Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google öffnet falsche seiten! (https://www.trojaner-board.de/39676-google-oeffnet-falsche-seiten.html)

yesman 06.06.2007 12:51

Google öffnet falsche seiten!
 
Hallo Leute!

Ich habe seit Wochen ein Problem mit meinem Computer! Und zwar wenn ich bei google bin und etwas über irgendein thema suche öffnen sich erst ganz normal die suchergebnisse. Wenn ich dann aber etwas von den suchergebnissen anklicken will, werde ich auf andere seiten geleitet. die seiten auf die ich geleitet werde haben meist etwas mit dem thema zu tun was ich suche.Es sind aber nicht die originalseiten. habe schon adware und spybot durchlaufen lassen haben aber nichts gefunden. Es wäre schön wenn mir einer von euch helfen könnte! Ich schicke euch mein logfile von Hijackthis. Danke!!!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:35:06, on 06.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\utorrent\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://www.1und1.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{809F4D61-CA6C-43AA-8EA0-24072D2ED2E0}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\..\{866DD2BD-16FD-41EF-856C-70526B9F9B84}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\..\{98E20D68-61E8-4572-BE36-EA7B09326BE6}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\..\{D062C3E3-58BE-43F8-9B86-DA50B8F18C2A}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.57 85.255.112.181
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.57 85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.57 85.255.112.181
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Network Browser (NBSystem) - Unknown owner - C:\WINDOWS\system32\nbsystem.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5164 bytes

undoreal 06.06.2007 13:34

Hallo Yesman.

Dein Computer surft erst in die Ukraine und dann weiter.
Damit ist es möglich Daten auf deinem PC so zu verändern, dass deine Privatsphäre gestört wird.
Eine Bereinigung wäre fahrlässig und ich rate dir d.h. dringend deinen Rechner neuaufzusetzten und danach alle Passwörter zu ändern.
Eine Anleitung findest du in meiner Signatur.
Wenn du Daten sichern möchtest so sollten das ausschließlich NONexecutable files also nicht ausführbare Dateien sein. Sichere also KEINE .dll .exe usw. Datein und lasse die gesicherten Daten von einem guten AV Scanner testen bevor sie wieder auf ein System gelangen.

Gruß

Undoreal

Laserbeak 06.06.2007 15:42

@Undoreal:
Kannst Du mal kurz erläutern wo man sehen kann, dass der Rechner erst in die Ukraine und dann.....


Danke !

myrtille 06.06.2007 16:10

Ich stalke. ;)

Die Umleitung erkennt man an folgenden Einträge:
Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{809F4D61-CA6C-43AA-8EA0-24072D2ED2E0}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\..\{866DD2BD-16FD-41EF-856C-70526B9F9B84}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\..\{98E20D68-61E8-4572-BE36-EA7B09326BE6}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\..\{D062C3E3-58BE-43F8-9B86-DA50B8F18C2A}: NameServer = 85.255.114.57,85.255.112.181
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.57 85.255.112.181
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.57 85.255.112.181
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.57 85.255.112.181
Die Adressen lassen sich zb hier überprüfen. Gehört sie zu Arcor, Telekom oder Alice dürften es normale Weiterleitungen sein, befinden sie sich allerdings im Ausland sind sie häufig bösartig.
Welches Kürzel wofür steht kann man zb hier nachlesen: klick


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131