|
Google Links funktionieren nicht mehr! Hallo, ich sehr neu hier und über Hijacksthis habe ich schon etwas gelesen nur traue ich mich nicht so richtige dran, denn ich habe Angst am Ende mein System komplett zu schrotten. Ich habe auch schon die Such funktion benutzt um eventuell mein Problem zu finden, doch denke ich das jedes System für sich behandelt werden muss. Ich habe ein Toschiba Notebook mit Windows XP Home und dem Service Pack 3! Als Vierensuchsystem benutze ich das schlecht Antivir und sonst habe ich noch die Windows Firewall und Search & Destroy. Mein Rechner habe ich erst vor kurzen neu installiert, aber ich habe schon wieder Probleme! Ich hasse es! Da ich zu faul bin ihn wieder neu zu installieren, hoffe ich ihr könnt mir weiter helfen und man kann das Problem vllt so lösen. Mein Problem liegt darin, dass wenn ich unter Google eine Suche starte, kann ich die die Links nicht mehr direkt anklicken, ich werde immer auf irgendwelchen random Seiten verlinkt, die nichts mit dem Thema zu tun haben. Hier ist mal die LOG datei: Code: Logfile of Trend Micro HijackThis v2.0.0 (BETA)Vielen Dank im Voraus! Mit freundlichen Grüßen KAvu |
Hallo, das hört sich schon sehr nach Malware an. Ich würde sogar nicht ausschließen, dass deine Hostdatei verändert wurde. Mach mal bitte: Start/Ausführen/cmd/ping google.de und schreibe hier die IP rein, die du siehst nach Antwort von... fängt mit 216 an. Dann bitte noch einen TCP View Log posten. Davor bitte alle bekannten Programme die aufs Internet zugreifen komplett beenden. (Skype, ICQ, Thunderbird, Firefox, Internetexplorer...) |
Hallo, danke für die schnell Antwort! Hier mal die IP von "ping google.de" 216.239.59.104: Bytes=32 Zeit=686ms TTL=243 Dann noch die TCP VIEW LOG: Code: alg.exe:852 TCP Glissa:1025 Glissa:0 LISTENING Gruß |
Zitat:
Öffne Notepad und kopiere folgende Zeilen rein: Code: set pth="%userprofile%\Desktop\tb.log"Marc |
Hallo, ich hoffe das ich die richtige Daten kopiert habe: Code: Routenverfolgung zu google.de [72.14.221.104] ber maximal 30 Abschnitte:Gruß |
Ist das wirklich alles vom TCP View o_O? ->> lsass.exe -> Musste mal gucken ob die jetzt bedenklich ist oder nicht. http://www.neuber.com/taskmanager/deutsch/prozess/lsass.exe.html http://www.tech-faq.com/lang/de/lsass.exe.shtml&usg=ALkJrhjrmUc5UYetBE6SDCplA6LKevcW-g http://www.trojaner-board.de/9455-lsass-exe-nich-tot-zu-kriegen-oo.html Hmm ich glaub so wie ich mir das dachte kann man es mit dem Google Ping nicht sehen ob die Hostdatei verändert wurde oder nicht. C:\WINDOWS\system32\drivers\etc -> öffnen hosts -> Datei mit Notepad öffnen -> nachgucken ob irgendwo google.de steht (Bearbeiten / Suchen in Notepad) Ich sehe gerade das die Bat Datei von %ComSpec% genau das überprüft. |
Hi, hab TCPView nocheinmal durchgeführt hier die Daten: Code: [System Process]:0 TCP Glissa:1031 localhost:1030 TIME_WAIT Gruß |
Hallo ich habe genau das selbe Problem seit 2 Tagenfunktioniert Google nich mehr :headbang: [edit] Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema. Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann. Danke. :) [/edit] |
Zitat:
Egal, xonic hat den Fußweg beschrieben: Zitat:
Marc Edit: Ich spekuliere mal auf Tidserv. Dies Domain ist doch recht verdächtig: updatemic0.com |
Hi, also wenn ich das alles einfügen sollte, dann haben wir ein Problem, denn ich müsste einen Text von 260000 Zeichen einfügen! Wie soll ich das machen? MfG KAvu |
Zitat:
Marc |
Ok ich versuch mal so viel wie möglich zu zeigen_ Code: 127.0.0.1 www.007guard.comAch ja und geht so weiter mit dem 127.0.0.1 bis zum Buchstaben Z und immer so eine Internetadresse dabei. Gruß |
Wer auch immer Dir diese Hostsdatei verpasst hat, sie scheint soweit in Ordnung zu sein. Ich bin jetzt weg und erst ab morgen wieder verfügbar. Marc |
Ich wette mit die du benutzt Spybot Search & Destroy der missbraucht nämlich die Hostdatei um die vor den Seiten zu schützen, da die schädlich sind. Indem er den Adressen deine Rechner IP (127.0.0.1) setzt wirst du beim aufrufen dieser Seiten einen Fehler erhalten, dass die Seite nicht aufgerufen werden kann. Steht an den Positionen wo 127.0.0.1 steht noch irgendwo was anderes. Wenn es nämlich so wäre: bösegoogleseite.de (ip) google.de Dann könntest du anstatt Google eine Google ähnliche Seite, die jedoch nichts mit Google und der wahrend Google.de DNS zu tun hat sehen. Die Methode wird bei Phishingaktionen teilweise benutzt. |
Hi, ja ich benutze Search & Destroy, habe ich aber auch am Anfang erwähnt. Und diese habe ich gefunden, die man vllt mit google in Verbindung bringen kann: Code: 127.0.0.1 golgle.itWas kann ich tun? Gruß Kavu |
