Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firefox öffnet bei google Suche e-bay Seiten (https://www.trojaner-board.de/70114-firefox-oeffnet-google-suche-e-bay-seiten.html)

greemo 17.02.2009 20:47
Firefox öffnet bei google Suche e-bay Seiten
 
Ich habe leider bisher selber keine Lösung für folgendes Problem gefunden:

Bei der google suche im Firefox 3.0.6 öffnet sich nicht der Link zur gewünschten Seite, sonder meist zu e-bay, manchmal auch zu anderen komerziellen Anbietern.

Malwarebytes' Anti-Malware und Avira AntiVir haben nichts gefunden.
CCleaner habe ich ausgeführt.
Hijackthis online Logfile Auswertung zeigt nichts verdächtiges an.


Hijackthis log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:40, on 17.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\FreePDF_XP\fpassist.exe
E:\Programme\COMODO\COMODO Internet Security\cfp.exe
E:\Programme\Java\jre6\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\WINDOWS\system32\taskmgr.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -

E:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Google Desktop Search] "E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [E:\WINDOWS\system32\kdoay.exe] E:\WINDOWS\system32\kdoay.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] E:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "E:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://E:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234534132937
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: E:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL E:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH -

E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH -

E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - E:\Programme\COMODO\COMODO

Internet Security\cmdagent.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google -

E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google

Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -

E:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5718 bytes
uninstall list:
Code:
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Aspell 0.6 Dictionary (Language: de)
Aspell 0.6 Dictionary (Language: en)
Aspell Data
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
COMODO Internet Security
Foxit Reader
FreePDF XP (Remove only)
Google Desktop
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Google Updater
GPL Ghostscript 8.62
GPL Ghostscript Fonts
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows XP (KB952287)
Intel(R) PRO Ethernet Adapter and Software
JabRef 2.4.2
Java(TM) 6 Update 11
LyX 1.6.0-1
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Mozilla Firefox (3.0.6)
Picasa 2
Picasa 3
RedMon - Redirection Port Monitor
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
Skype™ 4.0
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VLC media player 0.9.6
XML Paper Specification Shared Components Language Pack 1.0
Ich bin für jede Hilfe dankbar!
G.

Antiker 20.02.2009 20:31
Hi. Es schaut so aus als würde dein virenprogram es blocken, deaktiviere es mal und versuch es nochmal. Wenn das nichts bringt , würde ich den firefox deinstalieren und nach dem neustart die neue Version instalieren die du dir vorher besorgst.
Gruß

john.doe 20.02.2009 21:21
Hallo und :hallo:

Gibt es diese Fenster auch beim MSIE? Falls nicht, dann halte dich an diese Anleitung.

ciao, andreas

greemo 02.03.2009 08:35
Hallo Antiker, Danke für die Hilfe

Ich verstehe nicht, was
Zitat:
Es schaut so aus als würde dein virenprogram es blocken, deaktiviere es mal und versuch es nochmal.
bedeutet. Was blockt es? Was soll ich noch mal versuchen?

Ich habe Firefox nach der Anleitung von john.doe neu installiert, aber das Problem wurde nicht behoben.

greemo 02.03.2009 08:39
Hallo john.doe,

ich habe das Problem im MSIE nicht beobachtet und desshalb Deine Anleitung zur Neuinstallation des Firefox befolgt. Leider ohne Erfolg.

Gibt es noch eine andere Möglichkeit?

Danke für die Hilfe!
G.

john.doe 02.03.2009 18:11
Bisher hat es immer funktioniert. Hast du auch die Reste gelöscht? Suche nach Deinstallation nach firefox und mozilla und lösche alle Ordner und Dateien, die sich finden lassen.

ciao, andreas

greemo 04.03.2009 14:41
Hallo Andreas,

ich habe alles noch mal ganz gründlich gemacht. Deinstalliert, alles gesucht und gelöscht und wieder neu installiert. Leider immer noch ohne Erfolg.

Eine Frage: ich habe eine zweite Festplatte eingebaut, auf der auch ein WinXP installiert ist. Wäre es möglich, dass sich die beiden Installationen beeinflussen? Muss ich dort evtl. gleichzeitig alles löschen und deinstallieren?

Daniel

Kaos 04.03.2009 16:39
Hallo greemo,

Versuche folgendes:

1. Malwarebytes Anti-Malware laden und Updaten (Falls deine Version nicht aktuell ist)

2. Lade die SUPERAntiSpyware und führe es nach der Anleitung aus. (Vor allem ist es wichtig, das Programm aktuell zu halten.)

3. Lass die beiden Programme im abgesicherten Modus durchlaufen (Wenn etwas gefunden wurde, dann lass alles entfernen. Logs hier posten).

4. Im Firefox "about:config" oben in der Adresszeile eingeben. Die Meldung, dass du versprichst Vorsichtig zu sein bestätigen.
Gebe nun bei Filter "keyword.URL" ein und wähle diesen Eintrag an (es sollte nur der sein). Es sollte unter "Status" --> "Standard" stehen. Falls nicht, klicke mit rechter Maustaste auf den Eintrag und wähle Zurücksetzen.

Vielleicht hilft dir das weiter.

mfg, Kaos

greemo 07.04.2009 18:47
Hallo Kaos,

vielen Dank für die Hinweise. Ich bin genau nach Deiner Anleitung vorgegangen, aber leider hatte auch das keinen Effekt. Firefox springt immernoch bei der google-Suche auf e-bay Seiten.
keyword.URL war und ist auf Standard

Gibt es noch eine andere Möglichkeit?

Danke! Greemo

PS: sorry, ich habe seit Deiner letzten Antwort viel Zeit gebraucht um das hier auszuprobieren, aber ich bin gerade kurz vor Abgabe meiner Diplomarbeit und hatte nicht große Lust, mich auch noch mit fehlgeleiteten Googlesuchen zu befassen.

greemo 07.04.2009 18:53
Nachtrag:

ich habe den selben Effekt auch im Internet Explorer beobachtet. Die Umleitung beschränkt sich also nicht nur auf Firefox, wie ich ursprünglich vermutete.

Greemo

john.doe 07.04.2009 19:18
1.) Beantworte die Fragen von Kaos und arbeite seine Liste ab.

2.) Wie gehst du ins Internet? Falls mit Router, dann benötigen wir Hersteller und Typ.

3.) GMER - Rootkit Detection
  • Lade Trallala von file-upload.net
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Trallala.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:56 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129