|
Plagegeister aller Art und deren Bekämpfung: Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.01.2005, 13:00 | #1 | |
| Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! Hallo, Problem: Seit gestern komme ich nicht mehr auf www.google.de sondern werde statt dessen auf www.www.google.de.com (alternativ: www.www.google.de.net /.org, ...) umgeleitet. Bei anderen Seiten (altavista, lycos, ...) das gleiche Phänomen. So weit ja nix "ungewöhnliches", leider... Ich habe die üblichen Dinge probiert: 2. und 3. alternativer Viren bzw. Trojanerscanner, HijackThis (1.99), sogar die Beta von Microsofts AntiSpyware-Paket hab ich runtergeladen - ohne Erfolg. HijackThis.de bringt keine roten ("bösen") Warnungen und die gelben konnte ich alle validieren. Andere Scanner mit tagesaktuellen Signaturen fanden nix. Dann hab ich mal angefangen nachzudenken und habe festgestellt, daß dieses Problem auftrat seit der Installation von ZoneAlarm (3.7). Also hab ich ZoneAlarm ausgeschaltet (Shutdown ZoneAlarm) und siehe da: Kein Problem mehr!?!? Hängt dieses Hijacking also mit ZoneAlarm zusammen? Das wäre ja obermerkwürdig! Ich habe im Web herumgesucht und bin auf einen Beitrag in einem anderen Forum gestoßen, der das gleiche Verhalten beschreibt: http://www.informationsarchiv.net/fo...trag-4299.html Zitat: Zitat:
Mein Rechner: Win XP, SP2, AntiVir, IE6 (ja, ich weiß...) Danke für die Hilfe! Blik |
23.01.2005, 13:38 | #2 |
Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! poste mal das HijackThis log hier. vielleicht finde ich einen eintrag, der zwar von hijackthis.de als gut befunden aber in wirklichkeit schlecht ist. (soetwas ist schonmal passiert)
__________________ |
23.01.2005, 14:15 | #3 |
| Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! Hallo und danke für die Antwort,
__________________folgendes ist in der Zwischenzeit geschehen: - Ich habe alle gestern zusätzlich installierten Virenscanner, SpyDestroyer etc. wieder deinstalliert - Auch ZoneAlarm ist wieder unten und... KEINE PROBLEME MEHR!!! (???) Beim Recherchieren bin ich auf einen neuen Ansatz gestoßen: Anscheinend nimmt der IE, kann er einen Namen wie z.B. www.google.de nicht auflösen, an, der User (Ich??? Frechheit!) hätte den URL unvollständig angegeben (z.B. "www.google" oder "google.de" oder einfach nur "google") und ergänzt diesen selbstständig. So entsteht dann z.B. der neue URL "www.www.google.de.com". Diesen schickt er erneut auf die Reise und da scheint er etwas zu finden. Da jetzt - nach der Deinstallation von ZoneAlarm 3.7 - alles wieder funktioniert und auch sonst keine Anzeichen für einen Virenbefall o.ä. von mehreren Scannern gefunden wurden, gehe ich von folgendem aus: ZoneAlarm haut irgendwie in diesen Auflöseprozeß "ungünstig" rein, so daß manche Namen nicht aufgelöst werden können - und beim User entsteht der Anschein, sein Browser wäre gehijacked worden. Wenn dem aber wirklich so ist, dann stimmt meiner Meinung nach essentiell etwas nicht mit ZoneAlarm! Ich bleibe aber auch weiterhin wachsam und mißtrauisch... Hier ist mein aktuelles HJT Logfile, falls es jemand durchforsten will. Anmerkungen: - O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor ist meine externe USB-Soundkarte - O4 - HKLM\..\Run: [RoboPDF] C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe ist ein Produkt von Macromedia - O23 - Service: Ati HotKey Poller - Unknown - C:\Windows\System32\Ati2evxx.exe ist von meiner ATI Grafikkarte - O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE ist wohl von Abby Fine Reader - C:\Windows\assembly\GAC_32\FontCacheService\6.0.4030.0__31bf3856ad364e35\FontCacheService.exe kommt mit der Installation von Avalon Danke für die Hilfe! Blik Logfile of HijackThis v1.99.0 Scan saved at 13:58:48, on 23.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\Windows\Explorer.EXE C:\Windows\system32\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Compaq\EAB\EabServr.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe C:\Windows\system32\RunDll32.exe C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Windows\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Internet Explorer\iexplore.exe C:\__brenner\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/newsticker O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE O4 - HKLM\..\Run: [RoboPDF] C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098909725458 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\Windows\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\System32\CTSvcCDA.EXE O23 - Service: Font Cache Downlevel - Unknown - C:\Windows\assembly\GAC_32\FontCacheService\6.0.4030.0__31bf3856ad364e35\FontCacheService.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe |
23.01.2005, 20:04 | #4 | |
| Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! eScan durchführen Zitat:
__________________ Focus |
Themen zu Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! |
.html, antivir, down, festgestellt, forum, gen, hijack, hijackthis, hijackthis log, hängt, installation, log, merkwürdig, mozilla, nicht gefunden, nicht mehr, rechner, seite, seiten, server, shutdown, sp2, surfen, viren, win xp, zone alarm |