|
Umleitung auf unerwünschte links im InternetExplorer, was tun? :confused: Hallo, ich habe seit ein paar Tagen das Problem, dass ich im iE ständig auf unerwünschte links umgeleitet werde. Nun hab ich gegoogelt und Euch gefunden. Das Logfile habe ich erstellt, aber ich traue mich nicht, es zu interpretieren und weiß jetzt nicht, welche Einträge ich fixen soll. Es wäre toll, wenn mir jemand helfen könnte. Vielen Dank, bonsai65 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:12:30, on 29.01.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe C:\WINNT\system32\internat.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [...] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [...] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = [...] O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177687368236 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2FED0E01-DD51-49AA-96C8-E5D51BE2F4B1}: NameServer = 85.255.114.98,85.255.112.13 O17 - HKLM\System\CCS\Services\Tcpip\..\{FE1197E2-743D-4390-899A-0E96485BA3A8}: NameServer = 62.220.18.8 89.246.64.8 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.98 85.255.112.13 O17 - HKLM\System\CS1\Services\Tcpip\..\{2FED0E01-DD51-49AA-96C8-E5D51BE2F4B1}: NameServer = 85.255.114.98,85.255.112.13 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.98 85.255.112.13 O17 - HKLM\System\CS2\Services\Tcpip\..\{2FED0E01-DD51-49AA-96C8-E5D51BE2F4B1}: NameServer = 85.255.114.98,85.255.112.13 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.98 85.255.112.13 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\heike\LOKALE~1\Temp\hpdj.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6659 bytes |
Hallo bonsai65 und Willkommen! Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: DNS-Einträge entfernen Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden Fixe nun mit HijackThis folgende Einträge im Logfile: Zitat:
ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) |
moin Bitte folgendes mal fixen unter HIjackthis R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [...] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [...] O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing) Installiere bitte mal Spybot Search and Destroy, Installiere es aber deaktiviere den Tea Timer Führe danach ein Update und anschliesend einen Scan aus. |
vielen Dank für Eure schnellen Antworten. Was soll ich denn jetzt als erstes tun? Und eine Frage hab ich noch: wie entferne ich DNS-Einträge? |
Zitat:
Zitat:
Erst gut durchlesen, und vor allem verstehen, dann das Fixewareout anwenden und danach die Einträge mit Hijackthis fixen: Starte -> HijackThis -> Do a System Scan only -> und die Einträge welche ich dir genannt habe anhaken und FIX CHECKED klicken! ;) |
Hallo, hab' jetzt alles abgearbeitet, allerdings konnte ich in HiJack nicht mehr die Einträge fixen, da diese bereits nach dem Fixwareout-Lauf weg waren, und folgendes Log aus ComboFix erhalten: ComboFix 08-01-29.3 - heike 29.01.2008 21:42:25.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.86 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\heike\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 )))))))))))))))))))))))))))))) . 2008-01-29 21:42 . 29.01.08 21:42 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_314.dat 2008-01-29 20:12 . 29.01.08 20:12 <DIR> d-------- C:\Programme\Trend Micro 2008-01-29 19:34 . 29.01.08 19:34 <DIR> d-------- C:\Programme\Lavasoft 2008-01-29 19:34 . 29.01.08 19:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-25 18:29 . 25.01.08 18:29 <DIR> d-------- C:\WINNT\system32\Kaspersky Lab 2008-01-25 18:29 . 25.01.08 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-01-25 07:26 . 25.01.08 07:26 54,156 --ah----- C:\WINNT\QTFont.qfn 2008-01-25 07:26 . 25.01.08 07:26 1,409 --a------ C:\WINNT\QTFont.for 2008-01-24 15:34 . 29.01.08 21:43 22 d-a------ C:\WINNT\. 2008-01-24 12:21 . 29.01.08 21:43 22 d-a------ C:\WINNT\. 2008-01-17 21:14 . 17.01.08 21:14 <DIR> d-------- C:\WINNT\Sun 2008-01-17 21:14 . 22.05.07 17:39 61,555 --a------ C:\WINNT\system32\jpicpl32.cpl 2008-01-17 21:13 . 17.01.08 21:14 <DIR> d-------- C:\Programme\Java 2008-01-17 21:12 . 17.01.08 21:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-01-15 11:00 . 29.01.08 21:43 22 d-a------ C:\WINNT\. 2008-01-10 22:29 . 10.01.08 22:29 0 --a----t- C:\WINNT\system32\Perflib_Perfdata_504.dat 2008-01-10 18:50 . 29.01.08 21:43 22 d-a------ C:\WINNT\. 2008-01-02 19:43 . 29.01.08 21:43 22 d-a------ C:\WINNT\. 