Hallo Forum

Habe seit gestern folgendes problem: wenn ich auf bestimmte seite gehe öffnet sich immer wieder eine pornoseite die sich spermshack nennt, ingesamt 4 seiten waren betroffen eine ist immer noch betroffen. Ich hab erstmal jeden scanner durchlaufen lassen, antivir konnte nichts finden aber spybot fand einen eintrag. Er zeigte mir denn als umgeleiteten host an mit der url www.postbank.de .Hab nun versucht denn eintrag zu enfternen, nochmal gescannt leider immer noch da. Nach ein bischen googeln habe ich mir die host datei angesehen und dort auch die einträge gefunden die meine adressen umleiteten, hab diese alle gelöscht und nochmal gescannt, den umgeleiteten host wieder entfernt und wieder gescanned endlich war der umgeleitet host weg. Ich versuche eine vorherr umgeleitete seite zu öffnen, es geht wieder, kein spermshack. Problem gelöst dachte ich mir, falsch gedacht. Eine seite ist bei mir immer noch infiziert, und zwar die postbank seite(postbank.de) da kommt immer noch diese spermshack seite. Alle anderen seiten gehen wieder, nur postbank nicht. Ich bin jetzt mit meinem latein nun am ende und brauch hilfe, vor allem habe ich schon einiges an malware runter gekriegt hatte es aber bis jetzt noch nie mit einem hijacker zu tun, hab mit hijacking halt nie probleme gehabt vorherr.

Hat jemand eine idee was ich machen kann?

Danke schonmal im voraus für eure hilfe

Hallo... und



1.) Antivir
- http://www.trojaner-board.de/54192-a...tellungen.html


3.) Führe folgende Programme aus:
- Ccleaner
- http://www.trojaner-board.de/51130-a...ijackthis.html
- Malewarebytes
- Superantispyware

4.) Erstelle mit HijackThis eine Liste der installierten Programme

Hijackthis starten --> klicke "Open the Misc Tool Section" -->
klicke "Misc Tools" --> klicke "Open uninstall Manager" --> klicke "Save List"

Antivir war schon bereits so eingestellt. Superantivir scannt grad. CCleaner hab ich schon drauf gehabt hat auch nichts gebracht.

Hier der logfile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:53, on 27.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\VNC4\winvnc4.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Garena\Garena.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
F3 - REG:win.ini: load=C:\DOKUME~1\ADMINI~1\ANWEND~1\esentutl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MstInit] C:\WINDOWS\System\mstinit.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\DOKUME~1\ADMINI~1\ANWEND~1\MICROS~1\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\DOKUME~1\ADMINI~1\ANWEND~1\MICROS~1\clipsrv.exe /waitservice (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\Adobe\VNC4\winvnc4.exe

--
End of file - 6150 bytes

Das fehlt noch ne Menge....

So hab jetzt die uninstall list. Vollständiger spyware scan fand lediglich 9 tracking cookies bei mir aber sonst nichts, werd noch ein safe boot und Malware bytes scan machen.

Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
AMD Processor Driver
Arx Fatalis
AsdaStory
ASUS Gamer OSD
Avira AntiVir Personal - Free Antivirus
Browser Configuration Utility
CCleaner (remove only)
Combined Community Codec Pack 2008-09-21 16:18
Cross Fire En
DAEMON Tools Toolbar
DivX Codec
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
eMule
Fable - The Lost Chapters
Fraps
Garena
Grandia2
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 12
Kumiko Manor 2.15 DV
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - deu
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.9)
NVIDIA Drivers
NVIDIA PhysX v8.10.13
Oblivion
Oblivion - Horse Armor Pack
Oblivion - Knights of the Nine
Oblivion - Mehrunes Razor
Oblivion - Orrery
Oblivion - Spell Tomes
Oblivion - Thieves Den
Oblivion - Vile Lair
Oblivion - Wizard's Tower
Postal 2 Share The Pain
RAM Defrag
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Savage 2 - A Tortured Soul
Spybot - Search & Destroy
SUPERAntiSpyware Free Edition
TeamSpeak 2 RC2
TrueCrypt
VC 9.0 Runtime
VC 9.0 Runtime
VC80CRTRedist - 8.0.50727.762
VLC media player 0.9.8a
VNC Free Edition 4.1.3
Windows XP Service Pack 3
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
XviD MPEG-4 Video Codec
ZoneAlarm Pro

Danke hat sich erledigt, Malware bytes fand den fehler. War übrigens nicht mal ein hijacker sondern ein Trojan agent, alle seiten gehen wieder alles scheint sauber zu sein.

Und es war das erste mal das spybot, ad-aware, avast und antivir bei mir versagt haben... Wie auch immer malware bytes ist echt ein super programm werd ich aufjedenfall drauf lassen

Danke für eure Hilfe und Tips.

...auch gut....

----------Thread kann geschlossen werden------------