Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Google leitet falsch weiter...Bin ratlos!

Google leitet falsch weiter...Bin ratlos!


Log-Analyse und Auswertung: Google leitet falsch weiter...Bin ratlos!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.02.2010, 14:26   #1
Immortal_666
 
Google leitet falsch weiter...Bin ratlos! - Unglücklich

Google leitet falsch weiter...Bin ratlos!


Guten Tag zusammen,

ich bin "neu" hier und seit einigen Tagen plagt mich das Problem, dass google mich auf "falsche"seiten weiterleitet...ich bin mit meinem Latein leider am Ende...

HiJack This liefert folgende Datei:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:11:07, on 04.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\TrojanHunter 5.2\THGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BORGChat\BORGChat.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
C:\Programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe
C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Test\TrendMicro\HiJackThis\Test.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [picon] "C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe" -startup
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BORGChat.lnk = C:\Programme\BORGChat\BORGChat.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA90E63D-A076-448B-982A-114E1208E8D8}: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
O23 - Service: Sage Verteilungsdienst (SageDeploymentService) - Sage Software - C:\Programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe

--
End of file - 7701 bytes

Wäre über Hinweise echt froh!

Danke

Grüße

Immortal

Alt 04.02.2010, 18:20   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google leitet falsch weiter...Bin ratlos! - Standard

Google leitet falsch weiter...Bin ratlos!


Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________
Alt 05.02.2010, 19:38   #3
CChance
 
Google leitet falsch weiter...Bin ratlos! - Standard

Google leitet falsch weiter...Bin ratlos!


Ich klinke mich hier mal ein, weil ich das gleiche Problem habe. Seit gestern Abend spinnt google und leitet mich scheinbar nach Belieben mal dahin, wo ich auch hingeklickt habe, und mal zu irgendwelcher Werbung (nicht nur für die üblichen Anti-Malware-Angebote, sondern z.B. auch zu T-Online; aufgeschrieben als erste Anlaufstation für den falschen Redirect habe ich mir primosearch.com, groupiesearch.com und trafficengine.net).

Wo ist es passiert?
Kann ich nicht mit hundertprozentiger Sicherheit sagen, aber ich war gestern Abend auf diversen Flash-Spielchen-Seiten und ansonsten eigentlich nirgendwo zweifelhaft. (Mal davon abgesehen, dass Browser und Betriebssystem natürlich veraltet und nicht auf dem neuesten Stand sind; auf der Vista-Partition wäre das wohl gar nicht erst passiert.)

Ist ein Sicherheitsbeobachtungsprogramm angesprungen?
Ja. Kaspersky Internet Security 2009 hat mich vor "h**p://pagead2.googlesyndication.com/pagead/show_ads.js" gewarnt. Angeblich (Kaspersky-Foren) ein falscher Alarm, aber mich irritiert der zeitliche Zusammenhang. Kurz danach habe ich nämlich Warnungen bekommen, dass Kaspersky einige exe-Dateien daran gehindert hat, zu starten: pkt90t.exe, 3443cv.exe (beide in C:\), vwla.exe, nilshg.exe, ekah.exe, ivuyan.exe (alle in \Temp). Die beiden, die angeblich mal in C:\ waren, hat CCleaner gerade mit "fehlende MUI Beziehung" markiert und die Einträge in der Registrierung dann gelöscht. Die Dateinamen sind ja vermutlich zufällig, aber vielleicht hilft es, wenn ich dazu erwähne, dass 3443cv.exe in der Registrierung die Beschreibung "Main executable for Tiberian Sun" hatte (warum auch immer; dieses Spiel besitze ich noch nicht mal, geschweige denn, dass ich es mal installiert hätte).

