Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacks von Google auswertungen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.01.2006, 20:53   #1
www.highfish.at
 
Hijacks von Google auswertungen - Icon16

Hijacks von Google auswertungen



Sehr geehrte Damen und Herren!

Mein Problem: Werde andauernd in google wenn ich auf den ausgewerteten link meiner suchanfrage klicke woanderst umgeleitet.
z.B.: Suche: www.Highfish.at, klick auf link, umleitung auf z.b.:http://oldhetaira.com/HighFish.cfm?nft=1&t=4&p=4

Da ich schon Alle möglichen Viren sowie free scans (adaware, cws, bla bla) drüberrennen hab lassen weiß ich nicht mehr was ich tun soll.

Ich glaube das folgende Zeile in meinen Log dies auslöst:
O4 - HKLM\..\Run: [dmgdy.exe] C:\WINDOWS\system32\dmgdy.exe

doch immer wenn ich diese Zeile "fixe" kommt sie gleich später wieder. Meine Vermutung: Trojaner.

Bitte seht euch doch mal meinen Log kurz an!


Logfile of HijackThis v1.99.1
Scan saved at 20:51:20, on 20.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\acoustic.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Unzipped\hijack\HijackThis.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\OPScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.highfish.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TBTray] acoustic.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [dmgdy.exe] C:\WINDOWS\system32\dmgdy.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137430112484
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hasitschka.at
O17 - HKLM\Software\..\Telephony: DomainName = hasitschka.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B0F77E-376A-4ADD-B02D-B4CD9DE3454B}: NameServer = 85.255.116.53,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{F669AD6D-421B-4C98-9B45-8ADA53997FF7}: NameServer = 85.255.116.53,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hasitschka.at
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Ipswitch WS_FTP Queue (ftpqueue) - Ipswitch, Inc., 81 Hartwell Ave, Lexington MA 02421 - C:\Program Files\WS_FTP Pro\ftpsched.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Ich hoffe ihr könnt mir helfen!
mfg HighFish

Alt 20.01.2006, 21:08   #2
felix1
/// Helfer-Team
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Gehe mal davon aus, dass Du perfekt russisch sprichst, weil Du ja den ISP in der Ukraine hast:
Zitat:
organisation: ORG-EST1-RIPEorg-name: INHOSTERorg-type: NON-REGISTRYremarks: *************************************remarks: * Abuse contacts: abuse@inhoster.com *remarks: *************************************address: OOO Inhosteraddress: Poltavskij Shliax 24, Xarkov,address: 61000, Ukrainephone: +38 066 4633621e-mail: support@inhoster.comadmin-c: AK4026-RIPEtech-c: AK4026-RIPEmnt-ref: DAV-MNTmnt-by: DAV-MNTsource: RIPE # Filtered
Mache mal einen escan genau nach Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492
__________________

__________________

Alt 20.01.2006, 21:18   #3
www.highfish.at
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Hä hä hä?? Was wie wo? Wieso russisch?
nix verstehen.
Werd das mal mit den scan jetzt ausprobieren, aber wie kommst auf russisch und was soll das heissen was in den kastl steht?
mfg HighFish
__________________

Alt 20.01.2006, 21:22   #4
felix1
/// Helfer-Team
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B0F77E-376A-4ADD-B02D-B4CD9DE3454B}: NameServer = 85.255.116.53,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{F669AD6D-421B-4C98-9B45-8ADA53997FF7}: NameServer = 85.255.116.53,85.255.112.232

Schaue mal:
http://www.ripe.net/perl/whois/?form..._search=Search
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 20.01.2006, 21:24   #5
www.highfish.at
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Habe eigentlich nichts mit einen isp in der Ukraine damit zu tun, kann vielleicht sein weil ich eine Domain im Netzwerk habe oder so....

Les mir grad das tutorial durch, voll lang ächz....


Alt 20.01.2006, 21:28   #6
Wildone
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Hallo,
nein, das kann nicht sein, du hast dir da etwas eingefangen was deinen Internetverkehr über die Ukraine leitet. Übrigens wäre ein weiterer Vorschlag von mir nach Escan F-Secure Blacklight drüberlaufen zu lassen und das Log zu posten (Textdatei die im selben Pgad nach dem Scan erstellt wird)


Grüße Wildone

Alt 22.01.2006, 13:21   #7
www.highfish.at
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



euda, scheiß dich an. Ist das schlecht? Wieso ist das so, wie kann ich das ändern. Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten.
Mir geht diese ganze Hijackerei Spyware bla bla schon so am Orsch.

