Trojaner-Board - wieder mal ein Suchmaschinen Blocker

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - wieder mal ein Suchmaschinen Blocker (https://www.trojaner-board.de/24102-mal-suchmaschinen-blocker.html)

wieder mal ein Suchmaschinen Blocker

Hallo liebes Forum,

ich habe folgendes problem:

Immer wenn ich versuche die seite Google bzw. Lycos aufzurufen
dauert es sehr lange bzw. es wird angezeigt die Seite kann nicht angzeigt
werden. Oder der Browser springt zu folgenden Seiten:
Bei Lycos zu www.palmico.de/de/oo2
Bei Google zu www.ihredomain.ws

Wäre schön wenn ihr mir helfen könnt

Mfg

Logfile of HijackThis v1.99.1
Scan saved at 09:22:11, on 30.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe__________
C:\Dokumente und Einstellungen\Mustermann\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h??p://www.tonline.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h??p://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} -

C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} -

C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -

C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe

bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6

"USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B2B1C7-51D2-4AAE-82A4-0770F8E7FC8F}: NameServer

= 192.168.1.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BD27FA7-FF5D-4368-A9D4-74873DE79CCB}: NameServer

= 192.168.1.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{B67A59B3-A3F4-419F-B6B2-319F6A3F83EA}: NameServer

= 192.168.1.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B2B1C7-51D2-4AAE-82A4-0770F8E7FC8F}: NameServer

= 192.168.1.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{06B2B1C7-51D2-4AAE-82A4-0770F8E7FC8F}: NameServer

= 192.168.1.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. -

C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame

Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION -

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation -

C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -

C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\Security Center\SymWSC.exe

Servus!
Ich kann in Deinem Logfile nicht Auffälliges erkennen!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

So da wär der log von Escan

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Nov 30 13:09:25 2005 => System found infected with whistlesoftware Spyware/Adware (uninstall.ini)! Action taken: No Action Taken.
Wed Nov 30 13:09:26 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Nov 30 13:45:37 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Nov 30 13:09:25 2005 => Offending file found: C:\WINDOWS\uninstall.ini
Wed Nov 30 13:09:26 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Wed Nov 30 13:45:37 2005 => Total Virus(es) Found: 2
Wed Nov 30 13:45:37 2005 => Total Errors: 136
Wed Nov 30 13:45:37 2005 => Time Elapsed: 00:36:49
Wed Nov 30 13:45:37 2005 => Total Objects Scanned: 51155
Wed Nov 30 12:58:34 2005 => Virus Database Date: 2005/11/28
Wed Nov 30 13:45:37 2005 => Virus Database Date: 2005/11/28
Wed Nov 30 13:50:32 2005 => Virus Database Date: 2005/11/28
Wed Nov 30 13:51:15 2005 => Virus Database Date: 2005/11/28
Wed Nov 30 14:01:53 2005 => Virus Database Date: 2005/11/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Servus!
Hol Dir diese beiden Tools http://www.safer-networking.org/en/download/ Spybot S&D und http://www.lavasoft.de/ Adaware, update beide und wechsle anschließend in den abgesicherten Modus. Lass beide laufen und entferne, was vorgeschlagen wird!
Das sollte Dein Problem eigentlich lösen!

Zitat:

Wed Nov 30 13:45:37 2005 => Time Elapsed: 00:36:49

hast Du die Häkchen wie angegeben gesetzt - nur 36 Minuten kommt mir relativ kurz vor!
stupormundi

Danke werde ich gleich mal machen!
hmm habe die Harken so gesetz wie angeben aber lasse gleich nochmal durchlaufen melde mich dann nochmal

Sytem scan grade zum 2. mal mit Hijackthis mal sehen was dabei raus kommt.
Es sind einige sachen von spybot und adware gefunden worden. Hoffe mal das
damit alles gut ist. Fals nicht Poste ich nachher nochmal.

Ich hätte da noch eine frage hab noch einen anderen Rechner (mein Hauptrechner) Geschützt mir Norten 2005 und Zone Alarm
natürlich immer alle Update usw. Der Rechner sitzt hinter einem Isdn Router
ist das so "recht" sicher oder würdes du mir andere Programme raten?

Mfg

So google usw. gehen wieder! Aber die beiden sachen die Hijackthis gefunden hatte sind immer noch da (whistlesoftware/
cydoor.topicks.a) :-( hab auch schon die versucht die per Hand zu löschen sind aber nicht zu finden.

schöne scheiße zu früh gefreut hab jetzt wieder das selbe problem!

