Sehr geehrte Damen und Herren!

Mein Problem: Werde andauernd in google wenn ich auf den ausgewerteten link meiner suchanfrage klicke woanderst umgeleitet.
z.B.: Suche: www.Highfish.at, klick auf link, umleitung auf z.b.:http://oldhetaira.com/HighFish.cfm?nft=1&t=4&p=4

Da ich schon Alle möglichen Viren sowie free scans (adaware, cws, bla bla) drüberrennen hab lassen weiß ich nicht mehr was ich tun soll.

Ich glaube das folgende Zeile in meinen Log dies auslöst:
O4 - HKLM\..\Run: [dmgdy.exe] C:\WINDOWS\system32\dmgdy.exe

doch immer wenn ich diese Zeile "fixe" kommt sie gleich später wieder. Meine Vermutung: Trojaner.

Bitte seht euch doch mal meinen Log kurz an!


Logfile of HijackThis v1.99.1
Scan saved at 20:51:20, on 20.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\acoustic.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Unzipped\hijack\HijackThis.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\OPScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.highfish.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [dmgdy.exe] C:\WINDOWS\system32\dmgdy.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137430112484
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hasitschka.at
O17 - HKLM\Software\..\Telephony: DomainName = hasitschka.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B0F77E-376A-4ADD-B02D-B4CD9DE3454B}: NameServer = 85.255.116.53,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{F669AD6D-421B-4C98-9B45-8ADA53997FF7}: NameServer = 85.255.116.53,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hasitschka.at
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Ipswitch WS_FTP Queue (ftpqueue) - Ipswitch, Inc., 81 Hartwell Ave, Lexington MA 02421 - C:\Program Files\WS_FTP Pro\ftpsched.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Ich hoffe ihr könnt mir helfen!
mfg HighFish

Gehe mal davon aus, dass Du perfekt russisch sprichst, weil Du ja den ISP in der Ukraine hast:

Zitat:

organisation: ORG-EST1-RIPEorg-name: INHOSTERorg-type: NON-REGISTRYremarks: *************************************remarks: * Abuse contacts: abuse@inhoster.com *remarks: *************************************address: OOO Inhosteraddress: Poltavskij Shliax 24, Xarkov,address: 61000, Ukrainephone: +38 066 4633621e-mail: support@inhoster.comadmin-c: AK4026-RIPEtech-c: AK4026-RIPEmnt-ref: DAV-MNTmnt-by: DAV-MNTsource: RIPE # Filtered

Mache mal einen escan genau nach Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

Hä hä hä?? Was wie wo? Wieso russisch?
nix verstehen.
Werd das mal mit den scan jetzt ausprobieren, aber wie kommst auf russisch und was soll das heissen was in den kastl steht?
mfg HighFish

O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B0F77E-376A-4ADD-B02D-B4CD9DE3454B}: NameServer = 85.255.116.53,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{F669AD6D-421B-4C98-9B45-8ADA53997FF7}: NameServer = 85.255.116.53,85.255.112.232

Schaue mal:
http://www.ripe.net/perl/whois/?form..._search=Search

Habe eigentlich nichts mit einen isp in der Ukraine damit zu tun, kann vielleicht sein weil ich eine Domain im Netzwerk habe oder so....

Les mir grad das tutorial durch, voll lang ächz....

Hallo,
nein, das kann nicht sein, du hast dir da etwas eingefangen was deinen Internetverkehr über die Ukraine leitet. Übrigens wäre ein weiterer Vorschlag von mir nach Escan F-Secure Blacklight drüberlaufen zu lassen und das Log zu posten (Textdatei die im selben Pgad nach dem Scan erstellt wird)


Grüße Wildone

euda, scheiß dich an. Ist das schlecht? Wieso ist das so, wie kann ich das ändern. Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten.
Mir geht diese ganze Hijackerei Spyware bla bla schon so am Orsch.

Zitat:

Zitat von www.highfish.at

. Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten.

Hierbei gehts um DNS-Server.
Dein PC kann Adressen wie www.google.de nicht interpretieren.
Doof gesagt schaut er dann erst in einer Datenbank (DNS-Server) nach, welche Zahlenfolge (IP-Adresse) mit zb. www.google.de identisch ist und leitet dich dann auf die entsprechende Seite.
Wenn dein PC aber so eingestellt ist, das er zuerst bei einem ominösen DNS-Server nachfragt, dereben die korrekten IP Adressen gegen ominöse ausgetauscht hat (fälscht) und du dadurch auf nicht gewollte Seiten umgeleitet wirst ist der Nutzen folgender:

Leute wollen an dir Geld verdienen.

Hallo,

Zitat:

Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten.

Naja er kann z.B deine google Ergebnisse umleiten, könnte aber auch deine Bankdaten beim onlinebanking abfangen...

Zitat:

Wieso ist das so, wie kann ich das ändern.

Indem du das machst was man dir sagt.
Und am besten noch deine Ausdrucksweise änderst, weil das meine Motivation dir zu helfen imens senkt:

Zitat:

scheiß dich an

Zitat:

bla bla schon so am Orsch.

Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,

Naja er kann z.B deine google Ergebnisse umleiten,

genau das macht er

Zitat:

könnte aber auch deine Bankdaten beim onlinebanking abfangen...

Eine Umleitung über einen falschen DNS-Server ist sicherlich nicht geeignet um solche Daten auszuspionieren.

Hallo,
warum nicht, er kann doch auch wenn du www.deutsche-bank.de eingibst das ganze auf eine Pfishing Seite umleiten und schon sind die Daten weg. Wird schon bei per Mail verbreiteten Viren gemacht, Artikel dazu hier.


Grüße Wildone

Ich meinte nur, dass die eigentliche Umleitung nicht dazu befähigt, Daten auszuspionieren.
Habe die daraus resultierenden Schritte gerade nicht bedacht.
Hast ja recht.

ta ta ra ta!!
Hab den entsprechenden eintrag gefixt und es funkt wieder!! Super danke leute!

Ihr habt es wirklich drauf.


was man sich für so ein bisschen porno alles einfängt....