Google leitet falsch weiter...Bin ratlos!
 

Guten Tag zusammen,

ich bin "neu" hier und seit einigen Tagen plagt mich das Problem, dass google mich auf "falsche"seiten weiterleitet...ich bin mit meinem Latein leider am Ende...

HiJack This liefert folgende Datei:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:11:07, on 04.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\TrojanHunter 5.2\THGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BORGChat\BORGChat.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
C:\Programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe
C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Test\TrendMicro\HiJackThis\Test.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [picon] "C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe" -startup
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BORGChat.lnk = C:\Programme\BORGChat\BORGChat.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA90E63D-A076-448B-982A-114E1208E8D8}: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
O23 - Service: Sage Verteilungsdienst (SageDeploymentService) - Sage Software - C:\Programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe

--
End of file - 7701 bytes

Wäre über Hinweise echt froh!

Danke

Grüße

Immortal

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Ich klinke mich hier mal ein, weil ich das gleiche Problem habe. Seit gestern Abend spinnt google und leitet mich scheinbar nach Belieben mal dahin, wo ich auch hingeklickt habe, und mal zu irgendwelcher Werbung (nicht nur für die üblichen Anti-Malware-Angebote, sondern z.B. auch zu T-Online; aufgeschrieben als erste Anlaufstation für den falschen Redirect habe ich mir primosearch.com, groupiesearch.com und trafficengine.net).

Wo ist es passiert?
Kann ich nicht mit hundertprozentiger Sicherheit sagen, aber ich war gestern Abend auf diversen Flash-Spielchen-Seiten und ansonsten eigentlich nirgendwo zweifelhaft. (Mal davon abgesehen, dass Browser und Betriebssystem natürlich veraltet und nicht auf dem neuesten Stand sind; auf der Vista-Partition wäre das wohl gar nicht erst passiert.)

Ist ein Sicherheitsbeobachtungsprogramm angesprungen?
Ja. Kaspersky Internet Security 2009 hat mich vor "h**p://pagead2.googlesyndication.com/pagead/show_ads.js" gewarnt. Angeblich (Kaspersky-Foren) ein falscher Alarm, aber mich irritiert der zeitliche Zusammenhang. Kurz danach habe ich nämlich Warnungen bekommen, dass Kaspersky einige exe-Dateien daran gehindert hat, zu starten: pkt90t.exe, 3443cv.exe (beide in C:\), vwla.exe, nilshg.exe, ekah.exe, ivuyan.exe (alle in \Temp). Die beiden, die angeblich mal in C:\ waren, hat CCleaner gerade mit "fehlende MUI Beziehung" markiert und die Einträge in der Registrierung dann gelöscht. Die Dateinamen sind ja vermutlich zufällig, aber vielleicht hilft es, wenn ich dazu erwähne, dass 3443cv.exe in der Registrierung die Beschreibung "Main executable for Tiberian Sun" hatte (warum auch immer; dieses Spiel besitze ich noch nicht mal, geschweige denn, dass ich es mal installiert hätte).

Welche Schritte wurden eingeleitet?
Gleich das erste, was ich gemacht habe, war die Löschung von Temporary Internet Files und Temp-Ordner über die Windows-Datenbereinigung. Danach habe ich nach den Dateien gesucht, die Kaspersky gemeldet hatte, sie aber nicht mehr aufgefunden (auch nicht die in C:\ !).
Dann wollte ich Spybot Search and Destroy mal über das System laufen lassen, was aber daran gescheitert ist, dass das Update nicht funktioniert hat. Die Seite von Malwarebytes konnte ich gar nicht erst aufrufen (da habe ich dann den oben beschriebenen Effekt auf google-Suchen gemerkt).
Daraufhin habe ich mir das HijackThis-Log angesehen:

Ich bin leider überhaupt kein Experte, aber O17 kam mir seltsam vor, und tatsächlich: das sind irgendwelche ukrainischen DNS-Server, die ich mit Sicherheit nicht selbst eingetragen habe. Die habe ich also wieder rausgenommen, und schon hat das Update für Spybot funktioniert (und ich kam auf die Seite von Malwarebytes). Es wurde dann auch etwas gefunden, nur weiß ich leider nicht mehr, was; ein Logfile habe ich vergeblich gesucht (weitere Durchgänge seitdem sagen, dass das System sauber ist).
O16 habe ich HijackThis auch löschen lassen, ansonsten dann die Arbeit Malwarebytes überlassen:

Erster Malwarebytes-Durchgang (ohne externe Speicher, da keine angeschlossen waren in den letzten Tagen):

Zweiter Durchgang (knapp 2h später, weil das Problem noch nicht gelöst war; die Windows-Sicherheitswarnungen hatte ich dazwischen wieder deaktiviert, weil sie mich genervt haben und KAV ja lief, deswegen nicht wundern):

Der dritte Durchgang war um 10:23 und diesmal ein vollständiger Scan, bei dem aber nichts mehr gefunden wurde. Auch ein Systemscan von Kaspersky hat keine Infizierungen zu Tage gebracht.

Wo ist dann das Problem?
Nichts gefunden =! Problem beseitigt, leider. Ich werde nämlich nach wie vor über irgendwelche Werbeverteilerlinks falsch weitergeleitet.
Die google-Suche an sich funktioniert normal, aber sobald ich eines der Suchergebnisse anklicke, erscheint in TCPView eine Adresse der Domain privatedns.com; ich vermute, dass die es ist, die meine Suchanfragen abfängt und mich willkürlich (aber hauptsächlich bei Suchen zum Thema Viren) falsch weiterleitet. (Am häufigsten sehe ich etwas kryptische Domains, die laut whois alle google gehören und also ungefährlich sein sollten; außerdem hin und wieder cachefly.net, blue.aol.com, rdso.ru und deploy.akamaitechnologies.com.) Ich habe schon versucht, *privatedns.com über die Kaspersky-Kindersicherung zu sperren, allerdings ohne Erfolg (wenn ich's direkt in die Adressleiste eingebe, kann ich sie nicht aufrufen, aber die Redirecterei zeigt sich davon unbeeindruckt).

Die schlaueste Lösung wäre sicher, das System neu aufzusetzen, aber das ist zumindest in den nächsten Tagen keine Option. Ich hoffe daher, dass mir hier jemand helfen kann.

Hier sind noch die aktuellen RSIT-Logs: Link.

Ich habe inzwischen durch Rumprobieren selbst eine Lösung gefunden. Ich poste sie mal hier, weil sie eventuell auch dem OP helfen könnte.

Die Weiterleitung hat sich neben dem Redirect selbst auch so geäußert, dass der google-Weiterleitungs-Link (in der Adressleiste) sich geändert hat: es wurden ständig die Tags "as_acct=" und "cr=" angehängt. Danach habe ich auf einem uninfizierten System gegooglet und einen Hinweis erhalten, dass es sich hier um ein Rootkit handeln könnte, das die Systemdatei atapi.sys modifiziert.
So scheint es dann auch gewesen zu sein. Eine GMER-Analyse hat mir ein ähnliches Ergebnis gebracht wie hier (letztes Ergebnis unten, TDSS), und nachdem ich atapi.sys mit einer Version eines uninfizierten XP-Rechners ersetzt hatte, war mein Problem gelöst (oder jedenfalls kann ich jetzt wieder googlen und sehe keine verdächtigen Server mehr in TCPView).