2007-12-29 15:25 . 29.01.08 21:43 22 d-a------ C:\WINNT\. . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 18:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-28 16:56 --------- d-----w C:\Programme\Zylom Games 2008-01-25 15:46 --------- d-----w C:\Dokumente und Einstellungen\heike\Anwendungsdaten\Canon 2008-01-06 14:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2007-12-21 12:36 619,383 ----a-w C:\Dokumente und Einstellungen\heike\schule.zip 2007-12-14 10:32 12,632 ----a-w C:\WINNT\system32\lsdelete.exe 2006-12-03 15:34 26,636 -c--a-w C:\Dokumente und Einstellungen\heike\nachrichten_werner_gesendete.zip 2006-12-03 15:32 16,376 -c--a-w C:\Dokumente und Einstellungen\heike\nachrichten_werner.zip 2005-04-22 15:43 2,932 -c--a-w C:\Dokumente und Einstellungen\heike\smb.reg 2005-04-22 15:43 2,294 -c--a-w C:\Dokumente und Einstellungen\heike\dcomp.reg 2005-04-22 15:43 1,776 -c--a-w C:\Dokumente und Einstellungen\heike\handler_gopher.reg 2005-04-22 15:43 1,270 -c--a-w C:\Dokumente und Einstellungen\heike\dcom.reg 2005-04-22 15:43 1,207,700 -c--a-w C:\Dokumente und Einstellungen\heike\services.reg 2005-04-22 15:43 1,150 -c--a-w C:\Dokumente und Einstellungen\heike\handler_telnet.reg 2005-04-21 22:03 271 ---h--w C:\Programme\desktop.ini 2005-04-21 22:03 22,080 ---h--w C:\Programme\folder.htt 1999-12-10 12:00 32,528 -c--a-w C:\WINNT\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 13:00 20752 C:\WINNT\system32\internat.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [19.06.03 20:05 112400 C:\WINNT\system32\mobsync.exe] "NvCplDaemon"="C:\WINNT\System32\NvCpl.dll" [24.02.05 06:32 5537792] "nwiz"="nwiz.exe" [24.02.05 06:32 1495040 C:\WINNT\system32\nwiz.exe] "NvMediaCenter"="C:\WINNT\System32\NvMcTray.dll" [24.02.05 06:32 86016] "NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [09.07.01 10:50 155648] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [24.02.04 15:35 2372760] "2kadiras"="2kadiras.exe" [12.04.02 12:34 32768 C:\WINNT\2kadiras.exe] "PE2CKFNT SE"="C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [03.07.98 11:51 25088] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [18.10.05 11:58 278528] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [27.05.05 11:24 310272] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [26.05.07 12:20 282624] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.10.07 16:52 249896] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe" [22.05.07 17:39 32881] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 13:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 20:05 189712] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696] DSLMON.lnk - C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe [2005-07-07 16:22:47 901214] R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 13:21 ] R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 12:03 ] R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 20:05 ] R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINNT\system32\drivers\sis7012.sys [23.04.02 08:02 ] S2 GT890x;%GrandTechICNameNT%;C:\WINNT\system32\Drivers\GT890x.SYS [23.03.01 00:43 ] S3 PCD61X2;PCD61X2;C:\DOKUME~1\heike\LOKALE~1\Temp\PCD61X2.sys [] *Newly Created Service* - PROCEXP90 *Newly Created Service* - PSEXESVC . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 21:43:43 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 29.01.2008 21:44:27 |
Guten Morgen, als ich heute morgen den Rechner gestartet und gegoogelt habe, wurde ich wieder sauber auf die von mir gewählten links geleitet. Ist mein System jetzt schon wieder ok oder zeigt das unten gepostete logfile noch notwendige ToDos für mich an? Wäre nett, wenn jemand das Log nochmal checken und bewerten könnte. Vielen Dank |
ComboFix gestartet, log liegt vor, was jetzt? sorry für meine Ungeduld, aber ich bräuchte den Rechner und trau mich nicht richtig... wie unten beschrieben habe ich die Anweisungen von Sunny befolgt und suche jetzt Hilfe, um das letzte log auszuwerten. Ist mein System jetzt wieder sauber oder muss ich an den registry-Einträgen nooch was bereinigen? Ich bin leider ratlos und immer noch sehr verunsichert, was ich tun soll. Es wäre klasse, wenn mir nochmal jemand helfen kann. Vielen Dank und Gruß, bonsai65 |
Zitat:
Somit sollte alles wieder in Ordnung sein. :daumenhoc |
:daumenhoc Superklasse!!! Tausend Dank für die schnelle und nette Hilfe. bonsai65 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board