............. ahhh

Walkerakh

deinstalliere spybot und adware wieder, damit nicht soviele Tools geladen sind und sich gegenseitig behindern.

wende CleanUp an
http://virus-protect.net/cleanup.html

Counterspy
http://virus-protect.net/counterspy.html
Klicke: "Run a Spyware Scan Now"

- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

Ja wird gemacht ! Dauert aber noch ne Zeit hab ja leider nur Isdn !

so hab beide Scans gemach Clean Up hat so ca. 1000 einträge behoben
couterSpy hat nichts gefunden. Aber mein problem bleibt immer noch bestehen.

also ich war mal auf diesen Seiten ...gehe da bestimmt nicht mehr hin :pfui:

da ist irgendein Javascript oder aehnliches geladen.
wir muessen mal tiefer graben

kopiere hier die 4 Logs
http://virus-protect.net/datfindbat.html

1.
28.11.2005 10:33 1.158 wpa.dbl
04.11.2005 08:26 180.240 FNTCACHE.DAT
20.10.2005 15:37 24.924 openports.dll
20.10.2005 15:37 40.960 SDelete.dll
05.08.2005 03:31 1.457.496 MRT.exe
29.07.2005 11:51 212.240 RICHTX32.OCX
29.07.2005 11:51 569.368 olelib.tlb
29.07.2005 11:51 22.212 olelib2.tlb
28.07.2005 14:52 91.856 S32EVNT1.DLL
20.07.2005 04:04 3.012.096 mshtml.dll
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 152.064 cdfview.dll
03.07.2005 04:15 251.392 iepeers.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 1.019.904 browseui.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
22.06.2005 14:20 131.072 MD5.dll
22.06.2005 14:20 456.536 XceedZip.dll
15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
27.05.2005 04:04 546.304 hhctrl.ocx
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 41.472 hhsetup.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 41.240 WUPS.DLL
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 466.200 wuapi.dll
24.05.2005 22:08 23.392 nscompat.tlb
24.05.2005 22:08 16.832 amcompat.tlb
24.05.2005 21:09 311.896 perfh007.dat
24.05.2005 21:09 38.766 perfc009.dat
24.05.2005 21:09 46.940 perfc007.dat
24.05.2005 21:09 306.994 perfh009.dat
24.05.2005 21:09 709.990 PerfStringBackup.INI
17.05.2005 02:42 17.408 xpsp3res.dll
11.05.2005 04:30 78.336 telnet.exe
04.05.2005 14:45 78.848 msiexec.exe
04.05.2005 14:45 271.360 msihnd.dll
04.05.2005 14:45 15.360 msisip.dll
04.05.2005 14:45 884.736 msimsg.dll
04.05.2005 14:45 2.890.240 msi.dll

2.
01.12.2005 00:07 49.152 ~DFA7BE.tmp
01.12.2005 00:07 32.768 ~DF441.tmp
01.12.2005 00:06 16.384 ~DF8753.tmp
3 Datei(en) 98.304 Bytes
0 Verzeichnis(se), 8.954.724.352 Bytes frei

