Home » Spyware & Browser Hijacker Support Forum » Google Problem bei Suche ständig seltsame Seiten » Themenansicht

Google Problem bei Suche ständig seltsame Seiten
#0
07.02.2007, 12:37
Melli04
...neu hier

Beiträge: 7
#1 Hi,

nach langem probieren das Problem selbst in den Griff zu bekommen hoffe ich das ihr mir helfen könnt.

Ich hab ein Problem mit Google und zwar öffnet er mir seltsame Seiten anstatt die gewünschte wenn ich auf ein Suchergebnis klicke :-(

hier mal mein Hijack Protokoll
Logfile of HijackThis v1.99.1
Scan saved at 12:33:59, on 7.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\IncrediMail\bin\IncMail.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83

Danke schonmal im Vorraus.
LG
Melli
Seitenanfang Seitenende
07.02.2007, 13:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Melli04

die Internetverbindung wird auf einen Server in die Ukraine umgeleitet ;)
und dein Rechner hat noch nie ein WindowsUpdates gesehen ;)

««
offne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83
««
arbeite das ab und poste den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 13:48
Melli04
...neu hier

Themenstarter

Beiträge: 7
#3 Hi,

danke schonmal. Werde jetzt gleich noch die Windowsupdates machen *schäm*

LG
Melli

Fixwareout
Last edited 1/30/2007
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
C:\WINDOWS\System32\kdjtc.exe will be moved to C:\WINDOWS\temp\kdjtc.ren at reboot.

»»»»» System restarted
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

»»»»» Misc files.

»»»»» Checking for older varients.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»

PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION.

This WILL/CAN also list Legit Files, Submit them at Virustotal
Search five digit cs, dm kd and jb files.
»»»»»
»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryMechanic"=""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Hosts file was reset, If you use a custom hosts file please replace it
Seitenanfang Seitenende
07.02.2007, 14:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Melli04

««
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

««
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 15:55
Melli04
...neu hier

Themenstarter

Beiträge: 7
#5 Hi,


SDFix: Version 1.63

07.02.2007 - 15:38:33,16

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\ksl48.bin - Deleted
C:\WINDOWS\system32\TFTP3096 - Deleted
C:\WINDOWS\system32\TFTP3856 - Deleted
C:\WINDOWS\system32\TFTP736 - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:explorer"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\WINDOWS\LastGood.Tmp\INF\oem0.inf
C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem4.inf
C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Finished


und Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15:55:25, on 7.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170852547618
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83
Seitenanfang Seitenende
07.02.2007, 16:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Melli04

««
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83
+
PC neustarten

««
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport

+
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 19:49
Melli04
...neu hier

Themenstarter

Beiträge: 7
#7 Hi,

Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216220 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 17:57:51, System date 07 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE


Password protected file C:\Dokumente und Einstellungen\melanie\Eigene Dateien\igarbeit\cr_2004_01_web_bw2.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
>>> Virus 'Mal/Packer' found in file >>> Virus 'Troj/Zlob-VH' found in file C:\System Volume Information\_restore{CB7D74C2-092C-4DBC-8487-3A17956161F9}\RP11\A0011092.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{CB7D74C2-092C-4DBC-8487-3A17956161F9}\RP23\A0012808.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{CB7D74C2-092C-4DBC-8487-3A17956161F9}\RP23\A0012809.exe
Removal successful
Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Super Gamehouse Solitaire2.EXE (virus scan failed)
Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Super Gamehouse Solitaire3.EXE (virus scan failed)
Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Tennis Titans.EXE (virus scan failed)
Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Trivia Machine.EXE (virus scan failed)
Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Tumblebugs.EXE (virus scan failed)
Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Turtle Bay.EXE (virus scan failed)
Could not check D:\Downloads\Spiele\CivCity.Rom.GERMAN-SiLENTGATE\Autorun\images\background_rome.jpg (virus scan failed)

2 boot sectors swept.
47983 files swept in 1 hour, 48 minutes and 3 seconds.
12 errors were encountered.
5 viruses were discovered.
5 files out of 47983 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
5 encrypted files were not checked.
Ending Sophos Anti-Virus.


und Hijack this
Logfile of HijackThis v1.99.1
Scan saved at 19:49:15, on 7.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\PROGRA~1\IncrediMail\bin\IncMail.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170852547618
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83

LG
Melli
Dieser Beitrag wurde am 07.02.2007 um 20:15 Uhr von Melli04 editiert.
Seitenanfang Seitenende
07.02.2007, 20:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Melli04

warum fixt du das nicht mit hijackThis ????????????????? - du musst machen, was ich schreibe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83

diese Verbindung geht in die Ukraine, nicht zu deinem Provider........ ;)

Zitat

canonical name 85.255.115.36-xbox.dedi.inhoster.com.
Domain Name: INHOSTER.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com
Referral

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

-------------------------------------------------------------------


Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{A07681E3-F1D1-4499-94A9-348DD979D790}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 07:59
Melli04
...neu hier

Themenstarter

Beiträge: 7
#9 Hi,

ich fixe das Ding jedes Mal wenn der Rechner neu gestartet ist :-(( aber es ist immer wieder da :-((

Hier der Text
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 8.2.2007 07:57:16 for strings:
; '{a07681e3-f1d1-4499-94a9-348dd979d790}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{B5C208A7-9E6A-46E6-8795-DE9DBF541399}
; \Device\NetBT_Tcpip_{38A7C0CD-3B95-4DB0-954D-DB024943725D}
; \Device\NetBT_Tcpip_{46E167BF-C412-4852-8CE7-6DE789260388}
; \Device\NetBT_Tcpip_{FBCCD9A4-44AB-4902-8AF2-C61F74C60F59}
; \Device\NetBT_Tcpip_{A07681E3-F1D1-4499-94A9-348DD979D790}


«
Seitenanfang Seitenende
08.02.2007, 11:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc

Nun werden alle laufenden Dienste angezeigt.

TCP/IP-NetBIOS-Hilfsprogramm - deaktivieren

2.
fixe noch mal mit hijackThis betreffenden 017-Eintrag

O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83

und starte den Rechner neu

------------------------------------------------

3.
bevor du ins internet gehst:

Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken






4.
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 11:28
Melli04
...neu hier

Themenstarter

Beiträge: 7
#11 Hi,
danke für deine Mühe ;) aber es ist schon wieder da ...

Logfile of HijackThis v1.99.1
Scan saved at 11:27:15, on 8.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170852547618
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 217.237.150.188 217.237.151.142



«
Seitenanfang Seitenende
08.02.2007, 11:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nein, nun ist dein richtiger, korrekter Provider eingetragen ;)

««
lade firefox als Alternativbrowser zum IE
http://virus-protect.org/firefox.html

««
bringe den Guard vom Antivirus in den Autostart - kann man einstellen
http://virus-protect.org/antivirus.html

««
mache die Windowsupdates, sonst wirst du hier Dauergast - und alles gute fuer dich + PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 11:33
Melli04
...neu hier

Themenstarter

Beiträge: 7
#13 Hi,

ich danke dir

ich hoffe ich bekomm solche Probs nicht nochmal :-))

DANKEEEEEEEE

LG
Melli
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1