![]() |
|
Plagegeister aller Art und deren Bekämpfung: Werde umgeleitet von Google auf nicht ausgewählte SeitenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() | ![]() Werde umgeleitet von Google auf nicht ausgewählte Seiten Hallo, nun komme ich auch nicht mehr weiter. Mein Problem ist nun das ich nicht auf aufgerufene Seiten weitergeitet werde sondern umgeleitet werde! Nutze normalerweise Mozilla Firefox. Nachdem ich auf einer Seite gelandet bin die eigentlich wie eine Virus Warnung aussah musste ich feststellen das diese Info eher selbst eine war. Ich sollte 99$ für eine bestimmten Virenscanner zahlen. Danach zog ich das Netzwerkkabel und machte den Rechner aus. Ich lies die Desinfekt CD laufen aus ct Nr 2 2010. Avira fand folgende Viren: 7399E441.C04 /media/hda1/Dokumente und Einstellungen/martin/Anwendungsdaten/Boyw/ynci.exe 346E100B.44C /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Anwendungsdaten/Mozilla/Firefox/Profiles/tihfxtrz.default/Cache/_CACHE_003_ 28D76D8F.3B2 /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/C2.tmp 4C0F4C10.943 /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/ijtmp_B103ECBB-2EFE-4377-9BC0-26EB2ED3192B/installkit.exe 28F81832.BEE /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/ijtmp_F0EF6345-3903-4EB4-B346-7C61D04F6BD1/installkit.exe 5AB26D64.545 /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/AJYNM9MN/az[1].exe 302FE1E7.990 /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/OGX8F1GU/imqkfqys[1].htm 4B79B4A1.A6E /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/P3CWSNLQ/fda[1].exe 69A94F26.BF5 /media/hda1/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/SX89MVOH/pqksmhcwel[1].htm 05AAB95B.40B /media/hda1/Internet Downloads/setup_CCS_MC_Core_4.1.1.00014.exe 51720685.42E /media/hda1/portwexexe.exe/portwexexe.exe 3396C479.04E /media/hda1/Programme/eRightSoft/SUPER/SUPER1.dlm 66FA39C7.D35 /media/hda1/Programme/Texas Instruments/ccsv4/uninstall_CCSv4.exe 7649E442.7AC /media/hda1/Programme/Texas Instruments/eZ430-Chronos/uninstall.exe 64934EC8.5A6 /media/hda1/TI-Chronos/Chronos-Setup.exe 2CDA21AB.368 /media/hda1/WINDOWS/system32/drivers/gstpaloph.sys 7F28F8FE.DD3 /media/sda1-Boot/aa/CT 6600/CT 6600/CTEch Maker/libmySQL.dll 6C9A7CC5.999 /media/sda1-Boot/aa/CT 6600/CT 6600/ctechupP.exe 076338A4.F92 /media/sda1-Boot/Dokumente und Einstellungen/martin/Anwendungsdaten/hotfix.exe 152268CC.218 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/C3.tmp 779F3613.74C /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/C4.tmp 1D6223CC.769 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/CF.tmp 1435B7D2.BA5 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/D0.tmp 465A66CE.9C0 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/qtbkdnn.exe 7EED39B5.9F2 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/Akb.exe 75FEB986.0C7 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/Akc.exe 6CBA25C6.3AB /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/Akd.exe 1CCF44AB.E73 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temp/Ake.exe 51AB8738.C72 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/BSJZ6APE/allsup[1].exe 3F69F025.485 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/DSWVDPWH/lpgbiq[1].htm 36EBFFF9.8A1 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/KBN3AWTH/1014[1].exe 5C547D6C.CE6 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/MLBKT0RU/21[1].exe 0AE17D40.028 /media/sda1-Boot/Dokumente und Einstellungen/martin/Lokale Einstellungen/Temporary Internet Files/Content.IE5/OGX8F1GU/yctbwh[1].htm 0D879FEF.EEB /media/sda1-Boot/Dokumente und Einstellungen/martin/Startmenü/Programme/Autostart/roycgpss.exe 1014F593.FCF /media/sda1-Boot/WINDOWS/Alebya.exe 2794056A.B4A /media/sda1-Boot/WINDOWS/system32/sshnas21.dll Die nächsten beiden wurden in einem Späteren Suchlauf gefunden. Leider laufen die beiden anderen Scanner nicht durch. 72EF981E.6B5 /media/sda1-Boot/WINDOWS/explorer.exe 783D9F71.ECB /media/sda1-Boot/WINDOWS/system32/winlogon.exe Danach fing ich an im Internet zu suchen und fand euch. (Gehe z.Z. über Boot CD ins Internet, ganz schön aufwendig wenn man wieder an Windows will). Mein Windows schickt mich nicht auf gewünschte Seiten sondern auf Böse Seiten habe 64__111__212__234 mal gefunden. Der Hijack Logfile:HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:24:12, on 04.12.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\!Virus\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.medion.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.medion.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx Internet Explorer.lnk O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx Löschautomat.lnk O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=hxxp://www.medion.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134055363296 O17 - HKLM\System\CCS\Services\Tcpip\..\{6AB29D7C-0901-4B9E-B56F-CC6735FA4180}: NameServer = 192.168.100.100 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co., Ltd. - C:\WINDOWS\system32\dgdersvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\program files\common files\Siemens\S7IEPG\s7oiehsx.exe O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe End of file - 8182 bytes Und habe heute auch noch GMER laufen lassen: GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2010-12-04 19:21:19 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD2500BEVE-22WZT0 rev.01.01A01 Running: mlejn0zg.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fgldapob.sys ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\Explorer.EXE[1204] kernel32.dll!CreateProcessInternalW 7C8197B0 5 Bytes JMP 00B48369 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs ino_flpy.sys (CA eTrust Antivirus/InoculateIT File System Mounting Filter Driver for Windows 2000/XP/.Net/Computer Associates) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat ino_flpy.sys (CA eTrust Antivirus/InoculateIT File System Mounting Filter Driver for Windows 2000/XP/.Net/Computer Associates) Device \FileSystem\Cdfs \Cdfs F6750400 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 Ich denke, das System ist nicht mehr zu retten. Wollte aber mal nachfragen ob noch was zu retten ist. Martin |
Themen zu Werde umgeleitet von Google auf nicht ausgewählte Seiten |
adobe, antivir guard, avg, avgnt, bho, browser, canon, computer, desktop, error, google, helper, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, jusched.exe, logfile, löschen, pdf, plug-in, registry, scan, seiten, shortcut, software, virus, warnung, windows xp |