|
Umleitung auf andere Internetseiten Hallo zusammen, ich habe folgendes Problem. Nach einer Neuinstallation aufgrund eines HD-crashes, werde ich gelegentlich nach direkter Adresseingabe in der Adressleiste oder nach anklicken eines Links auf unerwünschte und zufällig ausgesuchte Seiten geleitet. In der Adreßleiste steht dann z.B. auch mal http://www.google.de/Buhl_Homepage.BuhlData?ActiveID=1196 anstelle von http://web.buhl.de/Buhl_Homepage.BuhlData?ActiveID=1196 Habe bisher folgende Programme laufen lassen, jedoch nichts auffälliges gefunden. - GDATA Antivirus - Spybot - Adaware - CCleaner - Counterspy Deshalb hier mein HJ-Logfile mit der Bitte um Prüfung - Vielen Dank für die Hilfe! --------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 21:32:47, on 10.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\CTHELPER.EXE C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\*****\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160248249750 O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo. Dein Logfile sieht meiner Ansicht nach sauber aus, was aber nichts heißen mag. Arbeite mal folgendes ab: 1.) überprüfe mit diesem Tool dein System -> F-Secure Blacklight Poste im Anschluss mal den Inhalt der entstandenen Log-Datei. 2.) Prüfe dein System mit eScan nach folgender Anleitung -> eScan BEACHTE: Genau die Anleitung lesen!!! Gruß Sunny |
Vielen Dank für die schnelle Hilfe ! 1) F- Secure hat die Suche ohne Befund beendet (keine log-Datei verfügbar !?) --> hidden items found: 0 --> Items queued for renaming: 0 2) eScan Folgende Infos im "VirusLogInformation" fenster: - Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. - Entry "HKCR\Microsoft.ActiveXPlugin" refers to invalid object "{06DD38D3-D187-11CF-A80D-00C04FD74AD8}". Action Taken: No Action Taken. - Entry "HKCR\Microsoft.ActiveXPlugin.1" refers to invalid object "{06DD38D3-D187-11CF-A80D-00C04FD74AD8}". Action Taken: No Action Taken. - Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ App Management\ARPCache" refers to invalid object "KB893803v2". Action Taken: No Action Taken. - Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ App Management\ARPCache" refers to invalid object "KB898461". Action Taken: No Action Taken. MWAV.LOG: Die Datei ist viel zu groß ! Folgende Zusammenfassung: Tue Oct 10 23:06:24 2006 => ***** Checking for specific ITW Viruses ***** Tue Oct 10 23:06:24 2006 => ***** Scanning complete. ***** Tue Oct 10 23:06:24 2006 => Total Objects Scanned: 163787 Tue Oct 10 23:06:24 2006 => Total Critical Objects: 1 Tue Oct 10 23:06:24 2006 => Total Disinfected Objects: 0 Tue Oct 10 23:06:24 2006 => Total Objects Renamed: 0 Tue Oct 10 23:06:24 2006 => Total Deleted Objects: 0 Tue Oct 10 23:06:24 2006 => Total Errors: 130748 Tue Oct 10 23:06:24 2006 => Time Elapsed: 00:18:50 Tue Oct 10 23:06:24 2006 => ERROR!!! Unable to get Database Info.. return 8004025d Tue Oct 10 23:06:24 2006 => Scan Completed 3) Habe zus. SpywareDoctor laufen lassen. Er hat einen Trojaner gefunden: Backdoor.Hackdoor in z:\System Volume Information\_restore{********* 4) Das Problem besteht übrigens auch mit Firefox 5) GDATA Antivirus meldet regelmäßig, daß trotz manuellem signature-update die sig-dateien nicht vollständig sind Stefan |
Update: Im abgesichterten modus (für eScan) hatte bei nochmaligem Lauf der SpywareDoctor den oben unter Punkt 3) genannten Trojaner nicht mehr gefunden. Wohl aufgrund des vorherigen Abschaltens der Systemwiderherstellung ??? Beim anschließenden booten in das Normalsystem war der Trojaner wieder da! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board