|
Log-Analyse und Auswertung: Hijacks von Google auswertungenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.01.2006, 20:53 | #1 |
| Hijacks von Google auswertungen Sehr geehrte Damen und Herren! Mein Problem: Werde andauernd in google wenn ich auf den ausgewerteten link meiner suchanfrage klicke woanderst umgeleitet. z.B.: Suche: www.Highfish.at, klick auf link, umleitung auf z.b.:http://oldhetaira.com/HighFish.cfm?nft=1&t=4&p=4 Da ich schon Alle möglichen Viren sowie free scans (adaware, cws, bla bla) drüberrennen hab lassen weiß ich nicht mehr was ich tun soll. Ich glaube das folgende Zeile in meinen Log dies auslöst: O4 - HKLM\..\Run: [dmgdy.exe] C:\WINDOWS\system32\dmgdy.exe doch immer wenn ich diese Zeile "fixe" kommt sie gleich später wieder. Meine Vermutung: Trojaner. Bitte seht euch doch mal meinen Log kurz an! Logfile of HijackThis v1.99.1 Scan saved at 20:51:20, on 20.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\acoustic.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe D:\Unzipped\hijack\HijackThis.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Winamp\winamp.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\OPScan.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.highfish.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [TBTray] acoustic.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [dmgdy.exe] C:\WINDOWS\system32\dmgdy.exe O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137430112484 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hasitschka.at O17 - HKLM\Software\..\Telephony: DomainName = hasitschka.at O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B0F77E-376A-4ADD-B02D-B4CD9DE3454B}: NameServer = 85.255.116.53,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip\..\{F669AD6D-421B-4C98-9B45-8ADA53997FF7}: NameServer = 85.255.116.53,85.255.112.232 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hasitschka.at O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Ipswitch WS_FTP Queue (ftpqueue) - Ipswitch, Inc., 81 Hartwell Ave, Lexington MA 02421 - C:\Program Files\WS_FTP Pro\ftpsched.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Ich hoffe ihr könnt mir helfen! mfg HighFish |
20.01.2006, 21:08 | #2 | |
/// Helfer-Team | Hijacks von Google auswertungen Gehe mal davon aus, dass Du perfekt russisch sprichst, weil Du ja den ISP in der Ukraine hast:
__________________Zitat:
http://www.trojaner-board.de/showthread.php?t=17492
__________________ |
20.01.2006, 21:18 | #3 |
| Hijacks von Google auswertungen Hä hä hä?? Was wie wo? Wieso russisch?
__________________nix verstehen. Werd das mal mit den scan jetzt ausprobieren, aber wie kommst auf russisch und was soll das heissen was in den kastl steht? mfg HighFish |
20.01.2006, 21:22 | #4 |
/// Helfer-Team | Hijacks von Google auswertungen O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B0F77E-376A-4ADD-B02D-B4CD9DE3454B}: NameServer = 85.255.116.53,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip\..\{F669AD6D-421B-4C98-9B45-8ADA53997FF7}: NameServer = 85.255.116.53,85.255.112.232 Schaue mal: http://www.ripe.net/perl/whois/?form..._search=Search
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
20.01.2006, 21:24 | #5 |
| Hijacks von Google auswertungen Habe eigentlich nichts mit einen isp in der Ukraine damit zu tun, kann vielleicht sein weil ich eine Domain im Netzwerk habe oder so.... Les mir grad das tutorial durch, voll lang ächz.... |
20.01.2006, 21:28 | #6 |
| Hijacks von Google auswertungen Hallo, nein, das kann nicht sein, du hast dir da etwas eingefangen was deinen Internetverkehr über die Ukraine leitet. Übrigens wäre ein weiterer Vorschlag von mir nach Escan F-Secure Blacklight drüberlaufen zu lassen und das Log zu posten (Textdatei die im selben Pgad nach dem Scan erstellt wird) Grüße Wildone |
22.01.2006, 13:21 | #7 |
| Hijacks von Google auswertungen euda, scheiß dich an. Ist das schlecht? Wieso ist das so, wie kann ich das ändern. Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten. Mir geht diese ganze Hijackerei Spyware bla bla schon so am Orsch. |
22.01.2006, 13:32 | #8 | |
| Hijacks von Google auswertungenZitat:
Dein PC kann Adressen wie www.google.de nicht interpretieren. Doof gesagt schaut er dann erst in einer Datenbank (DNS-Server) nach, welche Zahlenfolge (IP-Adresse) mit zb. www.google.de identisch ist und leitet dich dann auf die entsprechende Seite. Wenn dein PC aber so eingestellt ist, das er zuerst bei einem ominösen DNS-Server nachfragt, dereben die korrekten IP Adressen gegen ominöse ausgetauscht hat (fälscht) und du dadurch auf nicht gewollte Seiten umgeleitet wirst ist der Nutzen folgender: Leute wollen an dir Geld verdienen.
__________________ Only cronos endures |
22.01.2006, 13:33 | #9 | ||||
| Hijacks von Google auswertungen Hallo, Zitat:
Zitat:
Und am besten noch deine Ausdrucksweise änderst, weil das meine Motivation dir zu helfen imens senkt: Zitat:
Zitat:
Grüße Wildone |
22.01.2006, 13:39 | #10 | ||
| Hijacks von Google auswertungenZitat:
Zitat:
__________________ Only cronos endures |
22.01.2006, 13:51 | #12 |
| Hijacks von Google auswertungen Ich meinte nur, dass die eigentliche Umleitung nicht dazu befähigt, Daten auszuspionieren. Habe die daraus resultierenden Schritte gerade nicht bedacht. Hast ja recht.
__________________ Only cronos endures Geändert von cronos (22.01.2006 um 14:00 Uhr) |
23.01.2006, 08:31 | #13 |
| Hijacks von Google auswertungen ta ta ra ta!! Hab den entsprechenden eintrag gefixt und es funkt wieder!! Super danke leute! Ihr habt es wirklich drauf. was man sich für so ein bisschen porno alles einfängt.... |
Themen zu Hijacks von Google auswertungen |
adobe, adobe reader, antivirus, bho, computer, dll, drivers, excel, explorer, firewall, frage, google, helfen, hijack, hijackthis, internet, internet explorer, log, monitor, problem, programme, rundll, settings manager, software, symantec, system, viren, windows, windows xp |