Trojaner-Board - Komme von buch.de nicht mehr auf andere Webseiten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Komme von buch.de nicht mehr auf andere Webseiten (https://www.trojaner-board.de/83756-komme-buch-de-mehr-andere-webseiten.html)

Komme von buch.de nicht mehr auf andere Webseiten

Hallo zusammen,

wenn ich buch.de öffne und danach in die Adresszeile meines Browers (Firefox 3.6) eine andere Adresse eingebe (google, yahoo, heise etc.), dann öffnet sich immer einfach wieder buch.de!

Mein System: WinXP Prof. SP3 mit Windows Defender und AVG Free 9.0

Bin für jedes Input dankbar!

Hier das HijackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:44:09, on 15.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PMAIL\Programs\winpm-32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [HotSync] "C:\Program Files\PalmSource\Desktop\HotSync.exe" -AllUsers
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Shortcut to TERMIN.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: iFinger.lnk = C:\Program Files\iFinger\iFinger.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B9F6D65-23C4-40DF-B660-F1E13B7D4051}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B9F6D65-23C4-40DF-B660-F1E13B7D4051}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6697 bytes

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

OK, habe ich alles wie beschrieben gemacht!

Hier der Link zu den logfiles:

http://www.file-upload.net/download-...board.zip.html

Danke!

edit: Zu dem beschriebenen merkwürdigen Verhalten kommt es übrigens nur in Firefox - benutze ich IE, ist alles ganz normal und ich komme von buch.de jederzeit auf jede andere Web-Seite.

Logs sind sauber. Schonmal ein neues Profil für den Firefox erstellt? Deaktiviere auch mal ZoneAlarm komplett, obwohl ich eher von so einer Software abrate und die Verwendung der Windows-Firewall empfehle.

Habe ein neues Profil angelegt, leider bleibt das Symptom bestehen.

Sagen Dir evtl. die Stichworte "track webtrekk" irgendwas? Wenn ich versuche, eine andere Seite zu öffnen, wird unten in der Statuszeile von Firefox ganz kurz angezeigt "Verbinden mit..." + Übertragen von..." und dann irgendeine Adresse mit diesen Begriffen. Leider ist die Internetverbindung so schnell, dass ich es nicht ganz lesen kann.

Wenn ich "track webtrekk" auf Google eingeben, kommen schon ein paar Ergebnisse, die mit Viren oder Trojanern zu tun haben scheinen...

Hi,

das passiert bei mir ebenfalls. Und ich bin mir sicher, dass mein Computer keine Seuchen an Bord hat, nicht einmal Zonealarm ;)

Bei deaktiviertem Javascript passiert es nicht, daher gehe ich davon aus, dass die irgendeinen Trick mit Javascript machen um den Browser zu hijacken. Firefox wird zu einem großen Teil als Javascript ausgeführt, da dürften eine Menge Möglichkeiten für Tricks drin stecken. Dummerweise steckt die Seite voller Scripte und ich habe gerade nicht den Nerv, die alle zu untersuchen, wäre aber sehr froh, wenn ein Kundiger uns Aufklärung verschafft.

Ansonsten: Bücher gibt es auch woanders, ich finde das schon frech den Browser zu hijacken und kann nur raten, diese Seite zu meiden.

Gruß, Karl

Hmm :confused:
Ich hab das jetzt mit meinem FF 3.5.8 getestet. Bei NoScript alles was buch.de hergibt erlaubt (JavaScript also an) und ich kann die Seiten wechseln wie ich will :balla:

Ich hab mit der 3.0.18 keinerlei Probleme mit der Seite!

Da scheint was mit den Broswereinstellungen nicht zu stimmen, das der da immer wieder drauf geht!

Tatsächlich, bei deaktiviertem Javascript passiert es nicht!

Wenn das bedeutet, dass es kein Virus o.ä. ist, bin ich ja schon mal ganz beruhigt...

O.T. Übrigens sagt mal Leute wieso seid Ihr hier alle so anti-Zone-Alarm?

Bei der Windows-Firewall habe ich halt nicht so das Gefühl, "in control" zu sein...

Ich werds jetzt nochmal mit FF 3.6 testen.

Zitat:

O.T. Übrigens sagt mal Leute wieso seid Ihr hier alle so anti-Zone-Alarm?

Ist nicht nur gegen ZoneAlarm, ich rate auch von anderen PFWs (wie zB Sygate, Kerio usw.) und Security Suites ab.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.
In letzten c't Test kristallisierte sich u.a. eine sehr umständliche Konfiguration heraus, zudem waren die Dinger mit einer gefährlichen Standard Vorkonfiguration nach der Installation im System drin...

So, habs mit FF3.6 und nem ganz frischen Profil getestet. Ich komm von buch.de eigentlich zu jeder anderen beliebigen Seite. So ganz klar ist mir das nicht, an JavaScript kanns dann ja eigentlich nicht liegen. :confused:

Sag ich doch...:crazy:

Das Problem muss bei der den Computern liegen...irgendwas scheint da verstellt zu sein, weil es ja beim IE auch nicht passiert...

Naja...sein PC ist sauber, vieleicht sollte man mal den FF komplett löschen und neu aufspielen und dann noch Java komplett neu aufspielen.

Zitat:

eleicht sollte man mal den FF komplett löschen und neu aufspielen und dann noch Java komplett neu aufspielen.

*ähem*

In den meisten Fällen bringt eine Neuinstallation des FF garnichts, man muss schon ein neues Profil anlegen und testen. Und Java hat rein garnichts mit JavaScript zu tun...

Hier Firefox 3.6, alle etwas blockierenden Erweiterungen ausgeschaltet. Das Profil lösche ich jetzt nicht, das wäre mir etwas teuer für so eine Sch...seite.

Neuen Tab geöffnet, in die Adresszeile "buch.de" eingetippt, Enter, auf Seitenaufbau warten. Wenn Seite fertig aufgebaut, dann in die Adresszeile klicken so das alles markiert ist und "google.de" tippen, Enter. Es wird die Seite "http://www.buch.de/shop/home/suche/?sswg=ANY&sq=" aufgebaut.

Es passiert nicht wenn google.de aus den Lesezeichen geladen wird anstelle die Adresse von Hand einzutippen.

Wirekshark sagte dazu auch noch, dass das Laden dieser anderen Seite bereits angefangen wurde, bevor für die eigentlich eingetippte Seite die Antwort vom DNS kam.

Eins unter vielen Scripten dieser Seite ist typhoon.js und das wiederum fängt an mit

Code:

addEvent(window, "load", initSuggest);

Weiterhin fällt mir da dies auf

Code:

    function submitSelection() {

        hideLayer();

        var element = all[selected];

        if ((typeof element != 'undefined') && element.isSearchTerm) {

            window.location.href = config.searchurl + ";jsessionid=fdc-" + conf.sid + "?sswg=ANY&" + config.searchElementName + "=" + element.searchTerm;

        }else if ((typeof element != 'undefined') && (element.artikel)) {

            window.location.href = config.url + "/ID" + element.artikel + ".html;jsessionid=fdc-" + conf.sid;

        }

        else {

            input.form.submit();

        }

    }

"window.location.href =" ist es doch wohl.

http://www.buch.de/buch-resources/base/js/typhoon.js

Hallo,

bei mir passiert dies ebenfalls.
Einfach Seite oder Tab schließen und neue Seite/neuer Tab eröffnen dann dürfte sich das Problem zumindest gegeben haben. Aber woran dies liegt ist bisher auch für mich nen Mythos :)