Hallo und Guten Abend,

anscheinend hat sich bei uns ein "Hijacker" oder Plagegeist eingenistet. Wir werden ihn einfach nicht los. Unsere Antiviren-Programme Kaspersky oder Antivir können nichts finden sowie auch nicht Spybot & Search Destroy, Malwarebytes etc.

Wir benutzen im Moment Opera & den IE9. Bei Opera lässt sich die Weiterleitung in den Einstellungen nicht ändern. Versucht man sie auszuschalten, erscheint bei jedem Aufruf irgendeiner Webside: Moved permanently. The document has moved here; here ist verlinkt. Wir hatten bei dem Opera-Browser eine zeitlang immer Probleme mit dem Adobe-Player, er ließ sich nicht aufrufen und ein "Begleiter" aus "Poland" (wohl der Server, Sitz in Germany) war fast zeitgleich auf den Seiten, die wir besuchten, lt. Besucherstatistik.



Außerdem erscheint teilweise bei den Whois - Abfragen diese Meldung:

IP Information - 82.82.194.7
Host name dslc-082-082-194-007.pools.arcor-ip.net
Country Germany
Country Code DE
Region Niedersachsen
City Hanover
Latitude 52.3667
Longitude 9.7167
Whois* Information

NetRange: 82.0.0.0 - 82.255.255.255
CIDR: 82.0.0.0/8
OriginAS:
NetName: 82-RIPE
NetHandle: NET-82-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: TINNIE.ARIN.NET
NameServer: NS-PRI.RIPE.NET
NameServer: SUNIC.SUNET.SE
NameServer: SEC3.APNIC.NET
NameServer: NS3.NIC.FR
NameServer: SEC1.APNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at hxxp://www.ripe.net/whois
RegDate: 2002-11-23
Updated: 2004-03-16
Ref: hxxp://whois.arin.net/rest/net/NET-82-0-0-0-1

OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2004-12-13
Ref: hxxp://whois.arin.net/rest/org/RIPE

ReferralServer: whois://whois.ripe.net:43
---------------------------
Aber unser Standort ist weder "Hanover" noch Amsterdam etc.
-------------
Außerdem schaltet sich unsere Easy-Box (Router) schon desöfteren an/aus oder wir erhielten die Nachricht im Browser: !crossnetworking: Eine Seite aus dem Internet fordert Daten aus ihrem privaten Internet.
---------------------------------------------------

Wir haben das System bereits ö f t e r neu aufgesetzt - Neuinstallation- und alle Daten gelöscht und trotzdem... immer und immer wieder...
--------------------------------------------------

Hier vorab der Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:53, on 20.09.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v9.00 (9.00.7930.16406)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing)
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [HWSetup] "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe
O4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exe
O4 - HKLM\..\Run: [TosReelTimeMonitor] %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmartFaceVWatcher] %ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
O4 - HKLM\..\Run: [Teco] "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r
O4 - HKLM\..\Run: [ToshibaServiceStation] C:\Program Files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe /hide:60
O4 - HKLM\..\Run: [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
O4 - HKLM\..\Run: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [Delete USB Error Key] "C:\Program Files\Samsung\Samsung New PC Studio\USB Drivers\SPS3_USB_Driver_Setup.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
-------------------------

Für Eure Hilfe und Tipps wären wir sehr, sehr dankbar.
Vielen Dank im Voraus.
Viele Grüße die Belarus

Hallo und Guten Morgen

da wohl die o.g. Angaben für die Hilfe wohl nicht reichen, hänge ich anbei noch die von uns gemachten Auswertungen - Logfiles etc. an.


Ich hoffe, so kann jemand uns schneller und besser zur Hilfe kommen.

Vielen Dank.

Viele Grüße,
die Belarus

Hallo liebes Forum-Team,

ich weiß ihr habt viel zu tun, aber ich schubse einfach meinen Thread nochmal nach oben und ich hoffe, es hat jemand etwas von seiner kostbaren Zeit für mich über und schaut drüber und hat einen guten Tipp und Ratschlag.

