Trojaner-Board - Automatische Weiterleitung im Firefox 1.0.6 und IE6

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Automatische Weiterleitung im Firefox 1.0.6 und IE6 (https://www.trojaner-board.de/20886-automatische-weiterleitung-firefox-1-0-6-ie6.html)

Automatische Weiterleitung im Firefox 1.0.6 und IE6

Guten morgen,

seit gestern abend hab eich folgendes Problem:

Beim Aufruf des Firefox 1.0.6 (mein Standardbrowser) aber auch des IE6 unter Windows XP SP2 werde ich automatisch auf eine Website names "Cisco Subscriber Edge Services Manager" mit der http-Adresse 127.0.117.27:8080/user/refresh/home?CPURL=http... weitergeleitet.

Da ich meinen Rechner für gut geschützt halte, bin ich etwas ratlos, was ich nun machen muß.

Die Spezifkation meines PC's:
- Windows XP SP2 (die neuesten Microsoft Patches wurden am Patch Day letzte Woche installiert)
- Aktivierte Firewall an der AVM Fritz!Box Fon Wlan 7050
- Aktivierte Windows XP-Firewall
- Symantec Antivirus-Software (Programm Version 8.1.0.821, Search Engine 4.2.0.7, Virus-Definitionsdatei vom 14.08.2005)
- Ad-Aware SE Personal (Version 1.05)-Software
- Spybot 1.3

Weder die Anti-Virensoftware, noch Ad-Aware und Spybot finden irgendetwas (geschweige denn verdächtiges).

Wie kann ich nun vorgehen, um diese automatische Weiterleitung wieder vom System zu entfernen?

Viele Grüße,

warwohlnix

Hallo warwohlnix!

Bitte ein Hijackthis Logfile posten.

Hallo The Saint,

ok, werde ich heute nachmittag probieren. Aber posten werde ich nicht können, denn ich habe nur einen Rechner und der bringt mich nur auf die "Cisco"-Website und leider nicht in das Trojaner-Board. Hmm, ein echtes Problem.

Ist diese Art der Weiterleitung zu der "Cisco-Website" eigentlich schon anderen passiert?
Und was soll diese Weiterleitung dem Hijacker bringen (ausser einem Username und Passwort-Feld und einem OK Knopf ist nicht viel auf der Seite,

Viele Grüße,

warwohlnix

Hallo,

ein kurzer Zwischenbericht meines Versuches den Hijacker zu entfernen.

1. Netzwerkbindung gekappt und alle Freigaben in den Firewalls entfernt
2. Automatische Systemwiederherstellung deaktiviert
3. Neugebootet
3. Aktualisierung der Ad-Aware Version und deep scan
4. Scan mit Spybot Version 1.3
5. Virenscan mit Symantec Anti Virus
Ergebnis 3-5 negativ
6. Neugebootet und anschließend ans Netz angeschlossen
7. Aufrufen von Firefox
=> Wieder werde ich auf die "Cisco"-Website umgelenkt

Aber jetzt kommt der Clou.

Nehme ich meinen alten Router, in dem noch die Zugangsdaten für Freenet.de
(für das ich auch noch ein paar Wochen bezahle) statt 1&1 enthalten sind, und stöpsele ich meinen Rechner an diesen alten Router, dann komme ich wieder ohne Umleitung ins Internet.

Der Hijacker oder was es auch immer ist, scheint in meiner AVm Fitz!Box WLAN 7050 zu sitzen.

Geht das? Und was nun?

Viele Grüße,

warwohlnix

Zitat:

Zitat von warwohlnix

Der Hijacker oder was es auch immer ist, scheint in meiner AVm Fitz!Box WLAN 7050 zu sitzen.

Geht das? Und was nun?

Viele Grüße,

warwohlnix

Eher nicht.

