Google-hijack

Max24 · 11.03.2007, 16:41

Guten Tag!
Meine Google-Ergebnisse werden immer wieder umgeleitet. Ich hab mich natürlich schon in anderen Googel-threads umgesehen, konnte aber noch keine Gemeinsamkeiten finden. Sonst funktioniert alles wie gewohnt. Bin leider recht unerfahren was diese Dinge angeht.
Vielen Dank schon mal, wenn sich jemand die Zeit nimmt.

Logfile of HijackThis v1.99.1
Scan saved at 16:19:20, on 11.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\MT\MT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\dokumente und einstellungen\Mäx\quicktime\PictureViewer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.msn.com/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.msn.com/spbasic.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Dokumente und Einstellungen\Mäx\GetRight\xx2gr.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\dokumente und einstellungen\mäx\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\MX2FE9~1\ICQ\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\MX2FE9~1\ICQ\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36669D80-D50C-45FA-9675-2A46C5698A6E} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/13cd6eedc0d4fb734519/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136614600500
O17 - HKLM\System\CCS\Services\Tcpip\..\{11F18477-BBE3-4254-9754-45511D399457}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{168A4CDB-BF4C-4B91-8BE2-E265F26B7E89}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B98A37-F6F7-4367-BB02-09490DCA59DB}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{5278FCC9-34B9-4036-ADF1-9923EFCE0348}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EFA49E7-F583-473E-8E73-BB9AC0D8C646}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9290719-CD77-439D-9507-010C74302A40}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBBF0F98-2DAD-48FA-A1D5-F411D7924758}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.143
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.108 85.255.112.143
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Damon Ridenow · 11.03.2007, 17:21

Zitat:

Zitat von Max24

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Dokumente und Einstellungen\Mäx\GetRight\xx2gr.dll

Das piekst mir schon sehr ins Auge. Lass das doch bitte bei http://www.virustotal.com/ scannen.

Zitat:

Zitat von Max24

O17 - HKLM\System\CCS\Services\Tcpip\..\{11F18477-BBE3-4254-9754-45511D399457}: NameServer = 85.255.114.108,85.255.112.143

Gibt es einen bestimmten Grund, warum der NameServer in die Ukraine will?

irrlicht · 11.03.2007, 17:27

Hallo,
mal kurz einmisch....

Wenn der Threadersteller und "Damon Ridenow" mal hier schauen möchten...

http://www.trojaner-board.de/28388-a...ntfernung.html
Zu dem O2-BHO läßt sich sicherlich noch der passende O4-Run Eintrag finden...

Irrlicht

Damon Ridenow · 11.03.2007, 17:46

Zitat:

Zitat von irrlicht

Zu dem O2-BHO läßt sich sicherlich noch der passende O4-Run Eintrag finden...

Nen passenden O4 Eintrag find ich nicht unbedingt, könnt aber daran liegen, dass der O2-Eintrag im einen und der O8 Eintrag im anderen Augen piekst... der da:

O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm

Damon Ridenow · 11.03.2007, 17:50

Zitat:

Zitat von Max24

C:\WINDOWS\DitExp.exe
C:\PROGRA~1\MT\MT.EXE

Auf den zweiten Blick frag ich mich auch, was das hier ist..... ist ein Scan ok?

Max24 · 11.03.2007, 18:29

Wow, na das ging ja schon mal ruckzuck mit euren antworten! Herzlichen Dank schon mal!
Also der scan von der dll. hat mal nichts ergeben:

STATUS: FINISHEDComplete scanning result of "xx2gr.dll", received in VirusTotal at 03.11.2007, 18:04:13 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.10.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.11.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 No threat detected
Fortinet 2.85.0.0 03.11.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 no virus found
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 no virus found
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.10.2007 no virus found

Aditional Information
File size: 233472 bytes
MD5: 06ee81c0abbcfcd09ed3b3a9798871d3
SHA1: ac11bcd12336389de6962108a0541850b44aee3f
Bit9 info: Bit9 FileAdvisor - Search Results

Die MT.exe scheint auch sauber zu sein (Keine ahnung was das für ein prog is...)