Ne ich meinte die Spalte wo 127.0.0.1 steht ob da irgendwo auch eine andere IP steht? Die Einträge von Google da sind ebenfalls schädliche Seiten wurden aber da bin ich mir fast zu 100% sicher ebenfalls von S&D gesetzt. a-squared Free Scan ausführen Bitte lade dir a-squared Free herunter. Führe ein Update aus und mache einen vollständigen Scan. Lösche am Ende noch keine Funde sondern liste alle Funde samt deren Fundort (Verzeichnis) hier auf. Dabei musst du die Tracking Cookies nicht nennen. Im TCP View hattest du ganz schöne svchost.exe normal wären eigentlich so 7-8 aber da kenn ich mich selbst noch nicht ganz so gut mir aus- |
Nein ist immer die gleiche IP. So hab ich gemacht und er hat 2 Dateien gefunden: C:\Programme\DAEMON Tools\SetupDTSB.exe gefunden: Adware.SaveNow.bo E:\Games\hl\hltv.exe gefunden: Riskware.Server-Proxy.Win32.Hltv Aber ob es daran hängt? Habt ihr eine Idee? Gruß |
C:\Programme\DAEMON Tools\SetupDTSB.exe - Könnt gefunden werden, da die Viele damit illegale Raubkopien herstellen. - Man kann aber nicht ausschließen, dass diese Datei verändert wurde glaube ich aber eher nicht. E:\Games\hl\hltv.exe - Könnte was damit zu tun haben auch ein Proxy kann dafür sorgen, dass du auf falschen Seiten landest usw. Mit den Datein mal folgendes machen, wenn es von der Größe her geht: Tests durchführen 1. Anubis Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse. 2. Virustotal Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite. |
Hi, danke für deine schnelle Antworten immer. Hier mal die Links von ANUBIS: http://anubis.iseclab.org/result.php?taskid=e48ee636bbd18b44198738ef3c3a9a35&refresh=1 http://anubis.iseclab.org/result.php?taskid=e8c1e177cc2a5b744da94a446493c304&refresh=1 Leider kann ich auf Virustotal nicht zugreifen, wenn ich die Seite in die Adressleiste eingebe und auf Enter drücke, erscheint die Seite bei Firefox das keine Seite gefunden werden konnte. Gruß |
Links: http://www.virustotal.com/de/ <- Mehr als merkwürdig. Da will wohl wer nicht das du auf die Seite kommst. Bitte mal den Inhalt der (C:\WINDOWS\system32\drivers\etc\hosts) Datei hier einfügen. Alternativen http://scanner.novirusthanks.org/ http://virusscan.jotti.org/de/ http://anubis.iseclab.org/result.php?taskid=e8c1e177cc2a5b744da94a446493c304 Könnte schon was sein, habe gerade keine Zeit mehr dem genauer nachzugehen. Kann aber auch ein einfacher Verdacht sein, weil das Programm restliche Installationsdatein lädt. Vielleicht kann mir einer die Arbeit abnehemen muss mich auch noch um was anderes kümmern :) |
Hi, die host datei habe ich schon versucht zu posten, aber da hatte ich das Problem, das ich keine 260 000 Zeichen posten kann. noVirusThanks.org hat ergeben: http://scanner.novirusthanks.org/index.php?p=result&file=CEF5A6707CAF709DC606C1DAA61EB06F und http://scanner.novirusthanks.org/index.php?p=result&file=A506FDE38C5F62DBBA5E35D9E89C47E4 Immerhin hat HlTv.exe nichts... gruß |
NoVirusThanks stellt anscheinend keine verlinkbaren Ergebnisseiten bereit: Zitat:
|
Hallo, kein problem. Ich habe jetzt mal Deamontools deinstalliert um zu wissen ob es daran lag, aber keine Besserung. Werde wahrscheinlich den Rechner doch neu installieren müssen. MfG KAvu |
Hi KAvu Ich hatte dasselbe Problem. Habs aber nach langem Versuchen endlich geschafft :singsing: Du solltest dir das Program COMBOFIX downloaden und es mal laufen lassen ;) danach war bei mir wieder alles in Ordnung. Falls du nach dem Start von Combofix folgende Meldung erhältst ""Combofix has detected the presence of Rootkit activity and needs to reboot the Maschine"" gehst du wie folgt vor ......downloade das Tool AVG Anti Rootkit Free starten scannen und alle Rootkits entfernen danach Combofix starten und fertig!! Hoffe das es bei dir auch funktioniert denn ich weiss wie nervig es ist alle Links von google per Hand zu kopieren. mfg Shiw4 |
Gelöst! Hallo, mein Rechner ist endlich wieder CLEAN! Danke an alle die mir geholfen haben. Habe es mit den Hinweisen von Shiw4 geschafft, die Programmtipss waren echt der Hit! Hier ist noch die hijackthis.log, ich hoffe das jetzt alles ok ist, oder seht ihr noch was? Code: Logfile of Trend Micro HijackThis v2.0.0 (BETA)Host.log Code: MfG Kavu |
Freut mich das ich helfen konnte. "Und immer schön sauber bleiben ;) " |
Am HijackThis Log kann man nicht immer sagen ob infiziert oder nicht es kann durchaus sein, dass du noch aktive Malware auf deinem Rechner hast oder welche die erst nach einem bestimmten Zeitraum starten wird. Nimm das nur als Hinweis mit auf den Weg. |
[edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board