Fritzbox resetten (jenachdem wie im Handbuch beschrieben auch Werkseinstellung wiederherstellen).
Handbuch genau lesen und Einstellungen realisieren bzl Zugangsdaten. Hinweise für die Sicherheit beachten, z.B. sichere Passwörter sowie nicht benötigte Dienste abschalten.
Lese Dir http://www.trojaner-board.de/showthread.php?t=20468dazu auch mal den Thrad durch:

Hallo,

nachdem nun Stinger und CWShredder auch keine Meldung brachten, habe ich mal HijackThis laufen lassen. Dies ist das log-file. Vielleicht weiss jemand weiter und kann mir grünes ode rotes Licht geben:

Logfile of HijackThis v1.99.1
Scan saved at 16:32:03, on 17.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\freenetiphone\iPhoneStarter.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\WISO\BörsenManager3\Bin\dpcontrol.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Downloads\Hijacking-Entfernung\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [freenetiPhone] c:\programme\freenetiphone\iPhoneStarter.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DP-Control (WISO BörsenManager 3).lnk = ?
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

Viele Grüße,

warwohlnix

Ich kann an dem Log nichts schlechtes erkennen. Zur Sicherheit solltest Du noch einen escan machen.
Genau nach Anleitung und das mit der find.bat erzeugte Log posten.
http://www.trojaner-board.de/showthread.php?t=17492

Was ich bei Dir aber absolut nicht verstehe:
Mit einem Router funktioniert es und mit dem neuen nicht. Da kann ich keine Erklärung finden.

Hallo,

ich habe mein log-file auch bei hijackthis.de checken lassen und nichts
aussergewöhnliches entdeckt. Das komische ist, dass jetzt auch mein
neuer Router wieder "funktioniert" und ich ohne "Cisco-Umleitung" ins
Netz kann.

Morgen, so mein Rechner will, mache ich mal eine escan und poste das
entstehende log. Vielleicht kann dann der ein oder andere mal einen Blick
darauf werfen.

Vielen Dank und viele Grüße,

warwohlnix

Ich denke doch, dass das Problem im Router liegt. Und ich habe Dir bewusst den Link geschickt bezüglich Absicherung des W-Lans. Schaun wir mal.

Hallo,
das scheint mit 1&1 zusammen zuhängen, die machen nämlich gerade diese Aktion hier:
http://www.heise.de/newsticker/meldung/62869
Dabei scheint bei dir ein Problem aufzutreten, schau mal das du dich mit denen in Kontakt setzt.

Grüße Wildone

@Wildone
Habe ich auch gelesen. Aber Umleitung zu Cisco? Denke eher wohl nicht :party:

Hallo Wildone,

Danke für den Hinweis. Da bin ich als Karlsruher wohl ein Versuchskaninchen geworden, ohne dass ich davon wusste. Denn die mail von 1&1 vom 12.08.05 scheint wohl so unscheinbar gewesen zu sein, dass ich diese Versuchsankündigung nicht mitbekommen habe. Und in der Tat wurde und werde ich, nachdem ich wieder gestern den neuen 1&1 Router angeschlossen hatte, auf die Portal-Seite von 1&1 weitergeleitet, obwohl ich im Firefox eine
andere Startseite eingetragen habe.

Mir kam es nämlich, wie ich schon gestern mittag geschreiben habe, auch spanisch vor, dass ich auf eine Website mit "Cisco Subscriber Edge Service Manger"-Struktur geleitet wurde und die IP-Adresse dieser Seite eigentlich eine Gatewaynummer von Schlund&Partner ist.

Ich werde dem heute abend von zuhause nocheinmal nachgehen. Erfahrungsgemäß dauert ein Response von 1&1 Tage, so dass ich erst danach
vielleicht neue Infos posten kann.

Vielen Grüße und nochmal tausend Dank für den Hinweis,

ein nun etwas beruhigter warwohlnix

Hallo,
habe in anderen Foren gelesen das es da Probleme bei 1&1 gibt und einige User auf die Ciscoseite umgeleitet wurden.
[EDIT] Hat sich auf felix1 bezogen, mach den 1&1 Jungs ruhig mal ein wenig Dampf unter dem Hintern wegen ihrer Informationspolitik, auch AGB-Änderungen und versteckte Preiserhöhungen(Freiminuten) werden in deren Infomails nur sehr versteckt angekündigt. [/EDIT]

Grüße Wildone

@Wildone
Wäre schön von Dir, wenn Du den Link mal reinhängen könntest. Ich vermute, das das Problem in nächster Zeit noch öfters hier im TB auftauchen wird.:daumenhoc