3.
01.12.2005 00:06 3.734 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
01.12.2005 00:06 159 wiadebug.log
01.12.2005 00:06 0 0.log
01.12.2005 00:06 2.048 bootstat.dat
01.12.2005 00:05 1.852.891 WindowsUpdate.log
30.11.2005 23:58 832.236 ntbtlog.txt
30.11.2005 23:35 32.574 SchedLgU.Txt
30.11.2005 23:35 50 wiaservc.log
30.11.2005 23:35 12 bthservsdp.dat
30.11.2005 23:25 573 win.ini
30.11.2005 23:25 227 system.ini
30.11.2005 21:42 0 Lic.xxx
30.11.2005 18:13 838 ODBC.INI
30.11.2005 16:22 232 CPERROR.LOG
30.11.2005 16:14 922.975 setupapi.log
30.11.2005 14:07 155 NeroDigital.ini
26.11.2005 13:59 385 BkcEmu.ini
23.11.2005 11:34 32 CD_Start.INI
12.11.2005 16:39 45.088 wmsetup.log
08.11.2005 16:27 257 KTEL.INI
26.09.2005 08:43 221.205 setupact.log
29.08.2005 09:37 4.335 ODBCINST.INI
13.08.2005 11:28 12.855 ocmsn.log
13.08.2005 11:28 51.467 ntdtcsetup.log
13.08.2005 11:28 1.374 imsins.log
13.08.2005 11:28 93.366 tsoc.log
13.08.2005 11:28 36.826 iis6.log
13.08.2005 11:28 87.685 comsetup.log
13.08.2005 11:28 17.631 KB899587.log
13.08.2005 11:28 116.745 ocgen.log
13.08.2005 11:28 11.686 msgsocm.log
13.08.2005 11:28 11.660 updspapi.log
13.08.2005 11:28 251.786 FaxSetup.log
13.08.2005 11:28 17.125 KB899591.log
13.08.2005 11:27 17.309 KB893756.log
13.08.2005 11:27 16.585 KB896423.log
13.08.2005 11:27 18.193 KB896727.log
13.08.2005 11:27 14.100 KB899588.log
13.08.2005 11:27 13.356 KB894391.log
11.08.2005 10:58 12.672 SYMEVENT.LOG
14.07.2005 15:55 10.107 KB901214.log
14.07.2005 15:55 3.673 KB903235.log
06.07.2005 12:06 6.840 KB898461.log
23.06.2005 19:11 14.032 KB896422.log
23.06.2005 19:11 16.209 KB883939.log
23.06.2005 19:11 11.905 KB890046.log
21.06.2005 08:40 10.874 KB896358.log
20.06.2005 13:55 28.074 KB893066.log
20.06.2005 13:55 10.108 KB896428.log
27.05.2005 01:22 10.752 hh.exe
24.05.2005 23:54 237 wmsetup10.log
24.05.2005 23:03 21.952 LUINSTALL.LOG
24.05.2005 22:08 316.640 WMSysPr9.prx
24.05.2005 21:06 16.059 KB887742.log
24.05.2005 21:06 12.242 KB893803v2.log
23.05.2005 20:18 14.461 KB890859.log
23.05.2005 20:11 18.112 KB890923.log
23.05.2005 20:10 14.433 KB893086.log
14.05.2005 18:22 13.903 KB885835.log
14.05.2005 18:22 12.941 KB885836.log
14.05.2005 18:22 9.641 KB867282.log
14.05.2005 18:22 2.906 KB885884.log

4.
01.12.2005 00:11 0 sys.txt
01.12.2005 00:10 8.089 system.txt
01.12.2005 00:10 383 systemtemp.txt
01.12.2005 00:08 102.211 system32.txt
01.12.2005 00:06 518.508.544 hiberfil.sys
01.12.2005 00:06 777.658.368 pagefile.sys
30.11.2005 23:25 194 BOOT.INI
30.11.2005 22:26 1.518 eScan_neu.txt
30.11.2005 22:25 0 23990098.$$$
30.11.2005 22:25 6 AVPCallback.log
30.11.2005 21:43 397 vlist.log
30.11.2005 18:13 0 checkfw.log
30.11.2005 16:22 26 Download.log
19.11.2004 09:47 6 ISACER.ID
14.09.2004 13:51 0 CONFIG.SYS
14.09.2004 13:51 0 AUTOEXEC.BAT
14.09.2004 13:51 0 IO.SYS
14.09.2004 13:51 0 MSDOS.SYS
14.09.2004 13:35 512 BOOTSECT.DOS
14.09.2004 13:32 68 PRELOAD.AAA
04.08.2004 05:00 4.952 bootfont.bin
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 47.564 NTDETECT.COM
23 Datei(en) 1.296.584.022 Bytes
0 Verzeichnis(se), 8.954.183.680 Bytes frei

Hmm hoffen wir mal das dir das was sagt.

ich kann nichts, absolut nichts finden...es ist mir ein Raetsel.

CWShredder
http://virus-protect.net/antispytools.html

* Double-click on CWShredder.exe.
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!
* Click "Fix ->" und click "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
Log-->"make Report"-->bitte posten

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
klicke auf "next"--> poste den Scanreport

Lade bitte den Firefox und surfe (berichte, ob die Umleitung der Startseite weiterhin auftritt)
#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/softwa...24/index1.html

Nee auch mir firefox gehts nicht! Wo finde ich die logs von BlackLight ?
CWShredder hat nichts gefunden
Die seite von Symantec wird auch nicht angezeigt. So mal zur info

Mir ist da aber noch was aufgefallen es wird automatisch an www.lycos.de bwz. www.google.de .com angehängt und dann kommt die Weiterleitung zu diesen andern Seiten.
Hmm kann es daran liegen das ihre den fehler nicht finden könnt weil -über msconfig die starteinträge schon geändert worden sind da dem Benutzer zuviele Programme mit starteten?

