Trojaner-Board - IE öffnet falsche Seiten bei Google! Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - IE öffnet falsche Seiten bei Google! Hilfe! (https://www.trojaner-board.de/37030-ie-oeffnet-falsche-seiten-google-hilfe.html)

IE öffnet falsche Seiten bei Google! Hilfe!

Hallo,
Ich habe ein Problem! Der Internet explorer öffnet falsche Seiten bei Google-Suche. Ich hab schon versucht mit einigen Forumsbeiträgen das Problem zu beheben, allerdings scheint das nicht zu funktionieren. Hab Adaware, spyboot und AVG anti spyware drüber laufen lassen aber das problem kehrt täglich wieder. Gestern ging es für den Tag nachdem ich dir programme durchlaufen lassen hab, heute wieder das gleiche Problem. Ich verzweifel schon....

Hallo,

Start->Ausführen->cmd
und dann
ipconfig -all
ausführen

und das Ergebins posten

Gruss
Oskar

Das HJT-Log zu diesem Beitrag findet sich übrigens hier. :rolleyes:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Rene>ipconfig/all

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : RENE
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung 5:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC
Physikalische Adresse . . . . . . : 00-08-A1-54-8E-95
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.178.20
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
IP-Adresse. . . . . . . . . . . . : fe80::208:a1ff:fe54:8e95%7
Standardgateway . . . . . . . . . : 192.168.178.1
DHCP-Server . . . . . . . . . . . : 192.168.178.1
DNS-Server. . . . . . . . . . . . : 192.168.178.1
fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
Lease erhalten. . . . . . . . . . : Dienstag, 13. März 2007 10:00:33
Lease läuft ab. . . . . . . . . . : Freitag, 23. März 2007 10:00:33

Tunneladapter Teredo Tunneling Pseudo-Interface:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physikalische Adresse . . . . . . : 00-00-01-FC-A6-C5-40-20
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 2001:0:4136:e38e:0:1fc:a6c5:4020
IP-Adresse. . . . . . . . . . . . : fe80::ffff:ffff:fffd%5
Standardgateway . . . . . . . . . : ::
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Tunneladapter Automatic Tunneling Pseudo-Interface:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Automatic Tunneling Pseudo-Interface

Physikalische Adresse . . . . . . : C0-A8-B2-14
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : fe80::5efe:192.168.178.20%2
Standardgateway . . . . . . . . . :
DNS-Server. . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

hier das ergebnis

hier nochmal ganz frisch mein log file...

Logfile of HijackThis v1.99.1
Scan saved at 10:45:20, on 13.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Clone cd\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
D:\programme\AVG Anti-Spyware 7.5\avgas.exe
D:\Programme\AnyDVD\AnyDVD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
D:\Programme\kaspersky\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rene\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Clone cd\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "d:\programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\kaspersky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = D:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?946739506343
O17 - HKLM\System\CS3\Services\Tcpip\..\{19BE80C5-068E-439C-B5CB-18D6C3DC1E72}: NameServer = 192.168.178.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo,

suche in der Registry (Start->Ausführen->regedit)
nach
85.255.116.157
und
85.255.112.166

Die Suchmaske wird mit Strg+F aufgerufen.

Sollte etwas gefunden werden (unter DHCP) den Wert löschen, nicht den Schlüssel.

Wenn etwas gefunden wird, hast du höchstwahrscheinlich ein DNS-Changer Roootkit drauf.

Gruß
Oskar

Hallo,
hab beide nummern gefunden.
da steht dhcpNameserver 85...,85....

ich lösche diesen wert jetzt....

gruss Rene

Hab jetzt den Eintrag gelöscht. Aber wenn ich nochmals danach suche, dann kommt der eintrag immer wieder, egal wie oft ich ihn lösche. Das passiert wie folgt: 1. Löschen des dhcpNameserver wertes, 2. nach suche erscheint diesmal nameserver mit den nummern, 3. löschen, 4. es erscheint wieder dhcpnameserver mit den nummern usw....

allerdings wurden diese einträge bei tcp/ip gefunden nicht bei dhcp

Hallo,

du hast dir ein rootkit eingefangen.

Lade dir das blacklight-tool runter:
F-Secure Blacklight > F-Secure Blacklight

mach einen scan und poste das Ergebnis.

Gruß
Oskar

hatte eben gerade schon einen scan gemacht.
hier das ergebnis:

03/13/07 10:48:43 [Info]: BlackLight Engine 1.0.55 initialized
03/13/07 10:48:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/13/07 10:48:43 [Note]: 7019 4
03/13/07 10:48:43 [Note]: 7005 0
03/13/07 10:48:45 [Note]: 7006 0
03/13/07 10:48:45 [Note]: 7011 1180
03/13/07 10:48:45 [Note]: 7026 0
03/13/07 10:48:46 [Note]: 7026 0
03/13/07 10:48:46 [Note]: 7015 452
03/13/07 10:48:46 [Note]: 7015 5
03/13/07 10:48:46 [Note]: 7015 1636
03/13/07 10:48:46 [Note]: 7015 5
03/13/07 10:48:52 [Note]: FSRAW library version 1.7.1021
03/13/07 10:52:20 [Info]: Hidden file: c:\WINDOWS\system32\kdpck.exe
03/13/07 10:52:20 [Note]: 7002 32
03/13/07 10:52:20 [Note]: 7003 1
03/13/07 10:52:20 [Note]: 10002 1
03/13/07 10:58:12 [Note]: 7007 0

Hallo,

wähle Datei umbenennen, dann ist die Datei im Explorer sicht bar und kann gelöscht werden.

