Hallo liebes Forum,

bei der Nutzung meines Internet Exploeres (6) werde ich seit kurzem auf falsche Seiten weitergeleitet.
Suche ich bspw. mit Google nach einen Thema und clicke dann auf einen Link dann kommt häufig Werbung zu dem Thema. Ab und an passiert es auch, dass sich eine Google Seite mit einem ganz anderen Suchbegriff öffnet, bspw. car sale.
Ich habe bereits Spybot laufen lassen und auch Kasperski Antivirus.
Allerdings wurde kein Fehler entdeckt.


Vielleicht könnt ihr mir ja helfen.

Vielen Dank!

Hier das HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:40:07, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\CPUCooL\CooLSrv.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\TOSHIBA\TME3\Tmesbs32.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
D:\WINDOWS\system32\SxgTkBar.exe
D:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Synaptics\SynTP\cPad\AlarmWatcher.exe
D:\Programme\TOSHIBA\TouchED\TouchED.Exe
D:\WINDOWS\system32\00THotkey.exe
D:\WINDOWS\system32\TPWRTRAY.EXE
D:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
D:\WINDOWS\system32\TDispVol.exe
D:\Programme\TOSHIBA\TME3\TMESBS32.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
D:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\WWFDesktop\WWFDesktop.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Microsoft Office\Office\EXCEL.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.***.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de
F2 - REG:system.ini: Shell=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Connect Update Agent] "D:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [NDSTray.exe] "D:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [cPadAlarm] D:\Programme\Synaptics\SynTP\cPad\AlarmWatcher.exe
O4 - HKLM\..\Run: [TouchED] D:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] D:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 03
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [TMESBS.EXE] D:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Programme\Virgin Net Broadband\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TerraTec Scheduler] "D:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "D:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [WWFDesktop] D:\Programme\WWFDesktop\WWFDesktop.exe
O4 - HKCU\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Google-Suche - res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://d:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B29731C-3340-4571-BD45-4E6C95E36716}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{2621125E-CE63-4576-8021-865740FA492B}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{335D2D62-4651-484B-AFE5-6B70C51696A8}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{335ED7C7-3C58-415E-ACAE-83762799A7C6}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F92C711-9BF3-4A65-88BB-E15919DD1BA7}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B29731C-3340-4571-BD45-4E6C95E36716}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.5
O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - D:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - D:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - D:\Programme\TOSHIBA\TME3\Tmesbs32.exe

Zitat:

Zitat von Oderus

O17 - HKLM\System\CCS\Services\Tcpip\..\{0B29731C-3340-4571-BD45-4E6C95E36716}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{2621125E-CE63-4576-8021-865740FA492B}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{335D2D62-4651-484B-AFE5-6B70C51696A8}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{335ED7C7-3C58-415E-ACAE-83762799A7C6}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F92C711-9BF3-4A65-88BB-E15919DD1BA7}: NameServer = 85.255.116.134,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B29731C-3340-4571-BD45-4E6C95E36716}: NameServer = 85.255.116.134,85.255.112.5

DNS-Umleitung über die Ukraine. Diese Einträge fixen.

Anschließend mach einen Scan mit eScan gemäß Anleitung in meiner Sig und poste die Funde mithilfe der find.bat. Anleitung genau lesen und beachten!

Gruß
Yopie

hallo yopie,

vielen dank für die schnelle antwort.
hierzu habe ich 3 fragen:
wie kann so etwas installiert werden?
können durch diese umleitung meine übermittelten daten ausspioniert werden?
wie stelle ich diese dns umleitung ab?
leider ist hierzu in den anleitungen nichts zu finden.

beste grüße

mic

Zitat:

Zitat von Oderus

wie kann so etwas installiert werden?

Unsicheres Betriebssystem, unsichere Software (Internet Explorer), unsichere Konfiguration (Surfen mit Admin-Rechten) und/oder ein User, der eine Datei zuviel ausgeführt hat. Mehr dazu in der Pflichtlektüre.
Was es nun genau war, zeigt evtl. der angesprochene eScan.

Zitat:

können durch diese umleitung meine übermittelten daten ausspioniert werden?

Ja. Denn eine die Webseite "www.meine-bank.de" muss dann nicht mehr die wirkliche Webseite sein, auf die du eigentlich wolltest.

Zitat:

wie stelle ich diese dns umleitung ab?

In HijackThis ankreuzen und dann "Fix Checked".
Alternative und immer sicherste Lösung: Neuinstallation (siehe Anleitungsforum).

Gruß
Yopie

Bitte beachte: Aktive Links und persönliche Informationen in HJT Log-Files

hallo.

zunächst mal sorry wenn ich hier boardregeln verletzt haben sollte.
allerdings kann ich keine aktiven links und persönlichen infos entdecken...

nochmals vielen dank für die unterstützung.
ich habe mittlerweile über dieses forum auch einige anleitungen und erklärungen für pc "dummies" wie mich gelesen. unglaublich mit welcher naivität ich tagtäglich im internet unterwegs bin!
schwierig finde ich die ganzen infos zu sortieren und gewichten.
manche widersprechen sich oder sind nicht klar fomruliert.
ich fände es toll wenn ihr profis mal eine anleitung erstellen könntet was außer einem standard viren scanner und eventuell einer firewall an sicherheits tolls angebaracht ist- ohne dass die programme sich gegenseitig behindern oder (wie gelesen) noch mehr sicherleitslücken öffnen.
also, hut ab vor dem einsatz der poster dieses boards. vielen dank!

bzgl. escan:
leider habe ich zunächst die deutsche version installiert. die installation verlief auch etwas anders als in der anleitung beschrieben. meherer neustarts waren nötig. es wurden recht viele dateien/programme gelöscht.
jetzt habe ich die englische version installiert udn das programm hat nochmal weitere fehler entdeckt.

leider kann ich eine datei find.bat nicht finden und die mwav.log ist ewig lang.

soll ich diese ewige datei posten?

lg
mic

Zunächst mal Danke fürs Lob. Wenn du zu einzelnen Anleitungen fragen hast, dann frag ruhig!

Zitat:

ich fände es toll wenn ihr profis mal eine anleitung erstellen könntet was außer einem standard viren scanner und eventuell einer firewall an sicherheits tolls angebaracht ist- ohne dass die programme sich gegenseitig behindern oder (wie gelesen) noch mehr sicherleitslücken öffnen.

Meiner Meinung nach ist ausser der Installation eines Virenscanners jedes zusätzliche Sicherheitstool überflüssig. Und auch ein Virenscanner ist nur dann wirklich sicher, wenn er nie zum Einsatz kommt bei der Verhinderung einer Infektion. Dann macht der User nämlich alles richtig!

Zu eScan:
An deiner Stelle würde ich die alte eScan-Dateien löschen und die Anleitung noch einmal befolgen, diesmal aber genau. Die "find.bat" ist dort auch erwähnt, Im Zweifel hilft die Textsuche im Browser weiter.
Die kostenlose Version von eScan löscht keine Dateien!

Gruß
Yopie