Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Umleitung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.06.2006, 15:14   #16
Ursulaner
 
Umleitung - Standard

Umleitung



hallo Irrlicht,
tut mir leid euch evtl.zu nerven,ich bin kein Profi wir Ihr,aber wo ist da ein Komma?Und welche Nummer ist gemeint?
Sei so nett und hilf mir!

Alt 23.06.2006, 15:23   #17
felix1
/// Helfer-Team
 
Umleitung - Standard

Umleitung



Folge mal dem Link:
http://www.ripe.net/perl/whois/?form..._search=Search

Unser allseits geliebter Andrei Kislizin.

@Irrlicht,
dass mit dem Werner war falsch. Nicht die Russen kommen sondern die Ukrainer.
Mehr sage ich jetzt nicht, sonst kriege ich haue. Sage hier nichts gegen Ukrainer:aplaus:
__________________

__________________

Alt 23.06.2006, 15:24   #18
cronos
 
Umleitung - Standard

Umleitung



@Ursulaner

gehe bitte wie folgt vor:

1. Lade dir Fixwareout runter.
Fixwareout.exe --> next --> Install --> Run fixit --> Finish

Danach startet der PC neu.


2. Scanne dein System wie von Schrulli empfohlen mit dem Rootkit Revealer.

Poste das Log vom Rootkitrevealer und von Fixwareout (letzteres solltest du hier finden: C:\fixwareout\report.txt)
__________________
__________________

Geändert von cronos (23.06.2006 um 15:40 Uhr)

Alt 23.06.2006, 16:12   #19
Ursulaner
 
Umleitung - Icon32

Umleitung



Hola Felix1,habe gemacht wie Du gesagt hast,und.......Irrlicht hat recht!
Nur,wie werde ich diesen,,Beutegermanen''(Russen)wieder los?
die tcpip fixen geht nicht,dann läuft nichts mehr,weisst Du Rat?

Alt 23.06.2006, 16:35   #20
Ursulaner
 
Umleitung - Standard

Umleitung



O.K.Cronos,hier ist das Resulta
Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
t von Fixwareout,und was sagt Dir das?


Alt 23.06.2006, 21:05   #21
cronos
 
Umleitung - Standard

Umleitung



Fixe den bei dir vorhanden 017-Eintrag.

Nach dem Neustart löschst du deine alte Internetverbindung und legst eine neue an.

Das Log vom Rootkitrevealer wäre noch interessant.
__________________
--> Umleitung

Alt 24.06.2006, 12:39   #22
Ursulaner
 
Umleitung - Icon35

Umleitung



Hallo Cronos,die 017er Einträge habe ich gefixt,sind aber nach dem Neustart wieder da!?

Alt 24.06.2006, 15:13   #23
Majabel
 
Umleitung - Icon32

Umleitung



Hallo Ihr lieben IT-Experten,
auch ich habe das Problem!!!


@cronos

Habe Fixwareout geladen und nu kommts
Zum Schluss sagt mir das Programm

DLL Datei MSVBVM60.DLL
konnte nicht gefunden werden???

Und nu???? Wie kann ich das Problem lösen?
Danke schon mal jetzt für wertvolle Info u. Hilfe
LG Maja

Alt 25.06.2006, 00:31   #24
cronos
 
Umleitung - Standard

Umleitung



@ Ursulaner

Ich vergaß zu erwähnen, dass du diese Einträge , wenn möglich im abgesicherten Modus fixen mußt.
Melde dich dann wieder, obs geklappt hat.

@ Majabel

Das einfachste fürs weitere Procedere:

Eigenen Thread erstellen.
Problem beschreiben und einen HJT-Log mitliefern.


Man verzeihe mir die fehlende Verlinkung - sitze aber jetzt am PC vom Schwiegervater habe gerade nicht alle Links zur Hand und auch überhaupt nicht die Muße sie zu ergoogeln, sprich : Ich bin zu faul!
__________________
Only cronos endures

Geändert von cronos (25.06.2006 um 00:49 Uhr)

Alt 25.06.2006, 12:35   #25
Ursulaner
 
Umleitung - Standard

Umleitung



guten morgen Cronos,
mit dem abgesicherten Modus summieren sich die Probleme,da kann ich überhaupt nicht's mehr machen weil da die Maus nicht reagiert.Fixe ich den
017er Eintrag,fliege ich kurz darauf aus dem Internet(Seite kann nicht angezeigt werden!)es ist zum Verzweifeln!