STATUS: FINISHEDComplete scanning result of "MT.exe", received in VirusTotal at 03.11.2007, 18:15:08 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.10.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.11.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 no virus found
Fortinet 2.85.0.0 03.11.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 no virus found
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 no virus found
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.10.2007 no virus found

Aditional Information
File size: 343552 bytes
MD5: 39ca6943c552c2ff7040d14c54099828
SHA1: 7df20d62eff9e98dd1675d89ff4e20b35f3fade2
packers: ASPACK
packers: Aspack

Und so auch die DitExp.exe.

STATUS: FINISHEDComplete scanning result of "DitExp.exe", received in VirusTotal at 03.11.2007, 18:20:31 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.10.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.11.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 no virus found
Fortinet 2.85.0.0 03.11.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 no virus found
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.10.2007 no virus found
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.10.2007 no virus found

Aditional Information
File size: 65536 bytes
MD5: ecea636e0d1bc27818da909dfeb70733
SHA1: add3559c2e18cfd64e792a8606e582554d4f8b79

Was hat es mit diesem Russen-Server auf sich? Gehört der zu einem Programm?
Vielen Dank für die Hilfe!
Max

EDIT: Sollte ich die Dateien löschen auch wenn sie nichts ergeben haben??

Max24 · 11.03.2007, 18:34

Zitat:

Zitat von Damon Ridenow

Nen passenden O4 Eintrag find ich nicht unbedingt, könnt aber daran liegen, dass der O2-Eintrag im einen und der O8 Eintrag im anderen Augen piekst... der da:

O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm

Interessant finde ich, daß ich in dem "Balkan Beat" Ordner gar keinen GetRight Unterordner habe....

Rene-gad · 11.03.2007, 19:26

@Max24

Zitat:

Was hat es mit diesem Russen-Server auf sich?

Lassen wir uns noch mal lesen:

Zitat:

Zitat von Damon Ridenow

warum der NameServer in die Ukraine will?

Wenn du Russland von der Ukraine nicht unterscheiden kannst, gibt es vlt. keinen Sinn, den Thread weiter zu führen

.

Zitat:

Gehört der zu einem Programm?

Ja. Zur Malware, die du eingefangen hast

Max24 · 11.03.2007, 20:15

Ja natürlich sollte man es jetzt politisch korrekt trennen...war jetzt auch nicht unbedingt negativ von mir gemeint.

nochdigger · 12.03.2007, 04:36

Hallo

lasse bitte auch Blacklight dein System überprüfen und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

Max24 · 12.03.2007, 18:00

Danke......1 Datei wurde gefunden.
Der Log:

03/12/07 17:35:56 [Info]: BlackLight Engine 1.0.55 initialized
03/12/07 17:35:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/12/07 17:35:56 [Note]: 7019 4
03/12/07 17:35:56 [Note]: 7005 0
03/12/07 17:36:22 [Note]: 7006 0
03/12/07 17:36:22 [Note]: 7011 2468
03/12/07 17:36:23 [Note]: 7026 0
03/12/07 17:36:23 [Note]: 7026 0
03/12/07 17:36:39 [Note]: FSRAW library version 1.7.1021
03/12/07 17:51:49 [Info]: Hidden file: c:\WINDOWS\system32\kdkhx.exe
03/12/07 17:51:49 [Note]: 7002 32
03/12/07 17:51:49 [Note]: 7003 1
03/12/07 17:51:49 [Note]: 10002 1
03/12/07 17:55:45 [Note]: 2000 1012
03/12/07 17:55:45 [Note]: 2000 1012

Soll ich das Programm weiter ausführen und die Datei bereinigen lassen?

nochdigger · 12.03.2007, 18:41

Hallo

benenne bitte die versteckt laufende Datei mit Blacklight um und lasse sie anschließend hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Max24 · 12.03.2007, 20:00

So...hab jetzt mal nur bei Virustotal durchlaufen lassen und die sind fündig geworden:

