![]() |
|
Plagegeister aller Art und deren Bekämpfung: Umleitung der Suchergebnisse bei Google, Help!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Umleitung der Suchergebnisse bei Google, Help! Hallo Leutz! Auch wenn ich jetzt nicht unbedingt ein Newbie bin was PC - Sicherheit angeht ist mir beim Durchforsten der Beiträge hier klargeworden dass es doch noch ne Menge Dinge gibt von denen ich keine Ahnung habe... ![]() Folgendes Problem stellt sich: Seit einiger Zeit liefert mir die Suche nach verschiedenen Seiten bei Google zwar die korrekten Ergebnisse, wenn ich jedoch auf die Links klicke werde ich zu einer zufälligen (?) Werbeseite umgeleitet, so dass ich die Suchergebnisse mittels Copy/Paste in ein neues Browserfenster einbetten muß...Auf Dauer verdammt nervig..."Zufällig" deswegen weil ich bisher nie auf die gleichen Seiten geleitet wurde. Der Fehler tritt nicht immer auf, bevorzugt jedoch bei Seiten mit hoher Zugriffsrate ( thomann, musik-produktiv, ebay...). Leider hat der Scan mittels Ad-Aware bzw. a-squared keine Ergebnisse gebracht, ebenso die Durchstöberung einschlägiger Foren, deswegen poste ich mal hier nen Beitrag in der Hoffnung auf Hilfe Hier das HJT - Logfile : Logfile of HijackThis v1.99.1 Scan saved at 17:48:08, on 16.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\dcfssvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HJT\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133199306608 O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe |
![]() | #2 |
![]() ![]() ![]() | ![]() Umleitung der Suchergebnisse bei Google, Help! Servus!
__________________Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi
__________________ |
![]() | #3 |
![]() ![]() ![]() ![]() | ![]() Umleitung der Suchergebnisse bei Google, Help! Zusätzlich mal diesen Eintrag mit HJT-Fixen:
__________________O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207 Das ist nämlich mit 100%iger Sicherheit nicht der DNS-Server deines Providers.
__________________ |
![]() | #4 |
![]() | ![]() Umleitung der Suchergebnisse bei Google, Help! So, habe nach ausführlichem Studieren der Anleitung - und zwei Fehlversuchen ;-) - folgendes Logfile anzubieten : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jan 17 14:59:34 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken. Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken. Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken. Tue Jan 17 15:14:32 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0 Tue Jan 17 15:50:22 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken. Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken. Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken. Tue Jan 17 16:00:11 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jan 17 14:59:39 2006 => Offending Key found: HKLM\Software\kazaa !!! Tue Jan 17 14:59:39 2006 => Offending Key found: HKCU\Software\kazaa !!! Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml Tue Jan 17 14:59:56 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy Tue Jan 17 15:50:27 2006 => Offending Key found: HKLM\Software\kazaa !!! Tue Jan 17 15:50:27 2006 => Offending Key found: HKCU\Software\kazaa !!! Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml Tue Jan 17 15:50:44 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jan 17 15:40:43 2006 => Total Objects Scanned: 38244 Tue Jan 17 17:08:25 2006 => Total Objects Scanned: 46561 Tue Jan 17 15:40:43 2006 => Total Critical Objects: 6 Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0 Tue Jan 17 15:40:43 2006 => Total Deleted Objects: 0 Tue Jan 17 17:08:25 2006 => Total Critical Objects: 6 Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0 Tue Jan 17 17:08:25 2006 => Total Deleted Objects: 0 Tue Jan 17 15:40:43 2006 => Total Errors: 52 Tue Jan 17 17:08:25 2006 => Total Errors: 52 Tue Jan 17 15:40:43 2006 => Time Elapsed: 00:41:55 Tue Jan 17 17:08:25 2006 => Time Elapsed: 01:17:36 Tue Jan 17 14:50:24 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 14:51:53 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 14:53:11 2006 => Virus Database Date: 1/17/2006 Tue Jan 17 14:57:45 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 15:40:42 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 15:40:46 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 15:48:31 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 17:08:25 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 17:08:52 2006 => Virus Database Date: 1/16/2006 Tue Jan 17 17:16:49 2006 => Virus Database Date: 1/16/2006 Ich habe schon versucht näheres über die Beseitigung der Biester rauszufinden, aber bisher ohne Erfolg! |
![]() | #5 | |
![]() ![]() ![]() ![]() | ![]() Umleitung der Suchergebnisse bei Google, Help! Lösche zunächst deine temporären Dateien mittels CleanUp. Wechsle dann in den abgesicherten Modus bei deaktivierter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Lösche mittels Killbox folgende Dateien: C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\svcp.csv Zitat:
Neu booten und erstelle ein neues HJT-Logfile.Poste uns auch die Log-Datei von Ewido.
__________________ ![]() ![]() |
![]() | #6 |
![]() | ![]() Umleitung der Suchergebnisse bei Google, Help! So, alles durchgeführt, hier is das neue Logfile von HijackThis : Logfile of HijackThis v1.99.1 Scan saved at 12:32:25, on 18.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\dcfssvc.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HJT\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [dmgsm.exe] C:\WINDOWS\system32\dmgsm.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe Das Logfile von Ewido zu posten macht glaube ich weniger Sinn da dort nur eine einzige Fehlermeldung steht, die dafür zwölfmal untereinander: RegQueryValueEx failed, Value: 00000002 Ich hoffe ihr könnt damit was anfangen? ![]() |
![]() |
Themen zu Umleitung der Suchergebnisse bei Google, Help! |
ad-aware, adobe, adobe reader, antivir, avg, bho, drivers, explorer, fehler, google, help, hijack, hijackthis, internet, internet explorer, keine ahnung, logfile, problem, programme, scan, seiten, sicherheit, software, suche, system, windows, windows xp, windows\system32\drivers |