Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
google links werden falsch verlinkt! Hijacking?

google links werden falsch verlinkt! Hijacking?


Plagegeister aller Art und deren Bekämpfung: google links werden falsch verlinkt! Hijacking?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.06.2006, 10:55   #1
pepowski
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


hallo,
ich habe seit kurzem das selbe problem wie einige hier im forum, daß google in den ersten einträgen auf kommerzielle seiten wie ebay verlinkt (bei allen suchbegriffen!)!
bin auch neu beim problem hijacking. habe mich aber informiert, das ein log-file von HijackThis wohl hilfreich bei der problemfindung ist. welche einträge können fixiert werden? hier das aktuelle file:

Logfile of HijackThis v1.99.1
Scan saved at 11:56:40, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\hijackthis\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Dokumente und Einstellungen\***\Eigene Dateien\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [Festoon] C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe /BOOT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: movie-XL.lnk = C:\Programme\movieXL\StartJP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOpen Silent-Fan AP.lnk = C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport downloaden - C:\Dokumente und Einstellungen\***\Eigene Dateien\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport downloaden - C:\Dokumente und Einstellungen\***\Eigene Dateien\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{52158989-9CEE-4973-A6C3-8E83F04E1357}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B7E2A9-C747-45A6-BBD6-1AAA25D9DB56}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD8FF6D-11DC-454B-97B7-CA7371971CB7}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C092D3-5020-4D65-9904-57A0F6AFADA9}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS2\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



wenn noch irgendwelche informationen gebraucht werden sagt bescheid,
vielen dank erstmal

pepe

Alt 06.06.2006, 11:07   #2
Wildone
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hallo,
scanne dein System mal mit F-Secure Blacklight und poste das Log (wird automatisch im selben Pfad erstellt, fsbl**.txt).


Grüße Wildone
__________________
Alt 06.06.2006, 12:24   #3
pepowski
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


log-file von f-secure:

06/06/06 13:17:44 [Info]: BlackLight Engine 1.0.37 initialized
06/06/06 13:17:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/06/06 13:17:44 [Note]: 7019 4
06/06/06 13:17:44 [Note]: 7005 0
06/06/06 13:17:49 [Note]: 7006 0
06/06/06 13:17:49 [Note]: 7011 588
06/06/06 13:17:50 [Note]: 7026 0
06/06/06 13:17:50 [Note]: 7026 0
06/06/06 13:17:53 [Note]: FSRAW library version 1.7.1015
06/06/06 13:18:01 [Info]: Hidden file: c:\Programme\CyberLink DVD Solution\PowerDVD\cltest.exe
06/06/06 13:18:01 [Note]: 10002 1
06/06/06 13:18:11 [Info]: Hidden file: c:\WINDOWS\system32\dmfns.exe
06/06/06 13:18:11 [Note]: 7002 32
06/06/06 13:18:11 [Note]: 7003 1
06/06/06 13:18:11 [Note]: 10002 1
06/06/06 13:18:12 [Info]: Hidden file: c:\WINDOWS\system32\kilacln.exe
06/06/06 13:18:12 [Note]: 10002 1
06/06/06 13:18:12 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
06/06/06 13:18:12 [Note]: 10002 1
06/06/06 13:18:13 [Info]: Hidden file: c:\WINDOWS\system32\howiper.exe
06/06/06 13:18:13 [Note]: 10002 1
06/06/06 13:18:14 [Info]: Hidden file: c:\WINDOWS\system32\sphlp32.exe
06/06/06 13:18:43 [Note]: 7002 5
06/06/06 13:18:43 [Note]: 7003 1
06/06/06 13:18:43 [Note]: 10002 1
06/06/06 13:18:44 [Info]: Hidden file: c:\WINDOWS\system32\csweq.exe
06/06/06 13:18:44 [Note]: 7002 32
06/06/06 13:18:44 [Note]: 7003 1
06/06/06 13:18:44 [Note]: 10002 1
06/06/06 13:19:04 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
06/06/06 13:19:04 [Note]: 10002 1
06/06/06 13:19:07 [Note]: 2000 1006
06/06/06 13:24:31 [Note]: 7007 0

während des f-secure scans hat Antivir noch diesen trojaner gefunden "TR/Click.526" (?) zugriff wurde verweigert.

pepe
__________________
Alt 06.06.2006, 12:36   #4
pepowski
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


hab grade bemerkt karl k hat im gleichen thema ("google-Links verbinden falsch") ein ähnliches problem. die versteckten dateien, die durch f-secure gefunden wurden scheinen dieselben zu sein?!

