|
Redirect von Google Leider kann ich Google nicht mehr richtig benutzen, da von den Suchergebnissen zu anderen Suchseiten umgeleitet wird, die tatsächliche Seite kann nur noch selten erreicht werden. Hijack-this kann nichts finden. Was kann man da sonst noch machen? |
Hallo IllLorenzo, man kann sich vorab Spybot Search & Destroy laden und AdAware Free.Google sagt dir wo,nimm es von den Originalseiten.Beide Programme updaten und im abgesicherten Modus(einschalten,Taste F8 gedrückt halten) einen Fullscan machen.Sie sollten in der Lage sein,deinen vermutlichen Hijacker erwischen zu können. Zur Kontrolle machst du dann ein HijackThis-Logfile und einen EScan und stellst beides hier ein.Kopiere oder merke dir die Funde von Spybot und Adaware,stelle sie hier dazu. Anleitung und Download findest du für Beide hier auf der Startseite unter "Anleitungen,FAQ,Links" Halte dich ganz genau an die Anweisungen,sonst funktionieren die Programme nicht . Irrlicht |
Hallo, @irrlicht, liest Du im Moment auch noch, was Du postest? :rolleyes: Zitat:
Zitat:
@ilLorenzo: Anleitung für ein HiJackThis in meiner Signatur verlinkt. Poste es hier. Gruß Schrulli |
Jep,, ich will vor dem Posten erst die Frage lesen ich will vor dem Posten erst die Frage lesen Gibt es hier irgendwo einen "Asche-auf`s-Haupt-streu"-Smiley ? Irrlicht |
Hier der aktuelle Logfile. Spybot habe ich schon durchlaufen lassen, was ewig gedauert hat und keine Verbesserung gebracht hat. Logfile of HijackThis v1.99.1 Scan saved at 13:28:26, on 07.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\UPS\WorldShip\Wshipservicecom.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\MXOaldr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOaldr.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041606 serial=DR12CNC-8322248-NFT lang=DE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: officejet 6100.lnk = ? O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113228009906 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: WShipServiceCom - Unknown owner - C:\UPS\WorldShip\Wshipservicecom.exe |
Hallo, in dem Log sehe ich nichts, Du hast eine Eumex Telefonanlage? Scanne dein System online und poste das Ergbnis. Gruß Schrulli |
Leider funktioniert der verlinkte Scan nicht bei mir. Der aktuelle Bitdefender Onlinescan hat nix gefunden.... Was kann noch versucht werden? |
Hallo, poste mal das Log von F-Secure Blacklight (wird automatisch im selben Pfad erstellt, fsbl**.txt) Grüße Wildone |
Ist es das hier? 04/12/06 18:42:38 [Info]: BlackLight Engine 1.0.35 initialized 04/12/06 18:42:38 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/12/06 18:42:39 [Note]: 7019 4 04/12/06 18:42:39 [Note]: 7005 0 04/12/06 18:42:43 [Note]: 7006 0 04/12/06 18:42:43 [Note]: 7011 1048 04/12/06 18:42:44 [Note]: 7026 0 04/12/06 18:42:44 [Note]: 7026 0 04/12/06 18:42:44 [Note]: FSRAW library version 1.7.1015 04/12/06 18:43:07 [Info]: Hidden file: C:\Programme\Hewlett-Packard\Digital Imaging\bin\DestTest.exe 04/12/06 18:43:07 [Note]: 10002 1 04/12/06 18:43:57 [Info]: Hidden file: C:\Programme\CyberLink\PowerDVD\cltest.exe 04/12/06 18:43:57 [Note]: 10002 1 04/12/06 18:45:27 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 04/12/06 18:45:27 [Note]: 10002 1 04/12/06 18:45:45 [Info]: Hidden file: C:\WINDOWS\system32\cswdk.exe 04/12/06 18:45:45 [Note]: 7002 32 04/12/06 18:45:45 [Note]: 7003 1 04/12/06 18:45:45 [Note]: 10002 1 04/12/06 18:45:47 [Info]: Hidden file: C:\WINDOWS\system32\dmdtq.exe 04/12/06 18:45:47 [Note]: 7002 32 04/12/06 18:45:47 [Note]: 7003 1 04/12/06 18:45:47 [Note]: 10002 1 04/12/06 18:45:49 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 04/12/06 18:45:49 [Note]: 10002 1 Und kann man da was sehen? |
Hallo, das sicherste wäre ein Neuaufsetzen deines Systems, du hast einen Trojaner auf dem System der Rootkittechnologie verwendet um sich zu tarnen. Diese können sich sehr tief in das System eingraben und sind nicht so ohne weiteres zu beseitigen. Und wenn etwas übrig bleibt können deine Daten weiterhin an einen Server in der Ukraine weitergeleitet werden, das Risiko wäre mir zu hoch. Also hier ist eine Anleitung wie du dein System neu aufsetzen und anschließend absichern solltest. Grüße Wildone |
Spaß, oder? System neu aufsetzen ok. Aber meine Daten in der Ukraine!!!! |
Hallo, nein, kein Spass, normalerweise kommt dein Trojaner mit einer Umleitung deiner Internetanfragen zu einem Server in der Ukraine daher. Bei dir ist zwar diese Umleitunge nicht zu sehen, aber da sein müßte sie trotzdem, immerhin wirst du bei google umgeleitet. Theoretisch ist es natürlich auch möglich wenn du w*w.deutsch-bank.de oder ebay.de eingibst dich auf eine gefälschte Seite umzuleiten, und so deine Daten abzufangen. Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board