Was hatter der sich da nur eingefangen bzw. wo .... So nun geh ich mal drüber schlafen vieleicht kommt mir die antwort ja im Schlaf *g*

ja, das System ist gehackt, ich weiss nur noch nicht, wie wir den Uebeltaeter finden....

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/cure.shtml
-Try F-Secure BlackLight Beta ->
-laden
-doppelklick: blbeta.exe
-klicke auf "next" --> poste den scanreport

Zitat:

bei mir erschien auf dem Desktop:
fsbl-20051201085408.log

12/01/05 08:54:08 [Info]: BlackLight Engine 1.0.25 initialized
12/01/05 08:54:08 [Info]: OS: 5.1 build 2600 ()
12/01/05 08:54:09 [Note]: 4019 4
12/01/05 08:54:09 [Note]: 4005 0
12/01/05 08:54:13 [Note]: 4006 0
12/01/05 08:54:13 [Note]: 4011 180
12/01/05 08:54:14 [Note]: FSRAW library version 1.7.1013
12/01/05 08:55:17 [Note]: 4007 0

12/01/05 02:08:36 [Info]: BlackLight Engine 1.0.25 initialized
12/01/05 02:08:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/01/05 02:08:37 [Note]: 4019 4
12/01/05 02:08:37 [Note]: 4005 0
12/01/05 02:08:42 [Note]: 4006 0
12/01/05 02:08:42 [Note]: 4011 3212
12/01/05 02:08:43 [Note]: FSRAW library version 1.7.1013
12/01/05 02:08:46 [Note]: 4006 0
12/01/05 02:08:46 [Note]: 4011 3212
12/01/05 02:08:46 [Note]: FSRAW library version 1.7.1013
12/01/05 02:09:09 [Note]: 4007 0

Lade und aktiviere alles:

Panda:

Zitat:

Adware:adware/block-checker

http://virus-protect.net/onlinescan.html
scanne mit panda und poste den scanbericht

schau mal, ob du das findest:
"BlockChecker" = "Pfad der Adware"
http://securityresponse.symantec.com...ckchecker.html

Start-->Ausfuehren--> regedit

#Navigiere zu und lösche die folgenden Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"BlockChecker"

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\IMAdvertiser\MSN
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\IMAdvertiser\Yahoo
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\IMAdvertiser\AOL

AboutBuster
SpywareBlaster
http://virus-protect.net/antispytools.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Zitat:

www.google.de. com

<html>
<head>
<title>ihredomain.ws</title>
<META NAME="keywords" CONTENT="domain,domains,internetadresse,www,ihrname,info,biz,eu,tld,com,net,org,ws,ag,tv,cc,united domains,domäne">
<META NAME="description" CONTENT="Diese Domain wurde günstig bei www.united-domains.de registriert.">
</head>

<frameset framespacing=0 frameborder=0 rows="100%,*" scrolling=NO noresize>
<frame src="http://www.sedoparking.com/search/registrar.php?domain=united-domains.de&registrar=udag&partnerid=15899">
</frameset>

</html>

http://www.sedoparking. com/

<HTML>
<HEAD>
<title>Sedo.de - Machen Sie Ihren Domainnamen zu Geld</title>
<META Name="description" Content="Sedo´s Domain-Parking ist der schnellste Weg um Ihre Domain schnell zu verkaufen. Verdienen Sie jetzt Geld mit dem Sedo Domain-Parking!";
><META Name="keywords" Content="Domainparking kostenlos, Domain-Parking, domain marketing, aktives Marketing, Aktives Marketing für Domainnamen, Domain verkaufen, Domain parken, Geld verdienen, Verkauf meiner Domain">
</HEAD>
<FRAMESET rows="0,*" border=0 frameborder=0 framespacing=0>
<frame src="dummy.htm" Scrolling="auto">
<frame src="http://www.sedo.de/services/parking.php3" Scrolling="auto">

