browser redirection

  • #1
K

Knarg

Mitglied
Themenersteller
Dabei seit
13.01.2006
Beiträge
5
Reaktionspunkte
0
Hallo zusammen. Ich bin Knarg und ich habe ein Problem...
Wenn ich nicht so ein PC-Versager wäre, dann hätte ich das Problem bestimmt selber lösen können, so aber ist es hoffnungslos. Folgendes:

Ich bin anscheinend so adware infiziert, das mein Browser immer zu den obskursten Websites (Buyer-shabit.com, Intern-etadvertising.com) umgeleitet wird. Des Weiteren erscheinen ganz gerne auch so animierte Java Pop ups der besonders nervigen Art. Er fragt mich immer, ob ich WinFixer runterladen will, aber Gott sei dank habe ich das (wissentlich zumindest) nicht getan. Weder Spybot noch Hijackthis konnten bis jetzt helfen, da ich nich weis, welchen Trojaner/Adware/Spyware ich jetzt konkret hab. Suchen hat nicht viel ergeben und diese Website hat zu viele Foreneinträge zum Fündig werden. . Brauch ganz dringend Hilfe, weis jemand wie? Ihr wärt meine persönlichen Superhelden...
Vielen Dank schonmal

Knarg
 
  • #2
Knarg schrieb:
Ich bin anscheinend so adware infiziert, das mein Browser immer zu den obskursten Websites umgeleitet wird.
Zum Vergrößern anklicken....
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL

DefaultPrefix und Prefixes
Wert:
ftp://
gopher://
http://

defaultprefix.reg:
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

Weder Spybot noch Hijackthis konnten bis jetzt helfen
Zum Vergrößern anklicken....
poste mal dein Hijack-Log

Thema WinFixer:
http://www.wintotal-forum.de/index.php/topic,100715.0.html

pan_fee
 
  • #3
wow, you quick son.
Ich danke dir für die schnelle Antwort. WinFixer sollte es eigentlich nicht sein, habe zumindest keine der Dlls oder Dateien auf meinem PC gefunden
Mein Hijack Log sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 20:12:19, on 13.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Kazaa\kazaa.exe
C:\Programme\TBONBin\tbon.exe
C:\PROGRA~1\NORTON~1\NAVW32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\il\LOKALE~1\Temp\Rar$EX14.643\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDB63944-47C7-48DA-AF7B-D13231D51FA1}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\lv2o09f3e.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

...mein Held...
 
  • #4
Geh mal auf die Seite www.hijackthis.de, dort trägst Du in die große leer Box genau die Daten, die Du hier gepostet hast und gehst auf Auswerten. Jetzt bekommst Du u.a. Böse oder evtl. unbekannte Programme/Dienste etc. angezeigt. Starte Hijackthis, klicke die bösen Einträge an und wähle fixen. Bei den unbekannten mußt Du nachsehen, ob die evtl. zu einem Programm gehören, das Du verwendest und OK ist, falls Du mit dem Eintrag nix anfangen kannst ebenfalls fixen. Zusätzlich aktuellen Virenscanner über das System laufen lassen und evtl. mal AdAware u. Spybot über den Rechner laufen lassen. Kann sein das Du auch die Programme noch manuell von der Festplatte löschen musst (Pfadangabe steht dabei). Danach kannst du noch mal Hijackthis laufen lassen und nochmal überprüfen. Das ganze im abgesicherten Modus (beim Start F8 drücken, evtl. mehrfach).

http://www.wintotal.de/Software/index.php?rb=31
 
  • #5
Merci Bien.
Das Problem is nur, dass ich Hijackthis jetzt nun schon zum 3. Mal laufen lasse, und keine bösen Files mehr gefunden werden. Weder dll's noch irgendwas anderes. Deshalb bin ich mit meinem Latein ja auch am Ende. Sowohl Spybot als auch Ad Aware hab mehrfach laufen lassen und alles gelöscht, ohne Ergebnis. Sollte ich das auch offline und im abgesicherten Modus machen (den ich wie genau einschalte? mit ner F-Taste?)?Bisher wars für die Katz. Es is zum K.....
Wenn jemand diese Problem kennt, wäre mir sehr sehr gehofen, wenn ihr mir Tipps gebt.
Vielen Dank nochmal Achilles und PCDpan_fee
 
  • #6
Poste doch mal Dein aktuelles Logfile.
Im alten solltest Du folgende Einträge fixen:
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Kazaa\kazaa.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Falls Du diese Programme nicht kennst --> fixen
C:\Programme\TBONBin\tbon.exe Mit einem Antivirenscanner prüfen
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE (könnten Tastaturtreiber sein...)
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE

Zu dieser Programmbibliothek finde ich unter Google KEINEN Eintrag, falls unbekannt --> fixen
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\lv2o09f3e.dll
 
  • #7
Hmm....
Ich werd verrückt. Was muss ich machen, um dafür zu sorgen, dass die gefixten Logfiles nach dem Neustart nicht wieder da sind? No-spy z.b. existiert gar nicht mehr als Programm, P2PNetworking gehört zu Kazaa (un daran liegt es nicht). Norton und ad aware haben auch nichts finden können.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\il\LOKALE~1\Temp\Rar$EX00.963\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDB63944-47C7-48DA-AF7B-D13231D51FA1}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\en8sl1l71.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
 
  • #8
hallo nochmal.

Da ich jetzt de facto nicht mehr Herr meines eigenen Systems bin, und wirklich alles benötigte und empfohlene dreimal gemacht habe, werde ich wohl einfach Windows neu drüberziehen. Deshalb noch eine Frage: reicht es, Windows neu zu installieren, oder muss ich gleich komplett formattieren? Ich danke euch für eure Hilfe, aber ich kapituliere.
Peace out,
Knarg
 
  • #9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
Zum Vergrößern anklicken....

http://www.sophos.de/search/search-results/?search=secure32.html++++++&x=92&y=20

O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
Zum Vergrößern anklicken....

http://www.sophos.de/virusinfo/anal...action=search&submit.x=88&submit.y=11

diese dinger mal fixen bzw, vom rechner löschen ...

greetz

hugo
 
Thema:

browser redirection

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben