Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Merkwürdige Weiterleitung (https://www.trojaner-board.de/29980-merkwuerdige-weiterleitung.html)

Coco_R 15.06.2006 16:26
Merkwürdige Weiterleitung
 
Servus Leute,
hatte zuletzt im IE immer eine Weiterleitung, wenn ich auf google oder ebay gegangen bin. Mit allen bekannten Programmen gescannt, nix gefunden.
War nicht so tragisch, wollte eh formatieren wegen anderer Partionsaufteilung.
Die Weiterleitungen waren auf w**.lunarpages.com oder w**.doubleclick.net
War auf keiner zwielichtigen Seite und keine unbekannten mails geöffnet.

Komplett neu installiert vor 2 Tagen, updates gemacht etc.
Meine Startseite ist google. Heute leitet es beim Aufrufen von google zu microsoft weiter. Beim Erneuten Aufruf leitet es zu w**.webtrends.com weiter. Wie geht denn so was? Bin 100% sicher das mein Rechner sauber ist.
Poste euch aber hier mein log:

Logfile of HijackThis v1.99.1
Scan saved at 17:08:31, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\sdisksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\HPHipm11.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\nicht löschen\programme\hijackthis_1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w**.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE6SP2
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3163FA90-C9E0-460B-9390-35CE9FD69458}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E24852-3ABD-46A0-92EA-DA740F402682}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3163FA90-C9E0-460B-9390-35CE9FD69458}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{3163FA90-C9E0-460B-9390-35CE9FD69458}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: SDisk Service (SDiskService) - Crypto+ Group - C:\WINDOWS\system32\sdisksrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Darthshoot 15.06.2006 16:36
Sowas hatte ich auch mal und ich bin mir zwar nicht sicher, aber überprüf mal die Registry, denn da wird einiges angegeben. Auch mit Startseiten usw.

P.S. Wenn ich falsch liege, net gleich als Lamer abstempeln bitte -_-

Sunny 15.06.2006 17:07
Zitat:
Zitat von Darthshoot
Sowas hatte ich auch mal und ich bin mir zwar nicht sicher, aber überprüf mal die Registry, denn da wird einiges angegeben. Auch mit Startseiten usw.
Stop, bevor du jemanden den Tipp gibst die Registry zu durchsuchen bzw. Einträge zu verändern, weise daraufhin, das man so (wenn man sich damit nämlich nicht auskennt!) schnell das ganze System zerschiessen kann!!! :crazy:

Zitat:
Wenn ich falsch liege, net gleich als Lamer abstempeln bitte
Mach ich bestimmt nicht! ;)

@Coco_R

Lass folgende Datei bei Virustotal auswerten:
Zitat:
C:\WINDOWS\system32\sdisksrv.exe
Außerdem mit HijackThis folgende Zeile fixen:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE6SP2
Mach zusätzlich einen eScan, Anleitung dazu befindet sich in meiner
Signatur!

Gruß
Daniel

Coco_R 15.06.2006 17:50
kein Problem, kenn mich mit der reg ganz gut aus.

Habe das file C:\WINDOWS\system32\sdisksrv.exe auf virustotal scannen lassen, Ergebnis:
Code:
STATUS: QUEUEDYour file "sdisksrv.exe" is queued in position: 25. Estimated start time is between 33 and 145 seconds.
was meint das? Wo kann ich die Positionen einsehen?
sdisksrv ist ein Programm, welches ich installiert habe. Gabs auf der PCgo 3/2006, stellt einen passwortgeschützten Bereich bereit für sensible Daten.

Code:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE6SP2
habe ich selbst so geändert, brauche ich nicht zu fixen.

