Hallo,

Problem: Seit gestern komme ich nicht mehr auf www.google.de sondern werde statt dessen auf www.www.google.de.com (alternativ: www.www.google.de.net /.org, ...) umgeleitet. Bei anderen Seiten (altavista, lycos, ...) das gleiche Phänomen.

So weit ja nix "ungewöhnliches", leider...

Ich habe die üblichen Dinge probiert: 2. und 3. alternativer Viren bzw. Trojanerscanner, HijackThis (1.99), sogar die Beta von Microsofts AntiSpyware-Paket hab ich runtergeladen - ohne Erfolg. HijackThis.de bringt keine roten ("bösen") Warnungen und die gelben konnte ich alle validieren. Andere Scanner mit tagesaktuellen Signaturen fanden nix.

Dann hab ich mal angefangen nachzudenken und habe festgestellt, daß dieses Problem auftrat seit der Installation von ZoneAlarm (3.7). Also hab ich ZoneAlarm ausgeschaltet (Shutdown ZoneAlarm) und siehe da: Kein Problem mehr!?!?

Hängt dieses Hijacking also mit ZoneAlarm zusammen? Das wäre ja obermerkwürdig!

Ich habe im Web herumgesucht und bin auf einen Beitrag in einem anderen Forum gestoßen, der das gleiche Verhalten beschreibt:

http://www.informationsarchiv.net/fo...trag-4299.html

Zitat:

Zitat:

Beim Surfen mit Mozilla werden die betroffenen Seiten nicht gefunden (can't resolve...).

microsoft.de wird auch gehijacked, dort wird der Server aber einfach nicht gefunden.

Wenn ich Zone Alarm ausschalte, findet kein hijack statt, vielleicht ein Ansatzpunkt zum Einkreisen?

Kennt jemand dieses Verhalten? Kann mir jemand beschreiben, woran das liegt? Ich poste auch gerne ein aktuelles HijackThis Log, obwohl ich nicht glaube, daß darin etwas gefunden werden kann...

Mein Rechner: Win XP, SP2, AntiVir, IE6 (ja, ich weiß...)

Danke für die Hilfe!
Blik

poste mal das HijackThis log hier. vielleicht finde ich einen eintrag, der zwar von hijackthis.de als gut befunden aber in wirklichkeit schlecht ist. (soetwas ist schonmal passiert)

Hallo und danke für die Antwort,

folgendes ist in der Zwischenzeit geschehen:
- Ich habe alle gestern zusätzlich installierten Virenscanner, SpyDestroyer etc. wieder deinstalliert
- Auch ZoneAlarm ist wieder unten und...

KEINE PROBLEME MEHR!!! (???)

Beim Recherchieren bin ich auf einen neuen Ansatz gestoßen: Anscheinend nimmt der IE, kann er einen Namen wie z.B. www.google.de nicht auflösen, an, der User (Ich??? Frechheit!) hätte den URL unvollständig angegeben (z.B. "www.google" oder "google.de" oder einfach nur "google") und ergänzt diesen selbstständig. So entsteht dann z.B. der neue URL "www.www.google.de.com". Diesen schickt er erneut auf die Reise und da scheint er etwas zu finden.

Da jetzt - nach der Deinstallation von ZoneAlarm 3.7 - alles wieder funktioniert und auch sonst keine Anzeichen für einen Virenbefall o.ä. von mehreren Scannern gefunden wurden, gehe ich von folgendem aus:

ZoneAlarm haut irgendwie in diesen Auflöseprozeß "ungünstig" rein, so daß manche Namen nicht aufgelöst werden können - und beim User entsteht der Anschein, sein Browser wäre gehijacked worden. Wenn dem aber wirklich so ist, dann stimmt meiner Meinung nach essentiell etwas nicht mit ZoneAlarm!

Ich bleibe aber auch weiterhin wachsam und mißtrauisch...

Hier ist mein aktuelles HJT Logfile, falls es jemand durchforsten will.

Anmerkungen:
- O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor ist meine externe USB-Soundkarte
- O4 - HKLM\..\Run: [RoboPDF] C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe ist ein Produkt von Macromedia
- O23 - Service: Ati HotKey Poller - Unknown - C:\Windows\System32\Ati2evxx.exe ist von meiner ATI Grafikkarte
- O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE ist wohl von Abby Fine Reader
- C:\Windows\assembly\GAC_32\FontCacheService\6.0.4030.0__31bf3856ad364e35\FontCacheService.exe kommt mit der Installation von Avalon

Danke für die Hilfe!
Blik


Logfile of HijackThis v1.99.0
Scan saved at 13:58:48, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Compaq\EAB\EabServr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe
C:\Windows\system32\RunDll32.exe
C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\__brenner\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/newsticker
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [RoboPDF] C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098909725458
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\Windows\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\System32\CTSvcCDA.EXE
O23 - Service: Font Cache Downlevel - Unknown - C:\Windows\assembly\GAC_32\FontCacheService\6.0.4030.0__31bf3856ad364e35\FontCacheService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

eScan durchführen

Zitat:

Neuen Ordner "bases" auf "c:\" erstellen. eScan downloaden. Mit Zip-Programm in neuen Ordner entpacken. Anleitung beachten. eScan online updaten, offline im abgesicherten Modus ausführen. Dauer des Scans ca 1 Stunde. Scan dient dem Aufspüren von Malware, wird bei kostenloser Version nicht entfernt. Kann manuell erledigt werden.

Dies angeben:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

zuzüglich der Namen der Viren: "öffne die mwav.log (oder die mwXface.log) -> bearbeiten -> suchen -> infected eingeben -> weitersuchen -> Treffer markieren/kopieren -> ins Forum übertragen."