hallo,
seit kurzem hab ich das Problem, wenn ich im Internet Explorer per Google die Suchergebnisse anklicke werde ich immer zu andern Seiten weiltergeleitet. Bekomme das auch nicht mit Kaspersky oder HijackThis weg.

Mit eScan habe ich ein paar Vieren gefunden. Nun weiß ich aber nicht, wie ich den in der Registry wegbekomme.

Hier mal mein Logfile:


Sun Apr 23 14:52:16 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sun Apr 23 14:52:16 2006 => Loading Spyware Signatures from new External Database (Size: 154889).
Sun Apr 23 14:52:18 2006 => Indexed Spyware Databases Successfully Created...

Sun Apr 23 14:52:20 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: Keine Aktion vorgenommen.
Sun Apr 23 14:52:23 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Sun Apr 23 14:52:23 2006 => Object "limewire Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sun Apr 23 14:52:23 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\windows adstatus !!!
Sun Apr 23 14:52:23 2006 => Object "windows adstatus Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sun Apr 23 14:52:24 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Sun Apr 23 14:52:24 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.

Sun Apr 23 14:52:24 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\conflict.1\hdplugin1019.dll
Sun Apr 23 14:52:24 2006 => System found infected with gator Spyware/Adware (hdplugin1019.dll)! Action taken: Keine Aktion vorgenommen.

Sun Apr 23 14:52:24 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\winadservx.dll
Sun Apr 23 14:52:24 2006 => System found infected with winad Spyware/Adware (winadservx.dll)! Action taken: Keine Aktion vorgenommen.

Sun Apr 23 14:52:24 2006 => Offending file found: C:\WINDOWS\system32\objsafe.tlb
Sun Apr 23 14:52:24 2006 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: Keine Aktion vorgenommen.

Sun Apr 23 14:52:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Alex\Eigene Dateien\xwinkey\key changer\xp key changer\tool2.exe
Sun Apr 23 14:52:29 2006 => System found infected with cws.loadadv.400 Browser Hijacker (tool2.exe)! Action taken: Keine Aktion vorgenommen.

Suche mal diese ntsvc.ocx datei im Systemordner!

Falls vorhanden kannst gleich neu aufsetzen, dann hast dir einen Backdoortrojaner troj/taladra-f BackDoor eingefangen.

Neuaufsetzen nach Cidre's Anleitung

@vialli:
Poste doch auch mal bitte so ein Logfile.

also, mein Bruder und mein Dad (eigentlich alle aus meiner Family) haben diese Datei aufm PC... und keiner hat irgendwelche Probleme...

Ist das nicht ne notwendige Systemdatei? Wenn ich hier bissl im Forum stöbere, schlägt eScan da irgendwie immer an...

Drchem

"Sobald Troj/Taladra-F installiert ist, wird die virenfreie Datei <System>\ntsvc.ocx erstellt." (Quelle: Sophos)

"Wie Verwenden von NTSVC.OCX in Visual Basic" (Quelle: Microsoft aus dem Epos "Deutsche Sprache, schwere Sprache oder maschinenelle Übersetzung ist das Vorbild des PISA-Problems")


@ The Saint: ein bisserl mehr googlen ...

@ Drchem:

Ich blick hier grad nicht durch.

The Saints These war, dass der Fund der ntsvc.ocx auf den von eScan erwähnten Backdoor hinweisst (laut Sophos, ist daran nichts verkehrt).
Eine Suche in der Registry könnte das bestätigen.

Drchems These besagt, da alle in seiner Familie diese Datei auf dem Rechner haben, kann sie nicht Teil einer Infektion sein. Ich zB habe diese Datei nicht auf dem Rechner.

Der zweite von Shadow gepostete Link besagt lediglich, dass die ocx von VB für das Erstellen von NT-Diensten verwendet wird.
Sorry, dass ich grade auf dem Schlauch stehe, aber ich sehe nicht, was bisher an der Backdoorvermutung falsch sein soll.

Die Vermutung ist richtig, doch die zwingende Schlußfolgerung ist falsch. Die Existenz von ntsvc.ocx ist ein Indiz, aber kein Beweis.
------------------------------------------------------------------------
Wenn Troj/Taladra-F vorhanden, dann ist auch ntsvc.ocx vorhanden.

Wenn ntsvc.ocx vorhanden ist, ist aber nicht zwangsläufig Troj/Taladra-F vorhanden.
------------------------------------------------------------------------

Um mit VB einen Dienst zu erstellen, wird die Programmerweiterung ntsvc.ocx von Microsoft benötigt, d.h. jeder mit VB erstellte Dienst kann oder wird die ntsvc.ocx mit sich führen

Zitat:

Zitat von Shadow

Die Vermutung ist richtig, doch die zwingende Schlußfolgerung ist falsch.

Ok, ich hatte Deine beiden Klammeraffen fehlinterpretiert.