Welche Schritte wurden eingeleitet?
Gleich das erste, was ich gemacht habe, war die Löschung von Temporary Internet Files und Temp-Ordner über die Windows-Datenbereinigung. Danach habe ich nach den Dateien gesucht, die Kaspersky gemeldet hatte, sie aber nicht mehr aufgefunden (auch nicht die in C:\ !).
Dann wollte ich Spybot Search and Destroy mal über das System laufen lassen, was aber daran gescheitert ist, dass das Update nicht funktioniert hat. Die Seite von Malwarebytes konnte ich gar nicht erst aufrufen (da habe ich dann den oben beschriebenen Effekt auf google-Suchen gemerkt).
Daraufhin habe ich mir das HijackThis-Log angesehen:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:45:02, on 05.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sttray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\magic\Magic.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Ad-AwareInstallation.exe
C:\DOKUME~1\***\LOKALE~1\Temp\mia4B.tmp\Ad-AwareInstallation.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.spiegel.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=020910 serial=xxx lang=DE
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit gorkos.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://w*w.popcap.com/webgames/popcaploader_v10_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA48B326-EF28-40F2-B286-27EC470E0BA1}: NameServer = 93.188.163.170,93.188.166.58
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.170,93.188.166.58
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.170,93.188.166.58
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.170,93.188.166.58
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe

--
End of file - 6692 bytes
Ich bin leider überhaupt kein Experte, aber O17 kam mir seltsam vor, und tatsächlich: das sind irgendwelche ukrainischen DNS-Server, die ich mit Sicherheit nicht selbst eingetragen habe. Die habe ich also wieder rausgenommen, und schon hat das Update für Spybot funktioniert (und ich kam auf die Seite von Malwarebytes). Es wurde dann auch etwas gefunden, nur weiß ich leider nicht mehr, was; ein Logfile habe ich vergeblich gesucht (weitere Durchgänge seitdem sagen, dass das System sauber ist).
O16 habe ich HijackThis auch löschen lassen, ansonsten dann die Arbeit Malwarebytes überlassen:

Erster Malwarebytes-Durchgang (ohne externe Speicher, da keine angeschlossen waren in den letzten Tagen):

Zitat:
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3353
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.02.2010 05:09:51
mbam-log-2010-02-05 (05-09-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 107536
Laufzeit: 2 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\spool\prtprocs\w32x86\000020b1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spool\prtprocs\w32x86\00002ffc.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spool\prtprocs\w32x86\00004574.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Zweiter Durchgang (knapp 2h später, weil das Problem noch nicht gelöst war; die Windows-Sicherheitswarnungen hatte ich dazwischen wieder deaktiviert, weil sie mich genervt haben und KAV ja lief, deswegen nicht wundern):

Zitat:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3691
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.02.2010 06:50:49
mbam-log-2010-02-05 (06-50-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115182
Laufzeit: 2 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
Der dritte Durchgang war um 10:23 und diesmal ein vollständiger Scan, bei dem aber nichts mehr gefunden wurde. Auch ein Systemscan von Kaspersky hat keine Infizierungen zu Tage gebracht.

Wo ist dann das Problem?
Nichts gefunden =! Problem beseitigt, leider. Ich werde nämlich nach wie vor über irgendwelche Werbeverteilerlinks falsch weitergeleitet.
Die google-Suche an sich funktioniert normal, aber sobald ich eines der Suchergebnisse anklicke, erscheint in TCPView eine Adresse der Domain privatedns.com; ich vermute, dass die es ist, die meine Suchanfragen abfängt und mich willkürlich (aber hauptsächlich bei Suchen zum Thema Viren) falsch weiterleitet. (Am häufigsten sehe ich etwas kryptische Domains, die laut whois alle google gehören und also ungefährlich sein sollten; außerdem hin und wieder cachefly.net, blue.aol.com, rdso.ru und deploy.akamaitechnologies.com.) Ich habe schon versucht, *privatedns.com über die Kaspersky-Kindersicherung zu sperren, allerdings ohne Erfolg (wenn ich's direkt in die Adressleiste eingebe, kann ich sie nicht aufrufen, aber die Redirecterei zeigt sich davon unbeeindruckt).

Die schlaueste Lösung wäre sicher, das System neu aufzusetzen, aber das ist zumindest in den nächsten Tagen keine Option. Ich hoffe daher, dass mir hier jemand helfen kann.

Hier sind noch die aktuellen RSIT-Logs: Link.
__________________
Alt 07.02.2010, 17:57   #4
CChance
 
Google leitet falsch weiter...Bin ratlos! - Standard

Google leitet falsch weiter...Bin ratlos!


