Hallo,
Ich habe ein Problem! Der Internet explorer öffnet falsche Seiten bei Google-Suche. Ich hab schon versucht mit einigen Forumsbeiträgen das Problem zu beheben, allerdings scheint das nicht zu funktionieren. Hab Adaware, spyboot und AVG anti spyware drüber laufen lassen aber das problem kehrt täglich wieder. Gestern ging es für den Tag nachdem ich dir programme durchlaufen lassen hab, heute wieder das gleiche Problem. Ich verzweifel schon....
Hier mein Hi-Jack file...
Logfile of HijackThis v1.99.1
Scan saved at 09:14:06, on 13.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\anvshell.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Clone cd\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\programme\AVG Anti-Spyware 7.5\avgas.exe
D:\Programme\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
D:\Programme\kaspersky\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rene\LOKALE~1\Temp\Rar$EX00.532\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Clone cd\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "d:\programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\kaspersky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = D:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?946739506343
O17 - HKLM\System\CCS\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{82B201AB-8DBF-47C3-9AA2-8B352160A35B}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{980A901A-CBDC-4A29-A5C3-69C7682C0479}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7731442-5FC4-45F9-97B2-3F0CBB1B9C35}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD2A9ED1-32D0-4E81-B3EB-3C23951662D1}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS2\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS3\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo!
Hallo bei deinen Prozessen fallen mir diese auf

Zitat:

C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe

Schau mal in der Kaspersky Firewall nach welche Regel diese Dienste brauchen/haben, und verbiete ihnen mal den Zugriff auf das Netz wenn möglich!
Und dann natürlich noch deine Nameserveradressen:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{82B201AB-8DBF-47C3-9AA2-8B352160A35B}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{980A901A-CBDC-4A29-A5C3-69C7682C0479}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7731442-5FC4-45F9-97B2-3F0CBB1B9C35}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD2A9ED1-32D0-4E81-B3EB-3C23951662D1}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS2\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
O17 - HKLM\System\CS3\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 85.255.116.157,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166

fixe diese Einträge mal, und schau dann unter Systemsteuerung->Netzwerkverbindungen->rechtsklick Eigenschaften(bei beiden Einträgen, LAN und Einwahl) -> TCP/IP Protokoll Eigenschaften, und stell dann dort Nameserver auf automatisch !
Berichte dann mal !

mfg

Nochmal ich, und nachdem du das gemacht hast, lade dir dieses toll runter https://europe.f-secure.com/exclude/...ht/index.shtml
speichere es in einen Ordener von c: lass es scannen, und poste dann die logfile des Programmes(txt datei), welches im selben ordner erstellt wird!

mfg

Halli hallo.

Du surfst grade durch die Ukraine zu uns.. D.h. -> Du kannst alles vergessen was trott dir gesagt hat, da du eh neuaufsetzten musst.

Eine Anleitung findest du in meiner Signatur.

mfg

Undoreal

schaut bitte noch mal bei plagegeister aller art... da hab ich auch schon was rein gesetzt...

Hallo megarian!
Also in deinem anderen Tread hast eh die gleich Anleitung bekommen wie von mir ! Wäre interressant zu erfahren was diese Datei bei Jotti für eine Auswertung erhält, sprich welcher Schädling es ist!
Aber wie schon von undoreal gesagt ist ein System nach einem DNSChanger Befall wie bei dir mit Rootkit nicht mehr wirklich vertrauenswürdig! Das heisst Empfehlung zum Neuaufsetzen ist sicher nicht falsch!

mfg

Hallo,
sooo, die Registry ist jetzt wieder frei von der datei kdpck.exe und die ip´s sind auch nicht mehr dort zu finden. jetzt kann ich auch wieder richtig suchen bei google. Erstaunlich war, dass ich trotzdem mit viren bei z.b. fireball.de suchen konnte ohne ständig weitergeleitet zu werden.

Nach dieser ganzen sache hier ist allerdings ein anderes problem aufgetreten:
wenn ich den Rechner neu starte, zeigt mit meine lan-verbindung immer keine konnektivität, obwohl das vorher immer ging! Erst wenn ich meine firewall auf aus stelle und dann deaktiviere/aktiviere funkt. das wieder. danach kann ich auch wieder die firewall einschalten.

Ich weiss auch nicht wie sich der virus eingeschlichen hat, denn ich habe doch eine intakte firewall. vor zwei tagen ist das ursprüngliche Problem aufgetreten, da hat kaspersky anti-vir auf einmal trojaner gefunden, aber trotzdem war ich befallen, wie kann sowas sein?

Warum kapiert ihr es eigentlich so häufig nicht??

Zitat:

Das heisst Empfehlung zum Neuaufsetzen ist sicher nicht falsch!

Ich würde eher sagen absolut notwendig ! !

Bei einigen Backdoorprogrammen wo man sich nicht sicher ist ob sie überhaupt "aktiv" waren kann ich einen Bereinigungsversuch nachvollziehen aber hier.?.

Woher weisst du was der/die Kerl/Dame alles mit deinem Rechner angestellt hat?

Setzte dein System dringen neu auf und ändere danach alle Passwörter ! !

Gruss

Undoreal