Alt 06.06.2006, 12:46   #5
Wildone
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hallo,
benenne mit Blacklight (bei "Step 2 Cleaning" mit der renamefunktion) folgende Dateien um:

c:\WINDOWS\system32\dmfns.exe
c:\WINDOWS\system32\kilacln.exe
c:\WINDOWS\system32\pppcgm.exe
c:\WINDOWS\system32\howiper.exe
c:\WINDOWS\system32\sphlp32.exe
c:\WINDOWS\system32\csweq.exe

diese tauchen dann auch im Explorer auf, als

c:\WINDOWS\system32\dmfns.exe.ren
c:\WINDOWS\system32\kilacln.exe.ren
c:\WINDOWS\system32\pppcgm.exe.ren
c:\WINDOWS\system32\howiper.exe.ren
c:\WINDOWS\system32\sphlp32.exe.ren
c:\WINDOWS\system32\csweq.exe.ren

die Dateien löschst du dann.

Dann fixt (Hakendavor und auf "fix checked") du folgende Einträge mit HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{52158989-9CEE-4973-A6C3-8E83F04E1357}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B7E2A9-C747-45A6-BBD6-1AAA25D9DB56}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD8FF6D-11DC-454B-97B7-CA7371971CB7}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C092D3-5020-4D65-9904-57A0F6AFADA9}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67
O17 - HKLM\System\CS2\Services\Tcpip\..\{31EC1BAC-84F3-443C-A60D-2C36299A1D6D}: NameServer = 85.255.115.58,85.255.112.67

und postest danach ein neues HijackThis Log.


Grüße Wildone


Alt 06.06.2006, 13:02   #6
pepowski
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


ok, durchgeführt, hier das neue log-file:

Logfile of HijackThis v1.99.1
Scan saved at 14:06:43, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [Festoon] C:\Programme\Santa Cruz Networks\Festoon\Festoon.exe /BOOT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Player\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [dmfns.exe] C:\WINDOWS\system32\dmfns.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: movie-XL.lnk = C:\Programme\movieXL\StartJP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOpen Silent-Fan AP.lnk = C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport downloaden - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport downloaden - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\pepe\Eigene Dateien\Eigene Programme\Ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

pepe

Alt 06.06.2006, 13:08   #7
Wildone
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hallo,
fixe auch noch folgende Einträge:
O4 - HKLM\..\Run: [dmfns.exe] C:\WINDOWS\system32\dmfns.exe
wenn nicht bewußt so eingerichtet auch alle O15 Einträge.

Ansonsten sollte es das gewesen sein. Die Umleitungen sind jetzt weg, oder?
Zukünftig keine Cracks oder sonstige Programme von unseriösen Quellen (P2P, Mailanhänge...) ausführen. Sicherheitshalber solltest du auch deine Passwörter ändern, es ist möglich, dass diese übermittelt wurden.


Grüße Wildone

Alt 06.06.2006, 13:20   #8
pepowski
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


super das scheint wieder zu laufen! was heißen denn diese O15 einträge? Das der explorer diese "schreibfehler" erkennt?

sonst schonmal vielen dank, danke das es euch gibt!

pepe

Alt 06.06.2006, 13:24   #9
Wildone
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hallo,
die O15 Einträge sind dafür da bewußt bestimmte Protokolle(http, ftp...) in einer gesonderten Sicherheitszone laufen zu lassen. Wenn du das nicht so eingestellt hast solltest du sie fixen.
Hier mal noch ein Tipp wie der IE eingestellt sein sollte um mit ihm sicherer unterwegs zu sein.


Grüße Wildone

Alt 06.06.2006, 14:04   #10
pepowski
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


danke für die hilfe

pepe

Alt 20.06.2006, 13:22   #11
Netter Mann
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hi,
ich hatte das selbe Problem mit der falschen Verlinkung und habe deshalb die gleichen Schritte wie oben beschrieben befolgt. Allerdings waren die vesteckten Dateien nicht alle gleich.

log-file Blacklight:

06/20/06 16:10:08 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 16:10:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 16:10:08 [Note]: 7019 4
06/20/06 16:10:08 [Note]: 7005 0
06/20/06 16:10:12 [Note]: 7006 0
06/20/06 16:10:12 [Note]: 7011 472
06/20/06 16:10:12 [Note]: 7026 0
06/20/06 16:10:12 [Note]: 7026 0
06/20/06 16:10:19 [Note]: FSRAW library version 1.7.1015
06/20/06 16:10:22 [Info]: Hidden file: c:\CCStudio_v3.1\cc\bin\evmdsktest.exe
06/20/06 16:10:22 [Note]: 10002 1
06/20/06 16:14:18 [Info]: Hidden file: c:\WINDOWS\system32\kilacln.exe
06/20/06 16:14:40 [Note]: 10002 1
06/20/06 16:14:43 [Info]: Hidden file: c:\WINDOWS\system32\dmxxk.exe
06/20/06 16:14:43 [Note]: 7002 32
06/20/06 16:14:43 [Note]: 7003 1
06/20/06 16:14:43 [Note]: 10002 1
06/20/06 16:14:45 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
06/20/06 16:14:45 [Note]: 10002 1
06/20/06 16:14:47 [Info]: Hidden file: c:\WINDOWS\system32\csfgy.exe
06/20/06 16:14:47 [Note]: 7002 32
06/20/06 16:14:47 [Note]: 7003 1
06/20/06 16:14:47 [Note]: 10002 1
06/20/06 16:15:46 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
06/20/06 16:15:46 [Note]: 10002 1
06/20/06 16:32:12 [Note]: 7007 0


