.2008 (2)
  16. Google-Links schicken mich auf falsche (Sex) Seiten. Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (0)
  17. Internet Explorer öffnen falsche Links bzw. Werbelinks
    Log-Analyse und Auswertung - 24.03.2007 (6)

Zum Thema Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten - Hallo liebes TrojanerBoard-Team, ich habe folgendes Problem und versuche es schon seit gestern zu beheben, aber die Beiträge in diversen Foren konnten mir nicht helfen: Sobald ich mit dem Firefox - Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten...
Archiv
Du betrachtest: Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.