Ich habe inzwischen durch Rumprobieren selbst eine Lösung gefunden. Ich poste sie mal hier, weil sie eventuell auch dem OP helfen könnte.

Die Weiterleitung hat sich neben dem Redirect selbst auch so geäußert, dass der google-Weiterleitungs-Link (in der Adressleiste) sich geändert hat: es wurden ständig die Tags "as_acct=" und "cr=" angehängt. Danach habe ich auf einem uninfizierten System gegooglet und einen Hinweis erhalten, dass es sich hier um ein Rootkit handeln könnte, das die Systemdatei atapi.sys modifiziert.
So scheint es dann auch gewesen zu sein. Eine GMER-Analyse hat mir ein ähnliches Ergebnis gebracht wie hier (letztes Ergebnis unten, TDSS), und nachdem ich atapi.sys mit einer Version eines uninfizierten XP-Rechners ersetzt hatte, war mein Problem gelöst (oder jedenfalls kann ich jetzt wieder googlen und sehe keine verdächtigen Server mehr in TCPView).

Antwort

Themen zu Google leitet falsch weiter...Bin ratlos!
ad-aware, adobe, antivir, antivir guard, avg, avira, bho, browseui preloader, desktop, excel, explorer, firefox, google, hijackthis, hkus\s-1-5-18, internet, internet explorer, leitet, mozilla, neu, notification, plug-in, problem, programme, seiten, software, system, windows, windows xp


« Wilde Festplattenaktivität | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit »


Ähnliche Themen: Google leitet falsch weiter...Bin ratlos!


  1. Googlesuche leitet falsch weiter
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (5)
  2. Internet Explorer leitet falsch weiter -> seit Delta Search
    Plagegeister aller Art und deren Bekämpfung - 19.04.2013 (9)
  3. Google Redirect - Malware - Google leitet falsch um
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (21)
  4. Opera/Firefox leitet falsch weiter
    Log-Analyse und Auswertung - 17.07.2011 (6)
  5. Browser leitet falsch weiter,Wörter falsch,kein Download bzw. Hochladen möglich
    Plagegeister aller Art und deren Bekämpfung - 19.02.2011 (14)
  6. Google leitet falsch weiter
    Plagegeister aller Art und deren Bekämpfung - 12.02.2011 (5)
  7. Google leitet falsch weiter & ... .exe hat ein Problem festgestellt und muss beendet werden
    Log-Analyse und Auswertung - 11.11.2010 (11)
  8. Google leitet falsch weiter, manche Seiten lassen sich gar nicht öffnen, Malwarebytes defekt!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (34)
  9. Schonwieder jemand mit "Google leitet falsch" Komme selber nicht weiter.
    Plagegeister aller Art und deren Bekämpfung - 04.02.2010 (1)
  10. Google verlinkt falsch bzw. andere links leiten falsch weiter!
    Log-Analyse und Auswertung - 01.02.2010 (17)
  11. HiJackThis lässt sich gar nicht erst installieren! Google leitet falsch weiter.Hilfe!
    Log-Analyse und Auswertung - 21.11.2009 (1)
  12. Explorer leitet falsch weiter oder geht garnicht. Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (1)
  13. Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (8)
  14. Google leitet falsch weiter, wo ist der Trojaner?
    Log-Analyse und Auswertung - 16.07.2009 (3)
  15. google leitet falsch weiter
    Log-Analyse und Auswertung - 11.02.2009 (17)
  16. Google leitet falsch weiter
    Log-Analyse und Auswertung - 11.02.2009 (15)
  17. Google leitet falsch weiter etc.
    Log-Analyse und Auswertung - 22.10.2008 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Google leitet falsch weiter...Bin ratlos! - Guten Tag zusammen, ich bin "neu" hier und seit einigen Tagen plagt mich das Problem, dass google mich auf "falsche"seiten weiterleitet...ich bin mit meinem Latein leider am Ende... HiJack This - Google leitet falsch weiter...Bin ratlos!...
Archiv
Du betrachtest: Google leitet falsch weiter...Bin ratlos! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55