Vielen Dank im Voraus.
Viele Grüße
Belarus

Hallo liebes Forum,

ich habe seit einer Woche einen Thread bei Euch eingestellt und leider noch keine Antwort. Zeit & Lust?!

Viele Grüße

Hallo und

Zitat:

Wir haben das System bereits ö f t e r neu aufgesetzt - Neuinstallation- und alle Daten gelöscht und trotzdem... immer und immer wieder...

Dann macht ihr definitiv was falsch, denn eine Formatierung der Festplatte überlebt kein Schädling.
Wurden ausführbare Dateien (*.exe, *.msi - alle Setups zu Programmen und Spielen) auf dem frischen System ausgeführt, die vom infizierten System auch verarbeitet wurden?

Zitat:

MSIE: Internet Explorer v9.00 (9.00.7930.16406)

Was soll jetzt schon der IE9 auf dem System? Spielt ihr gerne Beta-Tester?

Hallo Arne und herzlichen Dank für "das Willkommen"


vielen Dank für deine Antwort.
Ob wir bei der Neuinstallation etwas Falsch gemacht haben?! Also wir nutzen Win7 und haben die Neuinstallation mit der Produkt-Recovery vorgenommen: Win herunterfahren, Win starten, F12 o. F2 zum Laufwerk.., Meldung: "" wollen sie alle Daten löschen /überschreiben "ja, ich will " etc. und dann Neuinstallation.

Alle ausführenden Dateien und Programme haben wir neuinstalliert.

Tja, warum "es" sich immer wieder einnistet?" Gute Frage. z.B Naja, kurz als Hintergrundinformation, wir haben ca. vor 1 1/2 Jahren als Helfer auf einer privaten Homepage für "Unfallopfer im Strassenverkehr bzw. Gedenkseiten verstorbener Jugendlicher im Verkehr" als Forums- und "Homepagebetreuer" mitgeholfen, weil wir selber betroffen waren. Die Internetseite war wohl " von den Betreibern" manipuliert worden. Im laufenden Chat brach bei uns "Firefox" zusammen, zu dem Zeitpunkt war uns gar nicht bewusst, was gerade passiert war. Und egal welche Internetseite besucht wurde, der "Bot" folgt uns... Wir haben nach Kenntnis, die Betreuung verlassen und aufgrund des Homepagehintergrunds der Internetseite auf eine Anzeige/Klage verzichtet.

Aber seit dem... verfolgt "es" uns , aber eventuell ist auch nebenbei Leichtsinn...
Naja, aber eigentliche wissen wir ca. wer dahinter steckt, das ist auch schwer zu erraten...
Was sagen die Daten, Logfiles etc. ??

Vielen Dank im Vorraus.
Belarus

Wurde der Router schon mal zurückgesetzt?
Wurde das Passwort zur Administration des Routers verändert? Standardpasswörter im Router zu lassen ist sehr unsicher!
Benutzt ihr WLAN und wenn ja, wie ist das verschlüsselt?

Hallo Arne,

das mit dem Router zurücksetzen, ist eine sehr gute Idee. Das Passwort zur Administration, grübel... Meinst du den Einstellungsmanager von der Easy-Box, den man online erreichen kann?! Wenn du den meinst, das ist auf Werkseinstellung, wäre dann wohl besser zu ändern, oder. Das Wlan an der Easybox habe ich deaktiviert, auch am Laptop.

Oh, man , dieses Gefriemel am Computer ist wirklich hoch erotisch, genauso wie Klöppeln, grr...

Hast du noch etwas Spannendes in den Logfiles gefunden ...

Etwas fällt mir noch zu aktiven Programmen ein , ich werde wohl noch Mal unsere USB - Sticks checken müssen. Es kann sein, dass wir dort von den Spielen z.B. Herr der Ringe -online -Daten gespeichert haben, Spielstände etc.
Ansonsten - msi - ... aktiviert sich z.B. bei Onlinespielen der Windows-Installer oder versucht es und bricht ab, bei Spielen, die nur unter Flash laufen.

Lieben Gruß und danke für "die Zeit"
Belarus