Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   google-Links verbinden falsch (https://www.trojaner-board.de/29535-google-links-verbinden-falsch.html)

karl_k 28.05.2006 20:03
google-Links verbinden falsch
 
Hallo,

ich habe seit Tagen ein hartnäckiges Problem:
Bei einer Google-Suche verbinden die Links dann falsch. Meits Adultfriendfinder oder eine Suchmaschine. Dieses Problem habe ich nur mit IE6 mit firefox funktioniert es einwandfrei.
Habe bereits Ad-Aware, spybot und antivir ohne erfolg laufen lassen.
Bei den Netzwerkeinstellungen war plötzlich ein anderer DNS-Server eingestellt: 85.255.114.195. Diesen habe ich wieder richtig eingestellt. Aber die Umleitung ist immer noch aktiv.
Hier mein Highjack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:00:11, on 27.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Software\AntiVirus\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136827007078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136826994312
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp08.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{71646EA0-9FA1-471F-95FC-2BC70B077CCB}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Sunny 28.05.2006 20:27
Hallo karl_k,

also entweder bin ich blind oder dein Hijacklog ist wirklich sauber!?

Mach mal folgendes:
1.) einen kompletten eScan, Anleitung in meiner Signatur.
2.) F-Secure Blacklight scannen lassen und den bericht genau wie bei eScan posten, sowie...
3.) öffne mit dem EDITOR folgende Datei: c:\Windows\System32\Drivers\ETC\hosts , poste dann was dort drinnen steht

Gruß
Daniel

karl_k 28.05.2006 21:15
Habe hier mal die Datei hots:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
127.0.0.1 localhost

escan hat auch was gefunden, ist aber noch nicht fertig, wenn´s mal wieder länger dauert.....

Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "helpexpress Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.

kompletes logfile folgt noch.

karl_k 28.05.2006 22:02
Hier noch das log von blacklight

05/28/06 22:30:17 [Info]: BlackLight Engine 1.0.36 initialized
05/28/06 22:30:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/28/06 22:30:18 [Note]: 7019 4
05/28/06 22:30:18 [Note]: 7005 0
05/28/06 22:57:03 [Note]: 7006 0
05/28/06 22:57:03 [Note]: 7011 2292
05/28/06 22:57:03 [Note]: 7026 0
05/28/06 22:57:03 [Note]: 7026 0
05/28/06 22:57:07 [Note]: FSRAW library version 1.7.1015
05/28/06 22:57:15 [Info]: Hidden file: c:\Programme\CyberLink\PowerDVD\cltest.exe
05/28/06 22:57:15 [Note]: 10002 1
05/28/06 22:57:22 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\TCPTEST.
05/28/06 22:57:22 [Note]: 10002 1
05/28/06 22:57:30 [Info]: Hidden file: c:\Programme\T-Online\DSL-Manager\TDSLTest.exe
05/28/06 22:57:31 [Note]: 10002 1
05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe
05/28/06 22:57:58 [Note]: 10002 1
05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
05/28/06 22:57:58 [Note]: 10002 1
05/28/06 22:57:59 [Info]: Hidden file: c:\WINDOWS\system32\cspfj.exe
05/28/06 22:57:59 [Note]: 7002 32
05/28/06 22:57:59 [Note]: 7003 1
05/28/06 22:57:59 [Note]: 10002 1
05/28/06 22:58:00 [Info]: Hidden file: c:\WINDOWS\system32\dmckb.exe
05/28/06 22:58:00 [Note]: 7002 32
05/28/06 22:58:00 [Note]: 7003 1
05/28/06 22:58:00 [Note]: 10002 1
05/28/06 22:58:19 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe
05/28/06 22:58:19 [Note]: 10002 1
05/28/06 22:58:58 [Note]: 7007 0

Das Log von mwva ist ja einige Seiten lang, die 4 obigen Objekte hat er ja gefunden.

Was soll ich jetzt tun?

Wildone 28.05.2006 22:13
Hallo,
du hast einen Trojaner auf dem system der Rootkittechnologie verwendet, wenn du 100% sicher gehen willst solltest du das System neu aufsetzen.

Falls du dich doch für eine Bereinigung entscheidest mache folgendes:

Nochmal mit Blacklight scannen. Dann bei "Step 2 Cleaning" mit der Rename Funktion folgende Dateien umbenennen:

05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe
05/28/06 22:57:58 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe
05/28/06 22:57:59 [Info]: Hidden file: c:\WINDOWS\system32\cspfj.exe
05/28/06 22:58:00 [Info]: Hidden file: c:\WINDOWS\system32\dmckb.exe

diese tauchen dann folgendermaßen im system32 Ordner auf:

c:\WINDOWS\system32\filesafer23.exe.ren
c:\WINDOWS\system32\pppcgm.exe.ren
c:\WINDOWS\system32\cspfj.exe.ren
c:\WINDOWS\system32\dmckb.exe.ren

Diese löschst du dann und berichtest ob die Umleitungen weg sind.


Grüße Wildone

karl_k 29.05.2006 13:11
Super, danke!

Endlich funktioniert es wieder.
Habe es so gemacht wie beschrieben, die 4 dateien umbenannt und dann gelöscht.

Oder was meint Ihr, ein Neuaufsetzen des Systems muss nicht mehr sein.

Gruß
Karl

Wildone 29.05.2006 13:16
Hallo,
Zitat:
Oder was meint Ihr, ein Neuaufsetzen des Systems muss nicht mehr sein.
Wie gesagt, 100%ig sicher sein kann man nicht, dass der Trojaner weg ist. Aber aller Erfahrung nach ist er es.

Jetzt noch mal einen Halbsatz zur Vorsorge, zukünftig keine Software aus unseriösen Quellen (P2P, Crackseiten, Mailanhänge usw.) mehr ausführen.
Außerdem das System (Browser, Java usw.) immer aktuell halten und einen sicher konfigureirten Browser verwenden.
Mehr zum Thema Systemsicherheit hier.


Grüße Wildone

karl_k 30.05.2006 12:25
Danke für die Hinweise, werde ich befolgen.

Noch eine Frage:

Wenn ich escan nochmal drüber laufen lasse findet er immer noch diese Hinweise:
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "helpexpress Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.

Läuft aber alles einwandfrei. Die anderen Viren- und Spywereprogramme melden nichts mehr.
Soll ich noch etwas unternehmen?

Gruß
Karl

Wildone 30.05.2006 12:28
Hallo,
Escan ist für seine Paranoia bekannt. Untersuche das System mal mit Ewido, mal schauen was der noch findet. Wegen dem "smitfraud Browser Hijacker" könntest du mal mit Smitfraudfix schauen ob der etwas findet, bzw. entfernt.



Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131