| |
| |||||||
Mülltonne: Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ ....Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
18.12.2008, 21:36
| #1 |
| |  Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ .... Hallo liebe Bekämpfer der Internetplagen :-), Seit heute gibtr es ein Problem mit Google - Habe den Rechner so wie immer aufgedreht und Firfox gestartet und insgesamt 3 Seiten (play.fm, youtube und gmx) geöffnet bevor es anfing ... Zuerst kam plötzlich und ohne das ich einen anderen Link als den YouTube Videolink geöffnet habe, ein graues Virentool PopUp wo man den AGBs zustimmen sollte um es zu installieren ...  jaja, ha ...Dieses ist jedoch seit dem reinigen (siehe weiter unten) nicht mehr aufgetaucht. Bei einer Suche mit Google kamen zwar wie immer Suchergebnisse, jedoch sah man bei einigen (z.B. auch Wikipedia!) in der Statusleiste statt der echten URL eine URL die etwa so klingt: http://go.google.com/ ...... beim öffnen des Links öffnet sich ein neuer Tab! (was normalerweise nicht so ist) und irgendein unnötiger Werbemüll (man sieht auch das redirect auf die werbeseite) öffnet sich - xhttp://www.abcjmp.com/jump2/?affiliate=mx3&subid=3026700000&terms=tuvwonmc.dll In einem Zusammenhang mit dieser Misere stehen 2 Dateinamen: "brunnet.exe" und "tuvWonMC.dll" - Wenn ich bei google eine dieser beiden Suche, kommt jeweils an erster Stelle ein Link mit der go URL: sie führt dann in einem neuen Tab zu der oben genannten Adresse. ... hab abgesichert gestartet und AdAware und Avg benutzt: AdAware hat 3 Einträge gefunden, soweit ich mich erinnere 1 über irgendein Virusschutzprogramm dessen agb ich zustimmen sollte und 2 weitere die namentlich in Zusammenhang mit dem "google-mysterium" zusammenhingen. Avg hat ebenfalls namentlich passende Dateien entfernt - seit dem reinigen mit avg und adaware kam zwar nix mehr, aber leider sind im HijackThis log noch immer die beiden mit dem roten x markierten Einträge zu finden  .Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:04:50, on 18.12.2008 Platform: Windows XP SP3, v.5657 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe I:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\NVIDIA\nTune\nTuneService.exe I:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe I:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\CTHELPER.EXE I:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Creative\Volume Panel\VolPanlu.exe C:\WINDOWS\system32\CTXFIHLP.EXE C:\WINDOWS\system32\WDBtnMgr.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\DOKUME~1\Oliver\LOKALE~1\Temp\winloggn.exe C:\WINDOWS\system32\ctfmon.exe I:\Programme\PeerGuardian2\pg2.exe I:\Programme\HijackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - AutorunsDisabled - (no file) O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - I:\Programme\AVG\AVG8\avgtoolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AVG8_TRAY] I:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [jsf8j34rgfght] C:\DOKUME~1\Oliver\LOKALE~1\Temp\winloggn.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PeerGuardian] I:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [jsf8j34rgfght] C:\DOKUME~1\Oliver\LOKALE~1\Temp\winloggn.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Append to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217471111978 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15102/CTPID.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - I:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 6563 bytes Die beiden Dateien "O4 - HKCU\..\Run: [jsf8j34rgfght] C:\DOKUME~1\Oliver\LOKALE~1\Temp\winloggn.exe" und "O4 - HKLM\..\Run: [jsf8j34rgfght] C:\DOKUME~1\Oliver\LOKALE~1\Temp\winloggn.exe" wurden zwar von AdAware/Avg entfernt, sind jetzt aber wieder da .... tralala :-O ... den Menschen die solche Programme schreiben sollte mehrjähriges, oder besser lebenslanges Computerverbot erteilt werden, oder so ... :-) Hier auch noch der AVG Report: AVG 8.0 Anti-Virus command line scanner Copyright (c) 1992 - 2008 AVG Technologies Program version 8.0.145, engine 8.0.0 Virus Database: Version 270.9.19/1855 2008-12-18 c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Locked file. Not tested. c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested. c:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Locked file. Not tested. c:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Locked file. Not tested. c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\gadcom\gadcom.exe Trojan