Alt 25.06.2006, 12:40   #26
BataAlexander
> MalwareDB
 
Umleitung - Standard

Umleitung



Hallo,
ich bin nicht Papst und von Glaskugeln halte ich nichts, mir fehlt immer noch ein Rootkit Revealer Log. Alle Deine Probleme resultieren imho aus einem gekaperten System, welches schon läänger neu aufgesetzt gehört.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 25.06.2006, 12:43   #27
irrlicht
 
Umleitung - Standard

Umleitung



Hallo Ursulaner,
Zitat:
mit dem abgesicherten Modus summieren sich die Probleme,da kann ich überhaupt nicht's mehr machen weil da die Maus nicht reagiert.
Tja,Mäuse schubsen will auch gelernt sein...
Ernsthaft :
Im abgesicherten Modus werden nur die allernötigsten Dienste geladen.Deine Maus gehört nicht dazu.Das ist normal so.
Irrlicht
Nachsatz
Zitat:
ich bin nicht Papst
Nein du nicht....
Aber wie ich einer großen überregionalen Tageszeitung entnehmen konnte,
sind WIR Papst

Alt 25.06.2006, 13:46   #28
Ursulaner
 
Umleitung - Standard

Umleitung



C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44ce7207.qua 25.6.2006 13:21 10.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44ce720c.qua 25.6.2006 13:22 10.15 KB Hidden from Windows API.
C:\Programme\Spamihilator\SPA71.tmp.log 31.10.1662 21:34 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA72.tmp.log 31.10.1662 21:34 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA83.tmp.log 25.6.2006 13:20 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA84.tmp.log 25.6.2006 13:20 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programme\Spamihilator\SPA91.tmp.log 25.6.2006 13:27 313 bytes Hidden from Windows API.
C:\Programme\Spamihilator\SPA92.tmp.log 25.6.2006 13:27 573 bytes Hidden from Windows API.
C:\Programme\Spamihilator\SPA93.tmp.log 25.6.2006 13:28 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Programme\Spamihilator\SPA94.tmp.log 25.6.2006 13:28 0 bytes Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{C7B70CAF-B613-4F02-BA8E-A65DA0B343B4}\RP34\A0007748.exe 6.5.2006 11:37 9.75 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{C7B70CAF-B613-4F02-BA8E-A65DA0B343B4}\RP34\A0007752.exe 6.5.2006 11:37 9.75 KB Visible in Windows API, but not in MFT or directory index.
O.K.Schrulli,und nu' ?

Alt 25.06.2006, 18:12   #29
Wildone
 
Umleitung - Standard

Umleitung



Hallo,
ist nicht zu entdecken, erstaunlich eigentlich. Poste mal ein Log von Silentrunners.


Grüße Wildone

Alt 26.06.2006, 01:13   #30
Ursulaner
 
Umleitung - Icon26

Umleitung



Hola Wildone,ich habe gemerkt dass beim,,Nüsseknacken''doch etliche auf der Strecke bleiben!schau'n wir maldanke!)"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Spamihilator" = ""C:\Programme\Spamihilator\spamihilator.exe"" ["Michel Krämer"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "D:\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
-> {HKLM...CLSID} = "IMMenuShellExt Class"
\InProcServer32\(Default) = "C:\Programme\IncrediMail\bin\IMShExt.dll" ["IncrediMail, Ltd."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]


Default executables:
--------------------

HKLM\Software\Classes\.hta\ = (key not found)
INFECTION WARNING! HKLM\Software\Classes\htafile\shell\open\command\(Default) = "mshta.exe "%1" %*" [MS]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\sabi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmyst.scr" [MS]


Startup items in "sabi" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Consola KIT ADSL" -> shortcut to: "C:\Programme\Telefonica\Kit ADSL USB\DSLMON.exe" [empty string]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 37 seconds, including 12 seconds for message boxes)

Antwort

Themen zu Umleitung
monate, namen, problem, schmoll, seite, sporadisch, spywarescanner, umleitung, website




Ähnliche Themen: Umleitung


  1. Umleitung auf 'get-new-java.com'
    Log-Analyse und Auswertung - 20.11.2013 (18)
  2. Google Umleitung I have net
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (16)
  3. Umleitung bei Suchmaschinen
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (18)
  4. Umleitung auf ihavenet.com
    Log-Analyse und Auswertung - 20.11.2012 (3)
  5. Umleitung von Anfragen ins Web
    Netzwerk und Hardware - 10.10.2012 (3)
  6. 100ksearches Umleitung
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (6)
  7. GOOGLE umleitung
    Log-Analyse und Auswertung - 16.05.2010 (2)
  8. Google Umleitung
    Plagegeister aller Art und deren Bekämpfung - 30.07.2009 (33)
  9. Umleitung auf Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 30.06.2009 (6)
  10. DNS Umleitung was ist hier los?
    Log-Analyse und Auswertung - 28.02.2009 (2)
  11. Umleitung 85.255...
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (6)
  12. Umleitung
    Log-Analyse und Auswertung - 05.02.2009 (1)
  13. Google umleitung
    Plagegeister aller Art und deren Bekämpfung - 22.09.2008 (1)
  14. Umleitung Internetseite
    Log-Analyse und Auswertung - 17.05.2008 (14)
  15. Umleitung in die Ukraine
    Plagegeister aller Art und deren Bekämpfung - 10.05.2008 (25)
  16. URL Umleitung
    Plagegeister aller Art und deren Bekämpfung - 22.01.2007 (1)
  17. Umleitung im IE
    Log-Analyse und Auswertung - 30.09.2006 (27)

Zum Thema Umleitung - hallo Irrlicht, tut mir leid euch evtl.zu nerven,ich bin kein Profi wir Ihr,aber wo ist da ein Komma?Und welche Nummer ist gemeint? Sei so nett und hilf mir! - Umleitung...
Archiv
Du betrachtest: Umleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.