</FRAMESET>
<NOFRAMES>
<body>
Parken Sie jetzt Ihre ungenutzte Domain bei Sedo.de! Durch das kostenlose Domain-Parking (Domainparking) bei Sedo verdienen Sie ohne
Aufwand Geld mit Ihren ungenutzten Domainnamen und erhöhen die Wahrscheinlich Ihre Domain zu verkaufen erheblich! Aktives Domain-Marketing.
</NOFRAMES>
</HTML>

http://www.cddog.de/
[<HTML>
<HEAD>

<TITLE>Sedoparking.de - die Domain cddog.de ist zu verkaufen!</TITLE>
<META NAME="description" CONTENT="Der Domainname cddog.de ist zu verkaufen auf der Domainbörse Sedo">

<META http-equiv="Expires" content="0">
<META http-equiv="Pragma" content="no-cache">
<META http-equiv="content-type" content="text/html; charset=UTF-8">
<META NAME="copyright" CONTENT="Sedo LLC">
<META NAME="keywords" CONTENT="">

</HEAD>

<base href="http://www.sedoparking.de">
<link rel="stylesheet" type="text/css" href="http://sedoparking.com/templates/parking/standard/css/web.css">

<body text="#000000" bgcolor="#FFFFFF" link="#FF0000" alink="#FF0000" vlink="#FF0000">
<center>
<table border="0" cellpadding="0" cellspacing="0" width="776">
<tr>
<td><img src="http://sedoparking.com/templates/parking/standard/img/sedo_head.gif" width="776" height="30" border="0" alt=""></td>
</tr>

<tr>

<td>
<table cellpadding="0" cellspacing="0" border="0">
<tr><td width="76" align="left"> </td></tr>
</table>
</td>
</tr>
</table>

<table border="0" cellpadding="0" cellspacing="0" width="776">

<tr>
<td valign="top">
<table border="0" cellpadding="0" cellspacing="0" width="581">
<tr>
<td colspan="3" valign="top">
<br><br><font color="#5A9922"><h1 style="font-size:28px; line-height:5px;"><b>cddog.de</b></h1></font>

Die Domain wird vom Inhaber zum Verkauf angeboten.
<a href="http://www.sedo.com/search/details.php4?domain=cddog.de&partnerid=14457&tracked=&partnerid=&language=d" class="more"><img align="center" src="http://sedoparking.com/templates/parking/standard/img/linkpfeil.gif" border="0" alt=""> Weitere Informationen</a>

<br><br>
<script>

</script>

<FONT class="f2bk">

<table border="0" cellspacing="4" width="580">

<tr><td align="left" background="http://sedoparking.com/templates/parking/standard/img/back_dots_long.gif" width="510" height="29" colspan="2">
      
Sponsored Links zum Thema <b>CD und Musik</b>:</td>

</tr>

<tr height="68">
<td id="taw1" style="cursor:pointer;cursor:hand" valign="top" onclick="ga(this,event)">

1. die seite von Panda ist für den Pc nicht zu erreichen.
2. Blockckecker ist nicht drauf
3. die anderen Programme alles augeführt aber keine Änderung.
Was kann man aus den post von den umleitungsseiten entnehmen
habe von Html bzw. Java keine Ahnung.
Von dem Problem mit den Seiten Google. de. com und Lycos. de. com steht auch nicht wirklich viel im Netz oder hast du schon was gefunden?
www.ebay. de kann auch nicht richtig geöffnet werden.
Was gibt es noch für möglichkeiten ?
-oder muss ich das system echt neu aufsetzen ?

ps. so zwischendurch mal erstmal danke für die ganze hilfe.

stelle bitte im IE die Sicherheits-Stufe auf niedrig
http://virus-protect.net/ie.html
so wird AktiveX aktiviert und der Scan mit Panda muesste klappen.

Zitat:

Start -- Systemsteuerung -- Internetoptionen. Dort findet man die Einstellungen Sicherheit

ich habe versucht , etwas aus den html und dem Java-Script rauszulesen...aber es gibt keinen Anhaltspunkt.

