Google zeigt falsche Seiten an!!

17.06.2007, 10:12

Hi, wenn ich bei Google suche und auf die Links klicke öffnen Sich völlig fremde Seiten. Aber nur beim ersten klicken, dann öffnet sich die richtige Seite.

AD Aware und Spybot haben nix gefunden.

Vielen Dank für die Hilfe

MFG
Dennis

Logfile of HijackThis v1.99.1
Scan saved at 11:01:45, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Dennis\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {846E8F26-86A2-46A7-BED8-EF0A05DB3D60} - C:\WINDOWS\system32\jsproxyd.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - http://h**ps://stream.web.de/mail/ac...load_11213.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D8AB670-0A3A-4863-B4C5-BBF3979F1C85}: NameServer = 213.191.92.82 213.191.74.11
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

17.06.2007, 11:50

Ist das eigentlich weiter schlimm dieses Problem ?

MFG

Dennis

**Sunny** · 17.06.2007, 12:30

Hallo und im Trojaner Board!

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\jsproxyd.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

17.06.2007, 12:46

Antivirus Version Update Result
AhnLab-V3 2007.6.16.0 06.15.2007 Win-AppCare/Stud.9728
AntiVir 7.4.0.32 06.16.2007 ADSPY/Stud.D
Authentium 4.93.8 06.16.2007 no virus found
Avast 4.7.997.0 06.16.2007 Win32:Trojano-3384
AVG 7.5.0.467 06.17.2007 Adware Generic.WNV
BitDefender 7.2 06.17.2007 Adware.Stud.I
CAT-QuickHeal 9.00 06.16.2007 AdWare.Stud.d (Not a Virus)
ClamAV devel-20070416 06.17.2007 Adware.BHO-15
DrWeb 4.33 06.17.2007 no virus found
eSafe 7.0.15.0 06.14.2007 no virus found
eTrust-Vet 30.7.3721 06.15.2007 no virus found
Ewido 4.0 06.17.2007 Adware.Stud
FileAdvisor 1 06.17.2007 no virus found
Fortinet 2.85.0.0 06.17.2007 no virus found
F-Prot 4.3.2.48 06.15.2007 W32/Adware.IJT
F-Secure 6.70.13030.0 06.15.2007 no virus found
Ikarus T3.1.1.8 06.17.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 06.17.2007 not-a-virus:AdWare.Win32.Stud.d
McAfee 5054 06.15.2007 no virus found
Microsoft 1.2607 06.17.2007 Trojan:Win32/Webprefix
NOD32v2 2334 06.15.2007 Win32/Adware.BHO.AA
Norman 5.80.02 06.15.2007 W32/Stud.Y
Panda 9.0.0.4 06.16.2007 no virus found
Prevx1 V2 06.17.2007 no virus found
Sophos 4.18.0 06.12.2007 MapKon
Sunbelt 2.2.907.0 06.16.2007 no virus found
Symantec 10 06.17.2007 Adware.Webprefix
TheHacker 6.1.6.133 06.15.2007 Adware/Stud.d
VBA32 3.12.0.2 06.15.2007 AdWare.Win32.Stud.d
VirusBuster 4.3.23:9 06.16.2007 Adware.BHO.EC
Webwasher-Gateway 6.0.1 06.16.2007 Ad-Spyware.Stud.D

Aditional Information
File size: 23390 bytes
MD5: df8bf2635db3ece1f90d72b3a5f79c6c
SHA1: 04c7d5666b1b598bc2b960bd18a677f4c677699c
packers: UPX
packers: UPX
packers: UPX
packers: UPX

17.06.2007, 12:50

ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Dennis\Desktop\ComboFix.exe
"Dennis" - 2007-06-17 13:47:49 - Service Pack 2 NTFS

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 )))))))))))))))))))))))))))))))

2007-06-17 13:47 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-06-17 13:11 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-06-17 13:04 153,600 --a------ C:\WINDOWS\R.COM
2007-06-17 13:04 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-06-17 09:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-06-17 09:24 <DIR> d-------- C:\WINDOWS\pss
2007-06-04 10:49 <DIR> d-------- C:\DOKUME~1\Dennis\ANWEND~1\WEBDE
2007-06-01 14:27 <DIR> d-------- C:\Programme\Ubisoft

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-08 21:50:36 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-02 13:13:15 -------- d-----w C:\DOKUME~1\Dennis\ANWEND~1\Lavasoft
2007-05-02 13:13:07 -------- d-----w C:\Programme\Lavasoft
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-03-25 05:32:15 75,868 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 05:32:15 416,982 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-22 07:47:26 23,390 ----a-w C:\WINDOWS\system32\jsproxyd.dll
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{846E8F26-86A2-46A7-BED8-EF0A05DB3D60}=C:\WINDOWS\system32\jsproxyd.dll [2007-03-22 09:47]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 C:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2006-01-05 11:31 C:\WINDOWS\system32\nwiz.exe]
"Muscbrigade"="c:\Musicbrigade\Musicbrigade.exe" []
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-22 08:10]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 18:43 C:\WINDOWS\ALCMTR.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

*Newly Created Service* - RSVP

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-17 13:48:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-17 13:49:07
C:\ComboFix-quarantined-files.txt ... 2007-06-17 13:49

--- E O F ---

**Sunny** · 17.06.2007, 12:57

Du kannst mit den anderen Scans aufhören, dein System ist Kompromittiert!!!

Folgende Schädling tummeln sich in deinem System:

iifgfgf.dll - Dangerous - Greatis Software
W32/Sality-U - Wurm - Sophos Bedrohungsanalyse
Application Database - Greatis Software
Troj/Delf-LV - Trojaner - Sophos Bedrohungsanalyse

Be sovielen Schädlingen kann ich dir nur noch zu einer Neuinstallation raten.
Einige der Schädlinge sind sogenannte HAXDOOR/BACKDOOR-Programme, dadurch war einem Dritten alle Fenster und Türe geöffnet.

Sorry,
Sunny

hazeki · 07.02.2009, 13:55

Hallo!
Ich wollte mich bei Sunny bedanken. Hat alles wunderbar geklappt mit combo.exe.
Nochmals herzlichen Dank!!!!

17.06.2007, 11:50	#2
DennisHH Gast	Google zeigt falsche Seiten an!! Ist das eigentlich weiter schlimm dieses Problem ? MFG Dennis __________________

Google zeigt falsche Seiten an!!

Log-Analyse und Auswertung: Google zeigt falsche Seiten an!!