Browser Hijacker / Malware

Belarus

Hallo und Guten Abend,

anscheinend hat sich bei uns ein "Hijacker" oder Plagegeist eingenistet. Wir werden ihn einfach nicht los. Unsere Antiviren-Programme Kaspersky oder Antivir können nichts finden sowie auch nicht Spybot & Search Destroy, Malwarebytes etc.

Wir benutzen im Moment Opera & den IE9. Bei Opera lässt sich die Weiterleitung in den Einstellungen nicht ändern. Versucht man sie auszuschalten, erscheint bei jedem Aufruf irgendeiner Webside: Moved permanently. The document has moved here; here ist verlinkt. Wir hatten bei dem Opera-Browser eine zeitlang immer Probleme mit dem Adobe-Player, er ließ sich nicht aufrufen und ein "Begleiter" aus "Poland" (wohl der Server, Sitz in Germany) war fast zeitgleich auf den Seiten, die wir besuchten, lt. Besucherstatistik.



Außerdem erscheint teilweise bei den Whois - Abfragen diese Meldung:

IP Information - 82.82.194.7
Host name dslc-082-082-194-007.pools.arcor-ip.net
Country Germany
Country Code DE
Region Niedersachsen
City Hanover
Latitude 52.3667
Longitude 9.7167
Whois* Information

NetRange: 82.0.0.0 - 82.255.255.255
CIDR: 82.0.0.0/8
OriginAS:
NetName: 82-RIPE
NetHandle: NET-82-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: TINNIE.ARIN.NET
NameServer: NS-PRI.RIPE.NET
NameServer: SUNIC.SUNET.SE
NameServer: SEC3.APNIC.NET
NameServer: NS3.NIC.FR
NameServer: SEC1.APNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at hxxp://www.ripe.net/whois
RegDate: 2002-11-23
Updated: 2004-03-16
Ref: hxxp://whois.arin.net/rest/net/NET-82-0-0-0-1

OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2004-12-13
Ref: hxxp://whois.arin.net/rest/org/RIPE

ReferralServer: whois://whois.ripe.net:43
---------------------------
Aber unser Standort ist weder "Hanover" noch Amsterdam etc.
-------------
Außerdem schaltet sich unsere Easy-Box (Router) schon desöfteren an/aus oder wir erhielten die Nachricht im Browser: !crossnetworking: Eine Seite aus dem Internet fordert Daten aus ihrem privaten Internet.
---------------------------------------------------

Wir haben das System bereits ö f t e r neu aufgesetzt - Neuinstallation- und alle Daten gelöscht und trotzdem... immer und immer wieder...
--------------------------------------------------

Hier vorab der Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:53, on 20.09.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v9.00 (9.00.7930.16406)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing)
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [HWSetup] "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe
O4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exe
O4 - HKLM\..\Run: [TosReelTimeMonitor] %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmartFaceVWatcher] %ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
O4 - HKLM\..\Run: [Teco] "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r
O4 - HKLM\..\Run: [ToshibaServiceStation] C:\Program Files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe /hide:60
O4 - HKLM\..\Run: [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
O4 - HKLM\..\Run: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [Delete USB Error Key] "C:\Program Files\Samsung\Samsung New PC Studio\USB Drivers\SPS3_USB_Driver_Setup.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
-------------------------

Für Eure Hilfe und Tipps wären wir sehr, sehr dankbar.
Vielen Dank im Voraus.
Viele Grüße die Belarus

Hallo und Guten Morgen

da wohl die o.g. Angaben für die Hilfe wohl nicht reichen, hänge ich anbei noch die von uns gemachten Auswertungen - Logfiles etc. an.


Ich hoffe, so kann jemand uns schneller und besser zur Hilfe kommen.

Vielen Dank.

Viele Grüße,
die Belarus

Hallo liebes Forum-Team,

ich weiß ihr habt viel zu tun, aber ich schubse einfach meinen Thread nochmal nach oben und ich hoffe, es hat jemand etwas von seiner kostbaren Zeit für mich über und schaut drüber und hat einen guten Tipp und Ratschlag.

Vielen Dank im Voraus.
Viele Grüße
Belarus

Hallo liebes Forum,

ich habe seit einer Woche einen Thread bei Euch eingestellt und leider noch keine Antwort. Zeit & Lust?!

Viele Grüße