Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.01.2005, 13:00   #1
Blik
 
Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! - Standard

Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!



Hallo,

Problem: Seit gestern komme ich nicht mehr auf www.google.de sondern werde statt dessen auf www.www.google.de.com (alternativ: www.www.google.de.net /.org, ...) umgeleitet. Bei anderen Seiten (altavista, lycos, ...) das gleiche Phänomen.

So weit ja nix "ungewöhnliches", leider...

Ich habe die üblichen Dinge probiert: 2. und 3. alternativer Viren bzw. Trojanerscanner, HijackThis (1.99), sogar die Beta von Microsofts AntiSpyware-Paket hab ich runtergeladen - ohne Erfolg. HijackThis.de bringt keine roten ("bösen") Warnungen und die gelben konnte ich alle validieren. Andere Scanner mit tagesaktuellen Signaturen fanden nix.

Dann hab ich mal angefangen nachzudenken und habe festgestellt, daß dieses Problem auftrat seit der Installation von ZoneAlarm (3.7). Also hab ich ZoneAlarm ausgeschaltet (Shutdown ZoneAlarm) und siehe da: Kein Problem mehr!?!?

Hängt dieses Hijacking also mit ZoneAlarm zusammen? Das wäre ja obermerkwürdig!

Ich habe im Web herumgesucht und bin auf einen Beitrag in einem anderen Forum gestoßen, der das gleiche Verhalten beschreibt:

http://www.informationsarchiv.net/fo...trag-4299.html

Zitat:
Zitat:
Beim Surfen mit Mozilla werden die betroffenen Seiten nicht gefunden (can't resolve...).

microsoft.de wird auch gehijacked, dort wird der Server aber einfach nicht gefunden.

Wenn ich Zone Alarm ausschalte, findet kein hijack statt, vielleicht ein Ansatzpunkt zum Einkreisen?
Kennt jemand dieses Verhalten? Kann mir jemand beschreiben, woran das liegt? Ich poste auch gerne ein aktuelles HijackThis Log, obwohl ich nicht glaube, daß darin etwas gefunden werden kann...

Mein Rechner: Win XP, SP2, AntiVir, IE6 (ja, ich weiß...)

Danke für die Hilfe!
Blik

Alt 23.01.2005, 13:38   #2
Chris14
 

Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! - Standard

Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!



poste mal das HijackThis log hier. vielleicht finde ich einen eintrag, der zwar von hijackthis.de als gut befunden aber in wirklichkeit schlecht ist. (soetwas ist schonmal passiert)
__________________


Alt 23.01.2005, 14:15   #3
Blik
 
Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! - Standard

Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!



Hallo und danke für die Antwort,

folgendes ist in der Zwischenzeit geschehen:
- Ich habe alle gestern zusätzlich installierten Virenscanner, SpyDestroyer etc. wieder deinstalliert
- Auch ZoneAlarm ist wieder unten und...

KEINE PROBLEME MEHR!!! (???)

Beim Recherchieren bin ich auf einen neuen Ansatz gestoßen: Anscheinend nimmt der IE, kann er einen Namen wie z.B. www.google.de nicht auflösen, an, der User (Ich??? Frechheit!) hätte den URL unvollständig angegeben (z.B. "www.google" oder "google.de" oder einfach nur "google") und ergänzt diesen selbstständig. So entsteht dann z.B. der neue URL "www.www.google.de.com". Diesen schickt er erneut auf die Reise und da scheint er etwas zu finden.

Da jetzt - nach der Deinstallation von ZoneAlarm 3.7 - alles wieder funktioniert und auch sonst keine Anzeichen für einen Virenbefall o.ä. von mehreren Scannern gefunden wurden, gehe ich von folgendem aus:

ZoneAlarm haut irgendwie in diesen Auflöseprozeß "ungünstig" rein, so daß manche Namen nicht aufgelöst werden können - und beim User entsteht der Anschein, sein Browser wäre gehijacked worden. Wenn dem aber wirklich so ist, dann stimmt meiner Meinung nach essentiell etwas nicht mit ZoneAlarm!

Ich bleibe aber auch weiterhin wachsam und mißtrauisch...

Hier ist mein aktuelles HJT Logfile, falls es jemand durchforsten will.