horse Agent.AOQG Object was moved to Virus Vault. c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\document.zip Virus identified I-Worm/Mytob.KY c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\email-details.zip Virus identified I-Worm/Mytob.KY c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\important.pif Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\document.txt .scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\d4334938.doc .pif Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\details.zip Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\account-details.zip Virus identified I-Worm/Mytob.KY c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\letter_kontakt.zip Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\document.zip Virus identified Packed.Morphine.C c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\update3.exe Virus identified I-Worm/VB.2.BS c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\new-password.zip Virus identified Packed.Morphine.C c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\details.zip Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\message.scr Virus identified I-Worm/Netsky c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox:\account-report.zip Virus identified Packed.Morphine.C c:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\4goc1as7.default\Mail\Local Folders\Inbox Virus identified I-Worm/Mytob.KY c:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Locked file. Not tested. c:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested. c:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temp\prun.tmp Trojan horse SHeur2.FJD Object was moved to Virus Vault. c:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temp\rxeaocmsnw.tmp Trojan horse SHeur2.FJD Object was moved to Virus Vault. c:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temp\xnocaewsmr.tmp Trojan horse Downloader.Generic8.GOO Object was moved to Virus Vault. c:\Dokumente und Einstellungen\Oliver\NTUSER.DAT Locked file. Not tested. c:\Dokumente und Einstellungen\Oliver\ntuser.dat.LOG Locked file. Not tested. c:\System Volume Information\ Locked file. Not tested. c:\Temp\P2KT56.exe Trojan horse Downloader.Generic3.SZP Object was moved to Virus Vault. c:\WINDOWS\system32\config\default Locked file. Not tested. c:\WINDOWS\system32\config\default.LOG Locked file. Not tested. c:\WINDOWS\system32\config\SAM Locked file. Not tested. c:\WINDOWS\system32\config\SAM.LOG Locked file. Not tested. c:\WINDOWS\system32\config\SECURITY Locked file. Not tested. c:\WINDOWS\system32\config\SECURITY.LOG Locked file. Not tested. c:\WINDOWS\system32\config\software Locked file. Not tested. c:\WINDOWS\system32\config\software.LOG Locked file. Not tested. c:\WINDOWS\system32\config\system Locked file. Not tested. c:\WINDOWS\system32\config\system.LOG Locked file. Not tested. c:\WINDOWS\system32\drivers\sptd.sys Locked file. Not tested. ------------------------------------------------------------ Objects scanned : 587291 Found infections : 26 Found PUPs : 0 Healed infections : 5 Healed PUPs : 0 Warnings : 0 ------------------------------------------------------------ O.K., hoffe ihr könnt mit meinen konfusen Schilderungen etwas anfangen und bedanke mich schon mal fürs Lesen ... und dafür das es Leute wie euch gibt, die sich bei solcherart von Internetbelästigung die Zeit nehmen um zu helfen ... und das ohne Geld zu verlangen - Danke!!  |
|
18.12.2008, 23:11
| #2 |
| |  Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ .... Nachtrag: Bin gerade draufgekommen, das egal nach was ich Suche immer das erste Suchergebniss den ominösen http://go.google.com/ ... Link beinhaltet! ... kurios
__________________ |
|
23.12.2008, 15:57
| #3 |
| | Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ .... Alle die ein ähnliches Ereignis haben: bei mir war es ein Rootkit und ich konnte es anscheinend eliminieren (siehe: http://board.protecus.de/t35680.htm), vlt. hilft das jemandem weiter ... viel Erfolg!
__________________ |
| Themen zu Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ .... |
| ad-aware, adobe, avg, avg free, avg security toolbar, bho, canon, desktop, e-mail, einstellungen, excel, firfox, geld, google, google suchergebnisse, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet explorer, moved, net.exe, neuer tab, object, popup, problem, rundll, security, software, sptd.sys, system, temp, trojan, verweise, viren, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
