Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: google wird auf komische seiten umgeleitet

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.05.2010, 22:12   #1
hanswerner88
 
google wird auf komische seiten umgeleitet - Standard

google wird auf komische seiten umgeleitet



nabend zusammen

ich habe ein kleines aber ziemlich elendes problem...
einige links bei google werden über hxxp://193.169.219.77/redirect.php... (ukraine, kiev) geleitet und dann von nod32 geblockt...
der vollständige link sieht beispielsweise so aus:
hxxp://193.169.219.77/redirect.php?5&19&270&0&MC4wMDY4&42&click.php?id=pacE03wAYQ0qOlpazhlo-39un5w4yzLHGDdP4P2cYZVIcjX_Djgxfn4sQq93BQ%2C%2C
alternativ geht das ganze auch noch mit 66.230.188.67 (USA)
manche werden auch nicht geblockt und dann auf irgend so ne komische "free enzyclopedia" seite umgeleitet (finde den link gerade nciht mehr...

hijacktihs log sagt mir das nichts verdächtiges da ist soweit ich das bewerten kann...

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:05:18, on 27.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21073)
Boot mode: Normal

Running processes:
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\SOUNDMAN.EXE
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
I:\Programme\Microsoft ActiveSync\wcescomm.exe
I:\Programme\Skype\Phone\Skype.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Trillian\trillian.exe
I:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
I:\PROGRA~1\MICROS~1\rapimgr.exe
I:\Programme\Java\jre6\bin\jqs.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\oodag.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Dokumente und Einstellungen\Michael\Eigene Dateien\Downloads\HiJackThis204.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com?o=15183&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=I:\WINDOWS\system32\userinit.exe,I:\WINDOWS\system32\msofyx32.exe,

( die hosts einträge sind sauber aber privat ;) daher gelöscht leiten aber alle auf 127.0.0.1 um...)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Videoraptor_WebRipPlugin Class - {3C0372C2-04C3-4100-BAB1-1D42C552BC48} - I:\Programme\RapidSolution\AudialsOne\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll
O2 - BHO: Tunebite_WebRipPlugin Class - {AA102584-3B97-47e7-B9BC-75D54C110A7D} - I:\Programme\RapidSolution\AudialsOne\Tunebite\plugins\IE\TB_WebRipIePlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "I:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [egui] "I:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [H/PC Connection Agent] "I:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: Trillian.lnk = I:\Programme\Trillian\trillian.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://I:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - I:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - I:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @I:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @I:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: I:\WINDOWS\system32\0042.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\WINDOWS\system32\browseui.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - I:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - I:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - I:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - I:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - I:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - I:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - I:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8346 bytes
         
--- --- ---



Malwarebytes' Anti-Malware 1.46 sagt folgendes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4149

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

27.05.2010 22:23:06
lalala.txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120403
Laufzeit: 6 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Spybot sagt nichts ist faul...
Nod32 sagt ein paar sachen sind faul, die hab ich alle gelöscht problem besteht weiterhin...

browser ist firefox 3.6.3 falls das was hilft...
OS ist windows XP pro mit sp3...

vielen dank für eure hilfe schon mal

Geändert von hanswerner88 (27.05.2010 um 22:24 Uhr)

Alt 28.05.2010, 18:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
google wird auf komische seiten umgeleitet - Standard

google wird auf komische seiten umgeleitet



Hallo und

Zitat:
Nod32 sagt ein paar sachen sind faul, die hab ich alle gelöscht problem besteht weiterhin..
Die Aussage hilft keinem weiter, Du musst das Log von NOD32 posten.
Bitte auch einen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 28.05.2010, 19:02   #3
hanswerner88
 
google wird auf komische seiten umgeleitet - Standard

google wird auf komische seiten umgeleitet



habs nun mit dem programm combofix geschafft es loszuwerden was auch immer es war

danke für die hilfe cosinus
__________________

Alt 28.05.2010, 19:26   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
google wird auf komische seiten umgeleitet - Standard

google wird auf komische seiten umgeleitet



Combofix solltest Du ohne Anweisung nicht ausführen. Und wenn postet man wenigstens das Logfile...
Außerdem solltest Du wie beschrieben erstmal die anderen Sachen machen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu google wird auf komische seiten umgeleitet
adobe, antivirus, bho, browseui preloader, dateien, einstellungen, eset nod32, explorer, firefox, firefox 3.6.3, google, gupdate, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, microsoft, mozilla, nvidia, programme, rundll, security, seiten, server, software, system, windows, windows xp



Ähnliche Themen: google wird auf komische seiten umgeleitet


  1. Browser wird auf Seiten mit Werbung umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 03.01.2015 (15)
  2. Google Chrome öffnet Werbefenster und komische Seiten
    Log-Analyse und Auswertung - 12.11.2014 (7)
  3. Google-Suche wird umgeleitet
    Log-Analyse und Auswertung - 11.08.2013 (15)
  4. Werde bei Google-Suchergebnissen auf falsche Seiten umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (7)
  5. Google Ergebnisse werden umgeleitet zu anderen Seiten
    Plagegeister aller Art und deren Bekämpfung - 13.02.2013 (27)
  6. Seiten werden umgeleitet..google
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (9)
  7. Win 7, IE, Google Suche wird umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 06.04.2012 (19)
  8. Google Links werden auf seiten wie 95p.com umgeleitet. (malware?)
    Log-Analyse und Auswertung - 29.12.2011 (2)
  9. google suche wird Umgeleitet
    Log-Analyse und Auswertung - 30.04.2011 (1)
  10. Anfänger: Google ergebnisse werden auf andere seiten umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (17)
  11. Werde umgeleitet von Google auf nicht ausgewählte Seiten
    Plagegeister aller Art und deren Bekämpfung - 13.12.2010 (25)
  12. Google und Boardlinks werden auf schädliche Seiten umgeleitet
    Log-Analyse und Auswertung - 10.10.2010 (15)
  13. Google seiten werden auf verschiedene seiten umgeleitet oder nicht geladen
    Log-Analyse und Auswertung - 05.10.2010 (28)
  14. Google Seiten wurden umgeleitet -> Log-File Check
    Log-Analyse und Auswertung - 29.09.2010 (22)
  15. Google Suchergebnisse werden umgeleitet auf falsche Seiten
    Log-Analyse und Auswertung - 22.02.2010 (3)
  16. Links von Google und weiteren Seiten werden umgeleitet
    Log-Analyse und Auswertung - 05.01.2010 (3)
  17. Google wird umgeleitet
    Log-Analyse und Auswertung - 03.03.2006 (4)

Zum Thema google wird auf komische seiten umgeleitet - nabend zusammen ich habe ein kleines aber ziemlich elendes problem... einige links bei google werden über hxxp://193.169.219.77/redirect.php... (ukraine, kiev) geleitet und dann von nod32 geblockt... der vollständige link sieht beispielsweise - google wird auf komische seiten umgeleitet...
Archiv
Du betrachtest: google wird auf komische seiten umgeleitet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.