|
Plagegeister aller Art und deren Bekämpfung: IE springt nur noch auf die Seite: bediddle.comWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.08.2008, 09:40 | #1 |
| IE springt nur noch auf die Seite: bediddle.com Infos vorneweg: Betriebssystem Windows XP Sowohl IE 7 als auch Firefox sind täglich im Gebrauch Hi an alle hier Wir leiden momentan an folgendem Problem mit dem IE (Firefox arbeitet sauber): Startseite beim IE ist t-online.de, diese wird angezeigt. Wenn man jetzt bei google suchen möchte und die Seite aufruft wird diese ebenfalls angezeigt und man gibt in das Suchfeld z.B. Bruttosozialprodukt ein fallen mehrere Dinge auf: - Die Seitenaufteilung und Schriftgröße sind anders bzw. größer um Einiges - Zuoberst kommt dann z.B. bereits der Eintrag bei wikipedia - Klickt man diesen/oder einen Anderen an geht eine aufwändige Laderei los, der IE switcht im unteren Ladebalken über 2-3 Seiten, öffnet ein neues Fenster und ich lande z.B. bei bediddle.com oder jetzt gerade sogar bei garage-vote.info Habe daraufhin den HijackThis installiert und ein Log erstellt, sowie dieses auf der Hijack Seite ausgewertet. Als sehr gefährlich wurde mir die BPGo!Zilla v4.1\GoIEHlp.dll angezeigt und ich habe diese durch auswählen gefixt. Der nächste Scan zeigte sie nicht mehr an, aber das Problem bestand weiterhin. Mein aktueller Log lautet daher: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:38:28, on 31.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe C:\Programme\Winamp\winampa.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Mozilla Firefox\Kopie von firefox.exe C:\Programme\Trend Micro\HijackThis\HijakThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\BP Go!Zilla v4.1\download-with-gozilla.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1DFA5163-50D8-4D6C-A36B-77D3766FADAC}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{1DFA5163-50D8-4D6C-A36B-77D3766FADAC}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 6888 bytes Ich hoffe, mir kann jemand bei diesem Problem helfen. lg Poloqueen |
31.08.2008, 13:29 | #2 |
/// AVZ-Toolkit Guru | IE springt nur noch auf die Seite: bediddle.com Halli hallo Poloqueen
__________________Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Im HJT Hauptfenster unter "View the List of Backups findest du den gefixten Eintrag wieder. Poste bitte die komplette Bezeichnung des Eintrages! Du kannst den Eintrag auch einfach wieder herstellen und dann ein frisches log posten. Nur so wissen wir genau was da bei dir los ist denn nun sehen wir den Eintrag ja nicht mehr.. Ich nehme mal an das war ein BHO Eintrag? Dann hast du dir Gozilla eingefangen. Suche wie in meiner Signatur beschrieben wird nach der Datei GoIEHlp.dll und lade alle Funde bei [url=http://www.virustotal.com[/url] hoch und poste das Ergebnis. Scanne deinen Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________ |
31.08.2008, 16:00 | #3 |
| IE springt nur noch auf die Seite: bediddle.com Hallo Undoreal und erst einmal
__________________Vielen Dank für deine schnelle Hilfe und die ausführliche Anleitung. Ich versuche mal mich durchzuarbeiten. Du hast geschrieben, man sollte die Programme alle auf dem neuesten Stand halten. Welche (ausser Betriebssystem, AntiVir, Firewall, Firefox und IE) sind damit gemeint? Dann hake ich mal nach und nach die Liste ab.... (Auf den IE wird mein Freund nicht verzichten) lg Poloqueen |
31.08.2008, 16:28 | #4 | |
/// AVZ-Toolkit Guru | IE springt nur noch auf die Seite: bediddle.comZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
09.09.2008, 20:40 | #5 |
| IE springt nur noch auf die Seite: bediddle.com Gibt es hier schon was Neues? Habe das selbe Problem. Danke. Gruß Headless Freak |
10.09.2008, 08:06 | #6 |
/// AVZ-Toolkit Guru | IE springt nur noch auf die Seite: bediddle.com Hier gibt es was Neues wenn sich der TO zurückmeldet.. ^^ Aber du kannst auch einfach einen eigenen Thread eröffnen. Dann wird dir geholfen.
__________________ --> IE springt nur noch auf die Seite: bediddle.com |
10.09.2008, 15:44 | #7 |
| IE springt nur noch auf die Seite: bediddle.com Habe dem TO eine PN geschrieben. Aber wenn hier schon ein Thema gibt, will ich nicht ein neues Aufmachen. Nicht, dass es zu viel Spam gibt. Danke. Gruß Headless Freak |
Themen zu IE springt nur noch auf die Seite: bediddle.com |
adobe, antivir, avira, bho, explorer, firefox, firewall, google, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, ie 7, internet, internet explorer, magix, mehrere, mozilla, neues fenster, nvidia, object, pdf, problem, programme, rundll, scan, software, t-online.de, urlsearchhook, windows, windows internet, windows internet explorer, öffnet |