STATUS: FINISHEDComplete scanning result of "kdkhx.exe.ren", received in VirusTotal at 03.12.2007, 19:53:10 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.12.2007 TR/Dldr.DNSChanger.Gen
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.12.2007 Win32

NSChanger-BA
AVG 7.5.0.447 03.12.2007 no virus found
BitDefender 7.2 03.12.2007 no virus found
CAT-QuickHeal 9.00 03.12.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 03.12.2007 no virus found
DrWeb 4.33 03.12.2007 no virus found
eSafe 7.0.14.0 03.12.2007 no virus found
eTrust-Vet 30.6.3472 03.12.2007 no virus found
Ewido 4.0 03.12.2007 no virus found
FileAdvisor 1 03.12.2007 no virus found
Fortinet 2.85.0.0 03.12.2007 suspicious
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.12.2007 no virus found
Ikarus T3.1.1.3 03.12.2007 Trojan.Win32.DNSChanger.hg
Kaspersky 4.0.2.24 03.12.2007 no virus found
McAfee 4982 03.12.2007 no virus found
Microsoft 1.2306 03.12.2007 no virus found
NOD32v2 2109 03.12.2007 no virus found
Norman 5.80.02 03.12.2007 W32/Suspicious_C.gen
Panda 9.0.0.4 03.12.2007 Suspicious file
Prevx1 V2 03.12.2007 Malicious
Sophos 4.15.0 03.12.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 VIPRE.Suspicious
Symantec 10 03.12.2007 no virus found
TheHacker 6.1.6.074 03.12.2007 no virus found
UNA 1.83 03.12.2007 no virus found
VBA32 3.11.2 03.12.2007 no virus found
VirusBuster 4.3.19:9 03.12.2007 Trojan.DNSChanger.MU

Aditional Information
File size: 63472 bytes
MD5: 2e2cec6a5f04c88edf2c9821dcf10d8a
SHA1: b13d095a1e6e6941baa60302cf0b30e9923cccef
packers: PECRYPT
Prevx info: 01.EXE Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Der smiley ist natürlich nicht von mir...

Max24 · 13.03.2007, 19:49

Ich lösche jetzt die Datei mit dem von PREVX angebotenem Programm ja?

irrlicht · 13.03.2007, 20:15

Hallo,
schau mal hier,wie die Datei entfernt werden kann :http://www.trojaner-board.de/37030-i...gle-hilfe.html

Ich will aber nicht verhehlen ,das es mit einem Risoko behaftet ist,ein Rotkit zu entfernen und zu glauben es wäre alles in Butter.....
Wäre es mein Rechner und ich hätte bei EBay ein Passwort und würde Onlinebanking machen.....
Ich würde auf der Stelle neu aufsetzen,allein um die absolute Gewissheit zu haben,alleiniger Boss auf meiner Kiste zu sein....
Irrlicht

Google-hijack

Log-Analyse und Auswertung: Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Google-hijack

Ähnliche Themen: Google-hijack

11.03.2007, 17:27	#3
irrlicht	Google-hijack Hallo, mal kurz einmisch.... Wenn der Threadersteller und "Damon Ridenow" mal hier schauen möchten... http://www.trojaner-board.de/28388-a...ntfernung.html Zu dem O2-BHO läßt sich sicherlich noch der passende O4-Run Eintrag finden... Irrlicht __________________

11.03.2007, 20:15	#9
Max24	Google-hijack Ja natürlich sollte man es jetzt politisch korrekt trennen...war jetzt auch nicht unbedingt negativ von mir gemeint.

12.03.2007, 04:36	#10
nochdigger	Google-hijack Hallo lasse bitte auch Blacklight dein System überprüfen und poste anschließend das Log (findest du im selben Ordner wie Blacklight). MFG

12.03.2007, 18:41	#12
nochdigger	Google-hijack Hallo benenne bitte die versteckt laufende Datei mit Blacklight um und lasse sie anschließend hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG

13.03.2007, 19:49	#14
Max24	Google-hijack Ich lösche jetzt die Datei mit dem von PREVX angebotenem Programm ja?