Führe nun regedit aus und suche nach kdpck, den Wert dann löschen.

Rechner neu starten.

Jetzt nach den Adressen, wie bereits geschehen suchen und löschen.

P.S.: Es wäre interessant zu wissen um was für rootkit es sich handelt,
könntest du die Datei bei VIRUSTOTAL - Free Online Virus and Malware Scan einmal scannen lassen und das Ergebnis posten.

Gruß
Oskar

hallo, schau bitte noch mal unter dem thema hijack posten und auswerten hier im hauptthemenbereich, da schreiben die was anderes, aber ich mach das jetzt mal alles was du geschrieben hast....

Hallo,

da steht letztendlich auch nichts anderes.
Du hast Verbindungen mit Servern in der Ukraine.

Und um 100% sicher zu sein daß der PC sauber ist, muß man den PC neu aufsetzen. Ich finde es aber auch manchmal übertrieben generell eine solche Aussage zu machen - will dem aber auch nicht widersprechen.

Gruß
Oskar

Neu aufsetzten heisst? Windows neu machen? also nach dem neustart und datei rename bei f-secure geht es wieder, allerdings finde ich die datei kdpck.exe immer noch in der reg. Allerdings kann ich jetzt wieder die seiten öffnen bei google...

Hallo,

suche nochmal nach den Adressen, und der Datei in der registry und lösche diese. Anm. die DHCP Adressen können mehrfach vorhanden sein.
Scan anschließend nochmal mit blacklight.
Dann nochmal PC neu starten und prüfen ob die Einträge noch vorhanden sind

Rechner neu aufsetzen heißt als erstens einmal PC ausschalten, von CD booten, Festplatte Partionieren, Formatieren, ...

Gruß
Oskar

Hallo,
sooo, die Registry ist jetzt wieder frei von der datei kdpck.exe und die ip´s sind auch nicht mehr dort zu finden. jetzt kann ich auch wieder richtig suchen bei google. Erstaunlich war, dass ich trotzdem mit viren bei z.b. fireball.de suchen konnte ohne ständig weitergeleitet zu werden.

Nach dieser ganzen sache hier ist allerdings ein anderes problem aufgetreten:
wenn ich den Rechner neu starte, zeigt mit meine lan-verbindung immer keine konnektivität, obwohl das vorher immer ging! Erst wenn ich meine firewall auf aus stelle und dann deaktiviere/aktiviere funkt. das wieder. danach kann ich auch wieder die firewall einschalten.

Ich weiss auch nicht wie sich der virus eingeschlichen hat, denn ich habe doch eine intakte firewall. vor zwei tagen ist das ursprüngliche Problem aufgetreten, da hat kaspersky anti-vir auf einmal trojaner gefunden, aber trotzdem war ich befallen, wie kann sowas sein?

Hallo,

das hört sich soweit gut an :-)

Du hast dir wahrscheinlich beim Besuch einer Website was eingefangen.
Oft ist das auch mit einem Video-Codec verbunden.

Interessant wäre noch, ob sich im system32-Ordner eine Datei ohne Endung befindet. Der Name ist evtl. zufällig. Z.B. EQHFWWOSVHW

TIP: In Zukunft mit einem Benutzerkonto ohne Admin-Rechte surfen!

Gruß
Oskar

Hallo,
die datei gibt es im sys.32 ordner allerdings wurde die schon 2004 dort erstellt sagt mir windows. sie heisst 2EDS_~!3

Danke erstmal für die Tipps!

Ich hoffe mein system ist jetzt wieder clean oder besteht noch gefahr das ich ausspioniert werde?

Hallo,

wenn es um eine ja/nein-Antwort bzgl ausspionieren geht muß ich ja sagen, die Gefahr besteht.
Da das rootkit aber entfernt ist und du wahrscheinlich auch eine Firewall bzw. einen Router mit NAT/PAT hast schätze ich die Gefahr als gering ein.

Nun, es könnten z.B. Kernel-Funktionen umgeleitet werden.
Wenn du willst, kannst das einmal mit dem tool http://download.nai.com/products/mca...tDetective.zip prüfen.
Um zu prüfen ob unzulässige Verbindungen aufgebaut werden: http://download.sysinternals.com/Files/TcpView.zip

Wenn du aber 100% sicher gehen willst mußt du dein System komplett neu installieren.

Den Rat mit den Passwörter ändern solltest du befolgen.

Gruß
Oskar