Domain hijack?!

TAG · 30.09.2005, 06:38

Moin moin!
ich habe folgendes problem,
wenn ich online gehe und z.B. google aufrufen möchte läd erst immer diese seite:

h**p://217.0.117.27:8080/serviceRedirect;jsessionid=skvotbx6l0y?serviceURL=http%3A%2F%2Fwww.google.de%2F&t=ee80dm2v
h**p://217.0.117.27:8080/status
h**p://217.0.117.27:8080/serviceStart/refresh/home?service=sInternet

danach kommt dann eine seite von 1und1 (mein provider)

h**p://portal.1und1.de/?originURL=0

habe im windows abgesicherten modus antivir, ad-aware und HijackThis checken lassen, ohne erfolg!

hi das hijack log:
Logfile of HijackThis v1.99.0
Scan saved at 20:12:28, on 29.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Winamp\Winampa.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\download\System_Standart_TAG\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A83163-F7A6-464B-B828-6DBD39E7F6CE}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

habe dann 017 HKLM\System\CCS\Services... wg domain hijack gelöst, und es taucht auch nicht mehr auf wenn ich nun mit HijackThis erneut checke.

Logfile of HijackThis v1.99.0
Scan saved at 07:40:19, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Winamp\Winampa.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\DOKUME~1\KATJA\LOKALE~1\TEMP\_VWUPSRV.EXE
D:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\download\System_Standart_TAG\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: AntiVir Update Temp - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\KATJA\LOKALE~1\TEMP\_VWUPSRV.EXE

aber leider habe ich immernoch das selbe problem, wenn ich online gehe kommt immer erst diese ominöse "http://217.0.117.27:8080" Seite und dann die weiterleitung zur "1und1" seite!

ich wäre für jede hilfe dankbar!
danke + gruß
TAG

[edit]
links entfernt
[/edit]

stupormundi · 30.09.2005, 09:33

Guten Tag, TAG!
Poste bitte ein LogFile aus dem "normalen" Modus!

Zitat:

Logfile of HijackThis v1.99.0
Scan saved at 07:40:19, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Ein Update auf SP2 plus aller seitdem erschienen Sicherheitsupdates ist auch notwendig!
Bis nach dem neuen LogFile, stupormundi

joeyblack · 30.09.2005, 09:35

Hallo TAG,

zur Fehlersuche kann ich leider nicht beitragen, aber Deinem Windows XP fehlen die letzten updates (SP2), darüber hinaus kann ich Dir noch einen anderen Browser (z.B. Firefox) empfehlen.

Grüße

Joeyblack

_____________________________________
Ubi bene ibi patria !

@ stupormundi

...beim dritten crossposting schulde ich Dir ein virtuelles Bier Deiner Wahl.

Grüße
Joeyblack

Wildone · 30.09.2005, 09:35

Hallo,
zukünftig die Mails von 1&1 besser lesen, die haben angekündigt das sie die Umleitung machen, und auch beschrieben wie man das im Controlcenter wieder rückgängig machen kann, siehe hier
Und lass die Finger von den O17 Einträgen es sei denn du willst deinen Internetzugang zerschießen.

Grüße Wildone

TAG · 30.09.2005, 10:36

Zitat:

Zitat von Wildone

Hallo,
zukünftig die Mails von 1&1 besser lesen, die haben angekündigt das sie die Umleitung machen, und auch beschrieben wie man das im Controlcenter wieder rückgängig machen kann, siehe hier
Und lass die Finger von den O17 Einträgen es sei denn du willst deinen Internetzugang zerschießen.

Grüße Wildone

oops,
1&1 spamned mich mit "werbung" zu, schätze das ich ne wichtige mail übersehen bzw gelöst habe!
vielen dank für deine hilfe

Gruß + schönes wochenende
TAG

Domain hijack?!

Log-Analyse und Auswertung: Domain hijack?!

Domain hijack?!

Domain hijack?!

Domain hijack?!

Domain hijack?!

Domain hijack?!

Ähnliche Themen: Domain hijack?!

30.09.2005, 09:35	#4
Wildone	Domain hijack?! Hallo, zukünftig die Mails von 1&1 besser lesen, die haben angekündigt das sie die Umleitung machen, und auch beschrieben wie man das im Controlcenter wieder rückgängig machen kann, siehe hier Und lass die Finger von den O17 Einträgen es sei denn du willst deinen Internetzugang zerschießen. Grüße Wildone