Hilfe! Falche URL ergibt Sex bzw. AntiViren Seite
 

Hallo zusammen,
ich persönlich kenne mich reichlich wenig mit Viren aus, allerdings bin ich fester Überzeugung mir etwas "eingefangen" zu haben :party:.

Mein Sohn ist seit einer Woche bei mir und blockiert quasi den Gemeinschafts-PC. Ich bemerkte vor einigen Tagen das sich diverse Sex- und Virenschutzseiten öffneten wenn ich mich bei InternetURLs vertippt hatte.
Neugierigerweise tippte ich im Anschluss etwas extra falsch z.B groleg statt google, und es passietre dasselbe.

Ich kann mir nicht weiterhelfen :confused:. Ein Qoutz Trojaner (oder ähnlich laut Google) scheint es ja nicht zu sein. Mein Anti-Virus Programm findet allerdings auch nichts. Eines was ich bemerkt habe, ist das auch meine anderen InternetBrowser befallen sind. Selbes Cliente.

Bitte um Rat und Hillfe :)

Hier mein Ergebnis von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 00:47:57, on 12.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\PROGRA~1\SPYCLE~1\SPYWAT~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.253\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ****google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ****google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - ****kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\***\PPnet\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\***\PPnet\PartyPokerNet\RunPF.exe (file missing)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://****update.microsoft.com/wind...?1155675860921
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CE006AF-0023-46DD-9EA2-27287B83B1F7}: NameServer = 85.255.115.4,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{99743D5C-6697-423A-AEF8-FF4C61709B80}: NameServer = 85.255.115.4,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{B464D8C3-226F-49E7-B82E-20E3B216F759}: NameServer = 85.255.115.4,85.255.112.15
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{3CE006AF-0023-46DD-9EA2-27287B83B1F7}: NameServer = 85.255.115.4,85.255.112.15
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.15
O17 - HKLM\System\CS2\Services\Tcpip\..\{3CE006AF-0023-46DD-9EA2-27287B83B1F7}: NameServer = 85.255.115.4,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.15
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINNT\SCARDS32.EXE

Ich bedanke mich im voraus, grüße Guido.

Hallo Guido

Das verwundert nicht. Die URLs werden nicht von einem DNS-Server Deines Internetproviders übersetzt, sondern von einem DNS-Server in der Ukraine (ich gehe mal davon aus, dass Du keinen ukrainische Internetprovider hast).

Lade Dir clearprog (Direktlink zum Download), setze bei Windows und Internet Explorer alle Häkchen und klicke auf "Löschen".

Dann erstelle bitte zwei Logs:

Erstelle ein Gmer-Log und poste dieses [Anleitung bei Nycomex geklaut]

* Das Programm herunterladen
* Das Programm entpacken. Wenn Du nach dem Entpacken keine Ahnung hast, wo das Programm gelandet ist, kannst Du es mit der Windows-Suchfunktion gmer.exe finden.
* Die gmer.exe gegebenenfalls in Verzeichnis ordentliches Verzeichnis kopieren (z.B. C:\Programme\Gmer)
* Durch Doppelklick auf die .exe-Datei das Programm starten und alle Häkchen wie auf dem Bild gezeigt setzen.
.
. http://img301.imageshack.us/img301/3984/gmerscanek4.png
.
.
* Unten rechts auf Scan klicken. Der Vorgang dauert etwa 2-3 Minuten.
* Nach dem der Scanvorgang zu ende ist, auf Copy klicken um das Log in die Zwischenablage zu kopieren. Es kann nun mit [Strg]+[v] ([Ctrl]+[V]) oder rechter Mausklick -> Einfügen in Dein Posting eingefügt werden.

Erstelle ein eScan-Log [Anleitung bei Cidre geklaut, Dank an Haui für die find.bat]

1. Das Programm herunterladen, Die Datei zum Auswerten herunterladen
2. Wechsel in den abgesicherten Modus mit Netzwerkunterstützung TU Berlin - Virus-Info - Extra-Blatt: Abgesicherter Modus
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch wählen!
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
.
http://www.cidres-security.de/picture/eScan.gif
.
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan anklicken
8. Eventuelle Funde mit einem Klick auf OK bestätigen.
.
.
http://www.cidres-security.de/picture/escan-lic-4.jpg
.
.
9. Nach Beendigung des Scanvorgangs das Programm beenden.
10. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
11. Den Inhalt der Datei C:\escan_neu.txt kopieren und hier posten.