Ne zu Pandasoftware.com bekomme ich keine Verbindung.
zu Pandasoftware.de komme ich aber weiter zum Onlienescan geht nicht.
ich benutz jetzt mal den von kaspersky

so hab mal einwenig in der registrie gesucht und folgendes gefunden:
unter dem ein trägen stehen ohne ende web adressen von Pron seiten *g*
bzw. feak oder ander nicht "normale" Seiten.
HKEV_Current_User_Software_Microsoft_Windows_CurrentVersion_InternetSettings_P3P_History-> Und
HKEV_Current_User_Software_Microsoft_Windows_CurrentVersion_InternetSettings_Zone_Maps_Domains->

Das ist nicht Normal oder? Da Zwei ander Rechner von mir das nicht so haben.

diese Eintraege sind "mehr oder weniger" ...normal.... das kann passieren, wenn man surft ;)
Deshalb wird die Seite jedoch nicht von google.de zu google.de.com umgeleitet.

deaktiviere bitte Java-Script in den Internetoptionen
http://virus-protect.net/ie.html

ClearProg
http://www.clearprog.de/downloads.php
man kann hier auch das Java-Cache leeren

Sollte das auch nichts bringen, weiss ich auch keinen Rat mehr, ........

nee hat leider auch nichts gebracht :-( ....
und Jetzt muss ich echt wegen so einem müll das System neu aufsetzten?
Das Problem daran ist das es ein Leptop ist und der in einem Firmen Netzwerk
eingesetzt wird. Und ich habe die Bedenken das die anderen den Fehler nun
auch bald bekommen.

Ist der Laptop Firmeneigentum oder ist der in einem Netzwerk der Firma können wir keine Hilfe geben.
Wende dich unbedingt an die IT-Abteilung!

nee keine sorge so ist es nicht Privater Laptop wird nur zwischen durch im Netzwerk angeschossen. Gehört einem guten Freund von mir. Der aber fast
nur an und ausschalten kann. Konnte ihm bis jetzt auch immer helfen.
Und dann will man ja nicht ablehen und ihn zu irgendwelchen It sepzis schicken die ihm dann
einene menge kohle abknöpfen und sowieso das system gleich neuaufsetzen. :-)

Du schriebst er wird in einem Firmennetzwerk eingesetzt.
Daher bin ich und auch alle anderen Helfer raus.
Da schickt auch zwischendurch!

Ist ne kleine Firma von meinem Vater. Das Internet und ca. 2 Pc und 3 Laptops sind über Router und Hups dort angeschlossen unter anderem
auch der Rechner mit dem ich jetzt arbeiter.
Also ist eigentlich ein Privat Netzwerk das auch geschäftlich genutzt wird.

Wäre es ein Prob, deine Daten zu sichern und den PC plattzumachen und danach dein System einmal richtig neu und sicher aufzusetzen?

Problem ... halt die normale arbeit einen Pc wo alle daten wild verstreut
sind Neu aufzuspielen ist. Und dann halt noch das Problem das ich nicht
weiß wann und wo ersich das eingefangen hat. Nicht das der nächste
rechner Morgen auch mit dem Problem anfängt. Der Rechner läuft bis
auf die Internet geschichte ohne probleme. Also würde ich gerne alles
mögliche dran legen das irgendwie anders zu lösen. Und mich hat leider auch
der ergeiz gepackt den Fehler zu finden bzw. finden zu lassen *g* ist
doch verständlich oder nicht. Ist ja sicher nicht von nachteil wenn ihr das
auch erfahrt. Bin bei googel schon öffter über probleme mit diesen
googel. de. com Seiten gestolpert.

Aber wenn du/ihr nicht der die Hoffnung habt den Fehler zu finden bleibt mir nicht ander
über.

Nun gut:

Ich werde dazu keine weiteren Bereinigungsvorschläge geben.
Mein Vorschlag wäre dieses System einmal von Grund auf sicher Neuaufzusetzen:

http://www.trojaner-board.de/showthread.php?t=12154

Nichtt aufgrund des Befalls, sondern einfach nur deshalb-->Sauberes System- die Suche nach dem Quälgeist ist wohl müßiger als eine Neuinstallation.

Ok wärde ich dann wohl müssen. Hoffe mal nicht das ich was falsche geschreiben hab. Hörte sich so an als wenn du mir irgendwas was ich
geschriben habe nicht einverstanden gewesen bist. Ich bin hier her gekommen
um von dir/euch Hilfe zu bekommen. Wo mir ich auch voll und ganz
einverstanden bin. Ich werde das auch so machen da du/ihr ja auch
die Fachmänner seid.
Nochmal danke an alle die mir versucht haben zu helfen.

Ps. Ich schick dann in den nächsten Tagen dann nochmal den log
von diesem Rechner .