Anmerkungen:
- O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor ist meine externe USB-Soundkarte
- O4 - HKLM\..\Run: [RoboPDF] C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe ist ein Produkt von Macromedia
- O23 - Service: Ati HotKey Poller - Unknown - C:\Windows\System32\Ati2evxx.exe ist von meiner ATI Grafikkarte
- O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE ist wohl von Abby Fine Reader
- C:\Windows\assembly\GAC_32\FontCacheService\6.0.4030.0__31bf3856ad364e35\FontCacheService.exe kommt mit der Installation von Avalon

Danke für die Hilfe!
Blik


Logfile of HijackThis v1.99.0
Scan saved at 13:58:48, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Compaq\EAB\EabServr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe
C:\Windows\system32\RunDll32.exe
C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\__brenner\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/newsticker
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [RoboPDF] C:\Windows\System32\spool\DRIVERS\W32X86\2\RPDFLchr.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098909725458
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\Windows\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\System32\CTSvcCDA.EXE
O23 - Service: Font Cache Downlevel - Unknown - C:\Windows\assembly\GAC_32\FontCacheService\6.0.4030.0__31bf3856ad364e35\FontCacheService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
__________________

Alt 23.01.2005, 20:04   #4
Focus
 
Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! - Standard

Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!



eScan durchführen
Zitat:
Neuen Ordner "bases" auf "c:\" erstellen. eScan downloaden. Mit Zip-Programm in neuen Ordner entpacken. Anleitung beachten. eScan online updaten, offline im abgesicherten Modus ausführen. Dauer des Scans ca 1 Stunde. Scan dient dem Aufspüren von Malware, wird bei kostenloser Version nicht entfernt. Kann manuell erledigt werden.

Dies angeben:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

zuzüglich der Namen der Viren: "öffne die mwav.log (oder die mwXface.log) -> bearbeiten -> suchen -> infected eingeben -> weitersuchen -> Treffer markieren/kopieren -> ins Forum übertragen."
__________________
Focus

Antwort

Themen zu Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!
.html, antivir, down, festgestellt, forum, gen, hijack, hijackthis, hijackthis log, hängt, installation, log, merkwürdig, mozilla, nicht gefunden, nicht mehr, rechner, seite, seiten, server, shutdown, sp2, surfen, viren, win xp, zone alarm




Ähnliche Themen: Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!


  1. Browser Google Hijack isearchinfo + Werbeeinblendungen und Linkumleitungen
    Log-Analyse und Auswertung - 24.02.2013 (3)
  2. Google Redirect Virus bzw. Google Hijack + PC Langsam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (2)
  3. Browser Hijack: Firefox 9.0.1 leitet Google Suchergebnisse um
    Log-Analyse und Auswertung - 25.01.2012 (3)
  4. Google Hijack - ich bekomm es nicht gelöscht
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (19)
  5. Google Hijack
    Log-Analyse und Auswertung - 13.07.2010 (2)
  6. Google und IExplorer öffnen Werbeseiten, AVir meldet Viren, HiJack funktioniert nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 28.04.2010 (26)
  7. antivir, hijack, spybot funktionieren nicht; von gmer.net/hijackthis.de auf google um
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (4)
  8. Spamweiterleitung bei Google, HiJack This tut´s nicht...äh...Hilfe?!
    Log-Analyse und Auswertung - 10.07.2009 (2)
  9. merkwürdig
    Log-Analyse und Auswertung - 07.05.2009 (0)
  10. Browser Hijack - Explorer und Firefox öffnen bei Google-Links falsche Seiten
    Log-Analyse und Auswertung - 27.03.2009 (4)
  11. Google-Browser-Hijack
    Log-Analyse und Auswertung - 18.02.2009 (1)
  12. Google Weiterleitung bei Suchen (Browser-Hijack)
    Log-Analyse und Auswertung - 09.02.2009 (0)
  13. Pc langsam/merkwürdig
    Log-Analyse und Auswertung - 13.12.2008 (2)
  14. Google Links werden redirected, HiJAck-Log
    Log-Analyse und Auswertung - 04.10.2008 (6)
  15. Google-hijack
    Log-Analyse und Auswertung - 16.03.2007 (23)
  16. Merkwürdig....
    Log-Analyse und Auswertung - 08.06.2005 (1)
  17. Firefox findet Google und Hotmail nicht mehr - Hijack!?!
    Plagegeister aller Art und deren Bekämpfung - 03.12.2004 (6)

Zum Thema Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! - Hallo, Problem: Seit gestern komme ich nicht mehr auf www.google.de sondern werde statt dessen auf www.www.google.de.com (alternativ: www.www.google.de.net /.org, ...) umgeleitet. Bei anderen Seiten (altavista, lycos, ...) das gleiche Phänomen. - Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!!...
Archiv
Du betrachtest: Hijack auf www.www.google.de.com & ZoneAlarm -> merkwürdig!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.