Google lenkt ab
 

Hallo ich habe folgendes Poblem ich habe vergangenen Tages ein Mediaplayer Plugin downgeloaded und das war wohl mit einem Trojaner infiziert das Plugin habe ich sofort gelöscht


1. der Taskmanager war gesperrt vom Administator das habe ich manuell in den dateien behoben der wert war auf 1 statt 0 gesetzt

2. Jetzt geht Google nicht mehr es lenkt mich immer auf falsche Seiten es geht nur noch über direktlinks.

Ich habe schon Antivir7 Anti Trojan 5.5 Zonealarm 2.8 Norton 2007 Super AntiSpyware, Protect SChutz von meinem 7170 Fritzbox und hijackthis durchlaufen lassen habe auch was gefunden aber nichts was das behebt.
Sende über WLAN in WPA



Brauche dringend Hilfe

Hallo.

Poste bitte das Hijackthis-Logfile.
Ich vermute eine Zlob/smitfraud-Infektion, der ist überlicherweise in dubiosen Codecs, folge daher auch bitte dieser Anleitung.

Erst das HiJackthis Log

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:13:16, on 31.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\notepad.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\****************\****************.exe
C:\Programme\Belkin\PCI F5D700F\Wireless Utility\Belkinwcui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Munanori Yagyu\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Live Search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Picasa Media Detector] E:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] E:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Belkin Wireless G Desktop Card Client Utility.lnk = C:\Programme\Belkin\PCI F5D700F\Wireless Utility\Belkinwcui.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?ab6bee1a79c64160afd483d9287fd0e3
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?ab6bee1a79c64160afd483d9287fd0e3
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)

--
End of file - 8905 bytes


Hier Das Smitrem

SmitFraudFix v2.218

Scan done at 9:59:45,96, 31.08.2007
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1B17A701-9FB1-4427-B97B-EF0EFB61E6BF}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CCS\Services\Tcpip\..\{465652A4-08F2-44D3-A388-39CDF5F809CA}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6AC77DF4-00D8-4D6B-9889-D064AB6CFBB7}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CCS\Services\Tcpip\..\{98B44E45-F4BE-4392-B2F7-8EF4862DE3CB}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8D6B1EA-06CA-4219-BAFE-06BBBF4EDF08}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D767F4B3-DE42-4DEB-BE88-336AF8E5B070}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1B17A701-9FB1-4427-B97B-EF0EFB61E6BF}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS1\Services\Tcpip\..\{465652A4-08F2-44D3-A388-39CDF5F809CA}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6AC77DF4-00D8-4D6B-9889-D064AB6CFBB7}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98B44E45-F4BE-4392-B2F7-8EF4862DE3CB}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8D6B1EA-06CA-4219-BAFE-06BBBF4EDF08}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D767F4B3-DE42-4DEB-BE88-336AF8E5B070}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS3\Services\Tcpip\..\{1B17A701-9FB1-4427-B97B-EF0EFB61E6BF}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS3\Services\Tcpip\..\{465652A4-08F2-44D3-A388-39CDF5F809CA}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6AC77DF4-00D8-4D6B-9889-D064AB6CFBB7}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS3\Services\Tcpip\..\{98B44E45-F4BE-4392-B2F7-8EF4862DE3CB}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D767F4B3-DE42-4DEB-BE88-336AF8E5B070}:

DhcpNameServer=85.255.115.237,85.255.112.78
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kduxq.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\kduxq.exe Deleted

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» End

Habe zudem noch Clean Up Durchgeführt

17926 Dateien Gelöscht(3.1GB)

Der Link mit Kaspersky Online überprüfung funktioniert nicht




THX an alle dieses Teams jetzt gehts bis jetzt wieder
:daumenhoc






PS: Das Plugin habe ich davor gescannt habe aber nichts gefunden. Es war ein neues Plugin von 2007 getarnt als WMP AVI Datei von Microsoft



Könnt ihr mir ein gutes Programm entfehlen das so etwas blockt Preis egal?

Hallo.

Da waren ein paar eklige Dinge drin in deinem System, ob die vollständig weg sind, kann man nicht 100%ig sicher nachprüfen. Da wären aus dem smitrem-Log:

Anscheinend wurden deine DNS-Einträge Einträge verbogen (ukrainischer Server)! Obdie noch drin sind im System wird sich zeigen. Naja, im HJT-Logfile ist es zumindest nicht mehr aufgelistet.

Sieht ebenfalls gefährlich aus, wurde aber schon gelöscht, ich weiß jetzt leider nicht, ob smitrem ein Backup anlegt. Wenn doch, könnte man diese Datei noch nachträglich auswerten.

Dein HJT-Logfile sieht ebenfalls okay aus aber welches Programm war das denn gleich nochmal?

Erstell sicherheitshalber nochmal ein Log mit Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

ich habe formatiert ging schneller... :):):)

C:\Programme\****************\****************.exe

hieß so ich habe das nicht zensiert!!??!

Gibts Irgendein Programm mit dem ich mein Port gut gegen so etwas schützen kann?

Da gibt keine 100ig sichere Methode. Einigermaßen sicher ist es, solche Dateien bei Virustotal auszuwerten, aber auchda muss nicht unbedingt Verlass rauf sein. Im Zweifel die Datei nicht ausführen sondern gleich löschen, v.a. wenn sie von einer offensichtlich dubiosen Seite stammt!

Hut ab vor deiner schnellen Entscheidung zu formatieren, sowas kann ich nur begrüßen, denn diese Methde ist annerkannt sicher! :daumenhoc

Zu dem Programm mit den Sternchen...ich weiß nicht mehr wie es genau heißt, aber es muss hier im Wortfilter vom Board sein, sodass dann nur noch Sternchen erscheinen, wenn der Name des Programms gepostet wird.

Welchen "Port" willst du denn da schützen? :confused:
Mach die Windows-Firewall an (standardmäßig aktiv) oder nimm gleich einen Router und gut is..

SuperAntlSpyware :Boogie:

Bata

THX für eure hilfe lebe echt sicherer


aber was ist der virus

000003F9
es enthält den Code
HEUR/Crypted