Ich werde bei Google zu anderen Seiten geleitet

Teibei · 26.02.2009, 15:28

Hallo!

Ich bin neu hier im Forum.

Seit einigen Tagen werde ich beim googeln immer auf andere, seltsame Seiten wie Emule oder Ähnliches weitergeleitet.

Ich hab mal mit dem Programm HijackThis einen Log gemacht, kann damit aber leider nichts anfangen. Könnt ihr mir weiterhelfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:17, on 26.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Thorsten\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B138D29A-1B98-4118-A987-21DF436106AC}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5070 bytes

Jaipur · 26.02.2009, 22:04

Hallo Teibei,

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{B138D29A-1B98-4118-A987-21DF436106AC}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74

Kommst Du aus der Ukraine oder hat dein Provider da seinen Sitz? Du hast eine Umleitung auf einen Nameserver dort und die hast Du sicher nicht selber eingerichtet nehme ich mal an.

Du hast dir einen sogenannten DNS- Changer eingefangen. Man kann versuchen, das wieder umzubiegen.

Ich würde allerdings bei diesem Befund sofort einen sauberen Schnitt machen und das System neu Aufsetzen: http://www.trojaner-board.de/51262-a...sicherung.html

Aber das ist nur meine Meinung, Du kannst natürlich auch Andere abwarten.

Gruß

Jaipur

Redwulf · 26.02.2009, 22:07

Ich kann aus Erfahrung sagen, dass das Umbiegen möglich ist, aber warten wir mal die Entscheidung ab...

Teibei · 27.02.2009, 01:20

Also ich habe den Log noch in einem anderen Forum gepostet und die kamen auf das gleiche Ergebnis. Habe mich heutre Nachmittag schon dazu entschieden, C zu formatieren, das habe ich jetzt auch gemacht und der 017 taucht beim scan nicht mehr auf.

Was genau hat es denn mit der Ukraine auf sich? Welches Ziel verfolgen die dort nach und was hätte passieren können?

Wie schütze ich mich ion Zukunft vor sowas und wie kommen die an mich? Über bestimmte Seiten oder wodurch?
Ich habe ZomaAlarm und Antivir drauf. Reicht das?

Gruß

Jig Saw · 27.02.2009, 01:24

nur C zu formatieren würd wahrscheinlich das größte wegpusten, doch ich würd auf Nummer sicher gehen und nochmal ein HJT posten und Malwarebytes und SUPERAntiSpyware drüber laufen lassen.

Zum Schützen:
Am besten schützt man sich wenn man seinen gesunden Menschenverstand einsetzt => brain.exe
Zone Alarm würd ihc deinstallieren und die Windows Firewall nehmen.

Redwulf · 27.02.2009, 07:48

Wenn du online Banking machst, könnte es im schlimmsten Fall passieren, das die Burschen dort dir dein Konto leerräumen. Vieleierlei ist möglich, Fakt ist das jemand anders Kontrolle über deinen PC hat und sämtliche deiner Passwortabfrgaen, z.B. Ebay, Online Banking...und was weiss ich noch in die Hand bekommt. Dieser Trojaner ist ziemlich übel, da er von einem Rootkit abgedeckt wird. Er ist somit von AV Programmen nicht erkennbar. Fällt jedoch die Tarnung, ist der Virus auch erkennbar und angreifbar.

Teibei · 27.02.2009, 09:13

Hir nochmal der neue LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:54, on 27.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4311 bytes

@REDWUL

Mit angreifbar meinst du das erkennen (HiJAckThis) und Löschen (Formatieren)?

Also bei den Seiten wo es um Geld geht (Online-Banking, Ebay, Paypal) habe ich das PAsswort jetzt geändert. In den Foren und sonstiges wo ich aktiv bin habe ich das alte mal beibehalten. Ich denke das Interesse der Hacker liegt eher in Geldsachen oder?

Wie und wo kann man sich den Trojaner einfangen? Darüber etwas bekannt?

Ich danke euch bis hier schonmal für eure tolle Hilfe!! Echt super!!

Gruß

Redwulf · 27.02.2009, 11:29

Mit angreifen meine ich, dass ein AV Programm in der lage ist ihn zu erkennen und zu killen. Ist interessant hier wenn der rootkit des DNS Changers gelöscht wird. Sofort schlagen die AV programme Alarm und löschen ihn.

Einfangen kann man sich sowas in fragwürdigen Webseiten und P2P Verbindungen, also z.B. Limewire, emule, Warez, etc. Wie mein Vorredner schon sagte. Der beste Schutz ist brain.exe

Ich persönlich sichere mein System mit Bitdefender 2009 ab. AV tuts auch, hierzu solltest du dir aber die agressiven Einstellungen mal durchlesen ( hier im Forum ) Hin und wieder lasse ich Malwarebytes und GMER laufen. und...ganz wichtig, ich ziehe mir automatisch die Updates von Windows. Lass ZoneAlarm runter und nutze die Windows Firewall. Hier im Forum findest du u.a. wichtige Tips wie man sein System sichern kann.

Komm nicht auf die Idee dir 2 oder mehr AV programme aufs System zu spielen, die behindern sich u.U. sogar gegenseitig. Wie 2 Torwarte die einen Ball fangen wollen...

Bleib sauber und surfe schön überlegt ......

Ich werde bei Google zu anderen Seiten geleitet

Log-Analyse und Auswertung: Ich werde bei Google zu anderen Seiten geleitet