Escan mach ich, Ergebnis poste ich

myrtille 15.06.2006 17:57
Zitat:
Zitat von Coco_R

Habe das file C:\WINDOWS\system32\sdisksrv.exe auf virustotal scannen lassen, Ergebnis:
Code:
STATUS: QUEUEDYour file "sdisksrv.exe" is queued in position: 25. Estimated start time is between 33 and 145 seconds.
was meint das? Wo kann ich die Positionen einsehen?
Das bedeutet, dass dein File in der Warteschlange steht und du zwischen ner halben und 2 Minuten warten musst bis dieser gescannt wird. Danach wird dir das Ergebnis automatisch mitgeteilt. :)

Coco_R 15.06.2006 19:40
Huch, lustisch, danke
Also das file war kein virus.

escan ausgeführt, aber das log is ewig lang zum posten.
poste daher nur 2 Auszüge:
Code:
Thu Jun 15 19:13:48 2006 => Offending Folder found: C:\Dokumente und Einstellungen\***\Favoriten\download+umsonst\emule
Thu Jun 15 19:13:59 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.
Code:
Thu Jun 15 20:06:45 2006 => ***** Scanning complete. *****
 
Thu Jun 15 20:06:45 2006 => Total Objects Scanned: 40993
Thu Jun 15 20:06:45 2006 => Total Critical Objects: 1
Thu Jun 15 20:06:45 2006 => Total Disinfected Objects: 0
Thu Jun 15 20:06:45 2006 => Total Objects Renamed: 0
Thu Jun 15 20:06:45 2006 => Total Deleted Objects: 0
Thu Jun 15 20:06:45 2006 => Total Errors: 3
Thu Jun 15 20:06:45 2006 => Time Elapsed: 00:53:25
Thu Jun 15 20:06:45 2006 => Virus Database Date: 6/15/2006
Thu Jun 15 20:06:45 2006 => Virus Database Count: 200749
Was fang ich damit an? Wo sehe ich, was es mit den errors auf sich hat?
Und wo soll der p2p worm sein? Habe kein emule installiert, nur bookmarks in den Favoriten, ist das gemeint?

Sunny 15.06.2006 19:56
Zitat:
Zitat von Coco_R
Huch, lustisch, danke
Also das file war kein virus.

escan ausgeführt, aber das log is ewig lang zum posten.
poste daher nur 2 Auszüge:
Du hast dir die Anleitung von eScan nicht richtig durchgelesen! Nutze die "find.bat" um ein klarere Auswertung zu bekommen!

Gruß
Daniel

Coco_R 16.06.2006 20:25
sorry my fault, hatte unaufmerksam gelesen.
Habe den Ordner Emule in meinen Favoriten gelöscht.
Keine Meldungen mehr in escan :party:
find bat findet auch nichts.

Also von daher nichts ungewöhnliches auf dem Rechner.

Aber zu meinem ursprünglichen Problem zurück.
Meine Startseite wurde ja verfälscht oder umgeleitet oder......
Habe mit Tuneup2006 die registry gesäubert(auf ner neu installierten Partition!!!) und alle empfohlenen Änderungen gemacht. Waren ne Menge leerer Verknüpfungen und so.
Seitdem funzt wieder alles.

Sollte man nicht glauben was fürn Müll ne neue Installation in sich hat

Danke für Eure Hilfe

Coco_R 19.06.2006 21:11
Hhmm, gestern abend hatte ich wieder das Problem.
Merkwürdig, habe vor tagen auch auch Firefox umgestellt.
Zuerst kam statt meiner Startseite eine andere, nie vorher gesehen.
Nch schliessen und neustarten, war dann alles um eins vesetzt, ich meine beim öffnen von firefox zeigt er die Seite an, die beim letzten schliessen sehen wollte usw.

Glaub ehrlich nicht an eine Manipulation sondern ein anderes Problem. Hab aber keine nähere Erklärung, nie vorher gesehen sowas.

Jemand ne Idee dazu?

MT0104 19.06.2006 21:21
Hallo!
Ich hatte die gleichen Probleme und das liegt an dem GData Virenscanner. Schalte unter Webfilter, Optionen einfach Internetinhalte (HTTP) verarbeiten aus. Damit dürfte das Problem behoben sein. Gdata hatte mir auch mal eine neue Webfilter-Version zugeschickt, die hatte aber nicht geholfen. Wenn Du es mit dieser ausprobieren möchtest, sag Bescheid und ich schicke sie Dir.

Coco_R 20.06.2006 07:39
Hallo MT0104,
danke für deine Antwort. Das klingt sehr plausibel. Glaube das ganze fing nach dem letzten Programmupdate an.
Habe die Konfiguration von gdata geändert.

Schau mer mal


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131