Ich habe die Dateien kilacln.exe, dmxxk.exe, pppcgm.exe, pppcgm. exe und csfgy.exe umbenannt und gelöscht. Die Datei evmdsktest.exe habe ich nicht gelöscht, da sie zu einer Entwicklungsumgebung für DSPs ist und denke, dass die da bleiben soll.
Anschließend habe ich mit HijackThis die Einträge mit O17 gefixt, also die mit den IP Adressen aus der Ukraine und auch den Eintrag unter O4 und der Datei dmxxk.exe. (Ich bin zur Zeit in Indien, denke aber dass ich auch von hier aus normalerweise nicht über einen ukrainischen Server gehe).
Nach einem Neustart habe ich die beiden Programme nochmal durchlaufen lassen. Seltsamerweise findet Blacklight jetzt nicht mal mehr die nicht gelöschten Dateien. Ist das normal?
Die Probleme unter google sind jetzt weg, jedoch bemerkte ich nach dem HiJackThis, dass ich immer noch über den ukrainischen Server ins Netz gehe. Was kann noch die Ursache dafür sein?

Hier der aktuelle HiJack-log

Logfile of HijackThis v1.99.1
Scan saved at 17:02:45, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\DAP\DAP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\PerSono\perstray.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Timo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111292356781
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2CAE57F-E899-4B2F-96FD-65254B50A428}: NameServer = 85.255.115.43 85.255.112.185
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

Alt 20.06.2006, 17:51   #12
Netter Mann
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hi nochmal,
ich hab das Problem gelöst. Die IPs waren noch als DNS Server im Protokoll. Hab sie gelöscht und auf automatisch beziehen gestellt.

Alt 21.04.2007, 08:37   #13
Cornster
 
google links werden falsch verlinkt! Hijacking? - Standard

google links werden falsch verlinkt! Hijacking?


Hallo, bitte helft mir, ich habe das gleiche Problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Antwort

Themen zu google links werden falsch verlinkt! Hijacking?
adobe, antivir, avira, bho, computer, cyberlink, defender, ebay, einstellungen, explorer, falsch verlinkt, ftp, gebraucht, google, hijackthis, hilfreich, internet, internet explorer, intranet, log-file, nvidia, problem, rundll, security, security suite, seiten, software, solution, system, träge, windows, windows defender, windows xp


« Viren/Malware unter Vista? | Verbindung bricht unregelmäßig ab die 2te :D »


Ähnliche Themen: google links werden falsch verlinkt! Hijacking?


  1. Google verlinkt falsch - Lösung?
    Log-Analyse und Auswertung - 29.04.2011 (19)
  2. Google verlinkt falsch
    Log-Analyse und Auswertung - 27.04.2011 (1)
  3. Google verlinkt mich falsch
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (27)
  4. Google verlinkt falsch / gomeo
    Log-Analyse und Auswertung - 08.12.2010 (4)
  5. google links werden falsch umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (7)
  6. Google verlinkt falsch bzw. andere links leiten falsch weiter!
    Log-Analyse und Auswertung - 01.02.2010 (17)
  7. Google verlinkt falsch im FF und IE
    Log-Analyse und Auswertung - 09.08.2009 (3)
  8. Google Links falsch verlinkt -> Werbung
    Plagegeister aller Art und deren Bekämpfung - 07.08.2009 (4)
  9. Google verlinkt falsch
    Log-Analyse und Auswertung - 07.06.2009 (35)
  10. Google verlinkt alle links falsch
    Log-Analyse und Auswertung - 26.12.2008 (1)
  11. Google verlinkt falsch
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (0)
  12. Probleme: Internet ist langsam geworden, Google links werden falsch geöfnet.
    Log-Analyse und Auswertung - 05.10.2008 (22)
  13. Google verlinkt falsch - Laienlösung !!!
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (25)
  14. Google verlinkt falsch
    Log-Analyse und Auswertung - 11.10.2007 (9)
  15. Google verlinkt falsch
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (4)
  16. Google Suchergebnisse falsch verlinkt
    Plagegeister aller Art und deren Bekämpfung - 27.09.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema google links werden falsch verlinkt! Hijacking? - hallo, ich habe seit kurzem das selbe problem wie einige hier im forum, daß google in den ersten einträgen auf kommerzielle seiten wie ebay verlinkt (bei allen suchbegriffen!)! bin auch - google links werden falsch verlinkt! Hijacking?...
Archiv
Du betrachtest: google links werden falsch verlinkt! Hijacking? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55