Leider kann ich Google nicht mehr richtig benutzen, da von den Suchergebnissen zu anderen Suchseiten umgeleitet wird, die tatsächliche Seite kann nur noch selten erreicht werden. Hijack-this kann nichts finden. Was kann man da sonst noch machen?

Hallo IllLorenzo,
man kann sich vorab Spybot Search & Destroy laden und AdAware Free.Google sagt dir wo,nimm es von den Originalseiten.Beide Programme updaten und im abgesicherten Modus(einschalten,Taste F8 gedrückt halten) einen Fullscan machen.Sie sollten in der Lage sein,deinen vermutlichen Hijacker erwischen zu können.
Zur Kontrolle machst du dann ein HijackThis-Logfile und einen EScan und stellst beides hier ein.Kopiere oder merke dir die Funde von Spybot und Adaware,stelle sie hier dazu.
Anleitung und Download findest du für Beide hier auf der Startseite unter "Anleitungen,FAQ,Links"
Halte dich ganz genau an die Anweisungen,sonst funktionieren die Programme nicht .
Irrlicht

Hallo,

@irrlicht, liest Du im Moment auch noch, was Du postest?

Zitat:

Zitat von ilLorenzo

Leider kann ich Google nicht mehr richtig benutzen,

Zitat:

Zitat von irrlicht

Google sagt dir wo,nimm es von den Originalseiten

Etwas mehr Elan und Arbeit haben die Posts schon verdient.
@ilLorenzo: Anleitung für ein HijackThis in meiner Signatur verlinkt. Poste es hier.

Gruß

Schrulli

Jep,,
ich will vor dem Posten erst die Frage lesen
ich will vor dem Posten erst die Frage lesen
Gibt es hier irgendwo einen "Asche-auf`s-Haupt-streu"-Smiley ?
Irrlicht

Hier der aktuelle Logfile. Spybot habe ich schon durchlaufen lassen, was ewig gedauert hat und keine Verbesserung gebracht hat.

Logfile of HijackThis v1.99.1
Scan saved at 13:28:26, on 07.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\UPS\WorldShip\Wshipservicecom.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\MXOaldr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOaldr.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041606 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113228009906
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WShipServiceCom - Unknown owner - C:\UPS\WorldShip\Wshipservicecom.exe

Hallo,

in dem Log sehe ich nichts, Du hast eine Eumex Telefonanlage?
Scanne dein System online und poste das Ergbnis.

Gruß

Schrulli

Leider funktioniert der verlinkte Scan nicht bei mir. Der aktuelle Bitdefender Onlinescan hat nix gefunden.... Was kann noch versucht werden?

Hallo,
poste mal das Log von F-Secure Blacklight (wird automatisch im selben Pfad erstellt, fsbl**.txt)


Grüße Wildone

Ist es das hier?
04/12/06 18:42:38 [Info]: BlackLight Engine 1.0.35 initialized
04/12/06 18:42:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/06 18:42:39 [Note]: 7019 4
04/12/06 18:42:39 [Note]: 7005 0
04/12/06 18:42:43 [Note]: 7006 0
04/12/06 18:42:43 [Note]: 7011 1048
04/12/06 18:42:44 [Note]: 7026 0
04/12/06 18:42:44 [Note]: 7026 0
04/12/06 18:42:44 [Note]: FSRAW library version 1.7.1015
04/12/06 18:43:07 [Info]: Hidden file: C:\Programme\Hewlett-Packard\Digital Imaging\bin\DestTest.exe
04/12/06 18:43:07 [Note]: 10002 1
04/12/06 18:43:57 [Info]: Hidden file: C:\Programme\CyberLink\PowerDVD\cltest.exe
04/12/06 18:43:57 [Note]: 10002 1
04/12/06 18:45:27 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/12/06 18:45:27 [Note]: 10002 1
04/12/06 18:45:45 [Info]: Hidden file: C:\WINDOWS\system32\cswdk.exe
04/12/06 18:45:45 [Note]: 7002 32
04/12/06 18:45:45 [Note]: 7003 1
04/12/06 18:45:45 [Note]: 10002 1
04/12/06 18:45:47 [Info]: Hidden file: C:\WINDOWS\system32\dmdtq.exe
04/12/06 18:45:47 [Note]: 7002 32
04/12/06 18:45:47 [Note]: 7003 1
04/12/06 18:45:47 [Note]: 10002 1
04/12/06 18:45:49 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/12/06 18:45:49 [Note]: 10002 1

Und kann man da was sehen?

Hallo,
das sicherste wäre ein Neuaufsetzen deines Systems, du hast einen Trojaner auf dem System der Rootkittechnologie verwendet um sich zu tarnen. Diese können sich sehr tief in das System eingraben und sind nicht so ohne weiteres zu beseitigen. Und wenn etwas übrig bleibt können deine Daten weiterhin an einen Server in der Ukraine weitergeleitet werden, das Risiko wäre mir zu hoch.

Also hier ist eine Anleitung wie du dein System neu aufsetzen und anschließend absichern solltest.


Grüße Wildone

Spaß, oder? System neu aufsetzen ok. Aber meine Daten in der Ukraine!!!!

Hallo,
nein, kein Spass, normalerweise kommt dein Trojaner mit einer Umleitung deiner Internetanfragen zu einem Server in der Ukraine daher. Bei dir ist zwar diese Umleitunge nicht zu sehen, aber da sein müßte sie trotzdem, immerhin wirst du bei google umgeleitet.
Theoretisch ist es natürlich auch möglich wenn du w*w.deutsch-bank.de oder ebay.de eingibst dich auf eine gefälschte Seite umzuleiten, und so deine Daten abzufangen.


Grüße Wildone