Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Falsche Internetseiten werden geöffnet (https://www.trojaner-board.de/74332-falsche-internetseiten-geoeffnet.html)

Komaster 20.06.2009 10:53
Falsche Internetseiten werden geöffnet
 
Hallo,

Mein Problem ist folgendes: Immer wenn ich bei Google etc. etwas suche, und dann eine Seite anklicke komme ich beim ersten mal auf ebay etc, und erst beim zweiten versuch auf die eigentlich angeklickte Seite. Ich habe in anderen Foren zwar von diesem Problem gelesen, aber da die Lösungsvorschlage immer andere waren, war ich verunsichert was ich tun soll.

Ich habe es mit SpyBot versucht (ging nur in der offline Version...wurde sonst "blockiert"). Auch Fixwareout habe ich schon versucht, aber leider ohne Erfolg

Hier nun mein hijackThis Protokoll.

Ich hoffe Sie können mir helfen. Jetzt schon mal VIELEN DANK!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:03, on 20.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDBCBDAB-1E9B-4F16-9EEE-51CF6EBEEC3C}: NameServer = 85.255.116.56 85.255.112.235
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf\xcontrolcom.exe

--
End of file - 6044 bytes

4RobSen8 20.06.2009 11:17
Hallo und :hallo:

Um es kurz zu machen du hast ne Rufumleitung und keine volle Gewalt über deinen Rechner.

HTML-Code:
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDBCBDAB-1E9B-4F16-9EEE-51CF6EBEEC3C}: NameServer = 85.255.116.56 85.255.112.235
Die Nummer lässt sich in die Ukraine zurückführen...und ich glaube nicht, dass du bei einem ukrainischen Anbieter bist der in Odessa sitzt?^^

Hier der genaue Auszug von Whois:
Code:
(Asked whois.ripe.net:43 about 85.255.112.235)

 inetnum:        85.255.112.0 - 85.255.127.255
 netname:        UkrTeleGroup
 descr:          UkrTeleGroup Ltd.
 admin-c:        UA481-RIPE
 tech-c:          UA481-RIPE
 country:        UA
 org:            ORG-UL25-RIPE
 status:        ASSIGNED PI
 mnt-by:          RIPE-NCC-HM-PI-MNT
 mnt-lower:      RIPE-NCC-HM-PI-MNT
 mnt-by:          UKRTELE-MNT
 mnt-routes:      UKRTELE-MNT
 mnt-domains:    UKRTELE-MNT
 source:        RIPE  Filtered
 organisation:  ORG-UL25-RIPE
 org-name:      UkrTeleGroup Ltd.
 org-type:      LIR
 address:        UkrTeleGroup Ltd.
                Mechnikova 58/5
                65029 Odessa
                Ukraine
 phone:          380487311011
 fax-no:        380487502499
 mnt-ref:        UKRTELE-MNT
 mnt-ref:        RIPE-NCC-HM-MNT
 mnt-by:          RIPE-NCC-HM-MNT
 source:        RIPE  Filtered
 person:        Andrew Sotov
 address:        Mechnikova 58/5 65029 Odessa
 abuse-mailbox:  abuse@ukrtelegroup.com.ua
 
 phone:          380631508855
 nic-hdl:        UA481-RIPE
 source:        RIPE  Filtered
Das ist hier ein sehr bekanntes Problem mit der Rufumleitung, ca. jeder 10 hat das, also einen DNS-Changer.

Das Sicherste ist es deinen Rechner Neuaufzusetzten!
Bei einer Bereinigung kann man nicht 100% sicher gehen.

Vorher ist folgendes zu beachten:
Bitte KEIN OnlineBanking, kein eBay und Amazon mehr durchführen.
Bei Auffälligkeiten in deinen Kontobewegungen bitte das Konto sperren lassen.

Bitte von einem sauberen Rechner aus deine Passwörter und Userdaten von Accounts ändern. Wer weiß wie lange der sich schon da rumturmelt.

http://www.trojaner-board.de/51262-a...sicherung.html
Warum: Homepage von Malte J. Wetz
Für hinterher:
http://www.trojaner-board.de/54192-a...tellungen.html
http://www.trojaner-board.de/74052-s...-internet.html

Komaster 22.06.2009 05:30
Vielen Dank für die schnelle hilfe. Reicht es den Rechner einfach zu formatieren, oder muss ich was spezielles beachten?

*Krawall$chachtel* 22.06.2009 08:36
ein neuaufsetzen reicht, da man bevor man windows installiert auch gleich noch die platte formatiert!
--> für eine anleitung ainfach auf "neuaufsetzen" klicken ;)

4RobSen8 22.06.2009 14:05
Folge der Anleitung in meinem Link...ist mit Bildern;)
Es hilft vllt. vorher die Bilder auszudrucken, oder sie von einem anderen Rechner aus zubetrachten...


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27