Alt 22.01.2006, 13:32   #8
cronos
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Zitat:
Zitat von www.highfish.at
. Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten.
Hierbei gehts um DNS-Server.
Dein PC kann Adressen wie www.google.de nicht interpretieren.
Doof gesagt schaut er dann erst in einer Datenbank (DNS-Server) nach, welche Zahlenfolge (IP-Adresse) mit zb. www.google.de identisch ist und leitet dich dann auf die entsprechende Seite.
Wenn dein PC aber so eingestellt ist, das er zuerst bei einem ominösen DNS-Server nachfragt, dereben die korrekten IP Adressen gegen ominöse ausgetauscht hat (fälscht) und du dadurch auf nicht gewollte Seiten umgeleitet wirst ist der Nutzen folgender:

Leute wollen an dir Geld verdienen.
__________________
Only cronos endures

Alt 22.01.2006, 13:33   #9
Wildone
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Hallo,
Zitat:
Was kann derjenige für einen nutzen daraus ziehn mich über einen russischen server umzuleiten.
Naja er kann z.B deine google Ergebnisse umleiten, könnte aber auch deine Bankdaten beim onlinebanking abfangen...
Zitat:
Wieso ist das so, wie kann ich das ändern.
Indem du das machst was man dir sagt.
Und am besten noch deine Ausdrucksweise änderst, weil das meine Motivation dir zu helfen imens senkt:
Zitat:
scheiß dich an
Zitat:
bla bla schon so am Orsch.

Grüße Wildone

Alt 22.01.2006, 13:39   #10
cronos
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Zitat:
Zitat von Wildone
Hallo,

Naja er kann z.B deine google Ergebnisse umleiten,
genau das macht er

Zitat:
könnte aber auch deine Bankdaten beim onlinebanking abfangen...
Eine Umleitung über einen falschen DNS-Server ist sicherlich nicht geeignet um solche Daten auszuspionieren.
__________________
Only cronos endures

Alt 22.01.2006, 13:41   #11
Wildone
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Hallo,
warum nicht, er kann doch auch wenn du www.deutsche-bank.de eingibst das ganze auf eine Pfishing Seite umleiten und schon sind die Daten weg. Wird schon bei per Mail verbreiteten Viren gemacht, Artikel dazu hier.


Grüße Wildone

Alt 22.01.2006, 13:51   #12
cronos
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



Ich meinte nur, dass die eigentliche Umleitung nicht dazu befähigt, Daten auszuspionieren.
Habe die daraus resultierenden Schritte gerade nicht bedacht.
Hast ja recht.
__________________
Only cronos endures

Geändert von cronos (22.01.2006 um 14:00 Uhr)

Alt 23.01.2006, 08:31   #13
www.highfish.at
 
Hijacks von Google auswertungen - Standard

Hijacks von Google auswertungen



ta ta ra ta!!
Hab den entsprechenden eintrag gefixt und es funkt wieder!! Super danke leute!

Ihr habt es wirklich drauf.


was man sich für so ein bisschen porno alles einfängt....

Antwort

Themen zu Hijacks von Google auswertungen
adobe, adobe reader, antivirus, bho, computer, dll, drivers, excel, explorer, firewall, frage, google, helfen, hijack, hijackthis, internet, internet explorer, log, monitor, problem, programme, rundll, settings manager, software, symantec, system, viren, windows, windows xp




Ähnliche Themen: Hijacks von Google auswertungen


  1. Trojaner, Hijacks und Pups
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  2. Trojaner Win32/ransom.ej + Auswertungen
    Log-Analyse und Auswertung - 05.02.2012 (1)
  3. Internet sehr langsam, hijacks auswertung?
    Mülltonne - 06.07.2011 (0)
  4. Weiterleitung zu Epoclick, Gomeo, google analytics, google websites, google anderer länder
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (6)
  5. Logfile Auswertungen nach Virusmeldung(en)
    Log-Analyse und Auswertung - 13.12.2010 (4)
  6. Hijackthis zeigt verschiedene Auswertungen
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (1)
  7. Keylogger? log auswertungen
    Log-Analyse und Auswertung - 30.04.2010 (2)
  8. hijacks und mehr Wer kann mir helfen und nachsehen ob alle ok ,lt.scan ja
    Log-Analyse und Auswertung - 03.03.2010 (1)
  9. Hijacks...hilfe beim auswerten
    Log-Analyse und Auswertung - 24.03.2009 (0)
  10. HiJacks auswerten
    Mülltonne - 06.02.2009 (0)
  11. Bitte um Auswertungen nach fetter Infektion
    Log-Analyse und Auswertung - 11.07.2008 (6)
  12. überprüfen des hijacks bitte
    Mülltonne - 06.07.2008 (0)
  13. Die .EXE von Avira, Hijacks, PCanywhere und anderen Programmen werden immer gelöscht
    Log-Analyse und Auswertung - 13.01.2008 (0)
  14. Bitte um Auswertung meines HiJacks + Problemlösung
    Log-Analyse und Auswertung - 20.11.2007 (3)
  15. Bitte um Überprüfung meines hijacks - Vielen Dank
    Mülltonne - 28.07.2007 (1)
  16. Kernel32.exe und HiJacks log file
    Log-Analyse und Auswertung - 30.10.2006 (3)
  17. Hilfe bitte Hijacks Logfile anschauen
    Plagegeister aller Art und deren Bekämpfung - 05.09.2006 (1)

Zum Thema Hijacks von Google auswertungen - Sehr geehrte Damen und Herren! Mein Problem: Werde andauernd in google wenn ich auf den ausgewerteten link meiner suchanfrage klicke woanderst umgeleitet. z.B.: Suche: www.Highfish.at, klick auf link, umleitung auf - Hijacks von Google auswertungen...
Archiv
Du betrachtest: Hijacks von Google auswertungen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.