Trojaner manipuliert mein Google???

    • Trojaner manipuliert mein Google???

      Naja, wenn ich eine Google Suche starte und ein Ergebnis anklicke, wird direkt eine Werbeseite oder ne komische Suchseite geladen. Das ist nur bei Googleergebnissen so und Google scheint auch langsamer zu laden allgemein.
      Könnts nen Trojaner sein?
      Hab gestern nen Divx Web Player geladen, das mir mein Firefox angedrückt hat.... hab den Verdacht, dass sich dabei was eingeschlichen hat....

      Was kann ich jetzt machen?
      Erstes Trojanerproblem, aka keine Erfahrungen damit und ziemlich ratlos!

    • Hmm ich hatte genau das selbe Problem, nur bei mir konnte ich dann auch nichts mehr uploaden.
      Das Ende vom Lied war, dass ich formatiert habe, da ich alles ausprobiert habe und Google und mein Upload einfach nicht zu retten waren.

      Probier mal auf die Seiten der Antiviren-Programm-Hersteller zu kommen, wenns nicht geht, haste wahrscheinlich den selben Trojaner den ich hatte.

    • Ich hab jetzt folgenden Log bekommen

      Quellcode

      1. Logfile of Trend Micro HijackThis v2.0.2
      2. Scan saved at 09:29:22, on 28.08.2009
      3. Platform: Windows XP SP2 (WinNT 5.01.2600)
      4. MSIE: Internet Explorer v7.00 (7.00.6000.20696)
      5. Boot mode: Normal
      7. Running processes:
      8. C:\WINXP\System32\smss.exe
      9. C:\WINXP\system32\winlogon.exe
      10. C:\WINXP\system32\services.exe
      11. C:\WINXP\system32\lsass.exe
      12. C:\WINXP\system32\svchost.exe
      13. C:\WINXP\System32\svchost.exe
      14. C:\WINXP\system32\ZoneLabs\vsmon.exe
      15. C:\WINXP\Explorer.EXE
      16. C:\WINXP\system32\spoolsv.exe
      17. C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
      18. C:\Programme\Bonjour\mDNSResponder.exe
      19. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
      20. C:\Programme\Java\jre6\bin\jqs.exe
      21. C:\WINXP\system32\nvsvc32.exe
      22. C:\Programme\CyberLink\Shared files\RichVideo.exe
      23. C:\WINXP\system32\svchost.exe
      24. C:\WINXP\system32\wbem\wmiapsrv.exe
      25. C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
      26. C:\WINXP\system32\RUNDLL32.EXE
      27. C:\Programme\Skype\Phone\Skype.exe
      28. C:\WINXP\system32\rundll32.exe
      29. C:\DOKUME~1\Crush\LOKALE~1\Temp\a.exe
      30. C:\Programme\Internet Explorer\IEXPLORE.EXE
      31. C:\Programme\Skype\Plugin Manager\skypePM.exe
      32. C:\Programme\mIRC\mirc.exe
      33. C:\Programme\Mozilla Firefox\firefox.exe
      34. C:\Programme\Trend Micro\HijackThis\HijackThis.exe
      36. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      37. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/
      38. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      39. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      40. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      41. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      42. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      43. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      44. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      45. O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      46. O2 - BHO: MessengerUpdate - {5948A52A-BA3A-49A8-BCAF-D578502BDA9D} - C:\Dokumente und Einstellungen\Crush\Anwendungsdaten\Messenger\Drivers\MsgUpdate.dll
      47. O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
      48. O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      49. O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
      50. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
      51. O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      52. O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
      53. O4 - HKLM\..\Run: [\\ELTERN-PC\EPSON Stylus CX3600 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P38 "\\ELTERN-PC\EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
      54. O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      55. O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINXP\system32\sti_ci.dll,WiaCreateWizardMenu
      56. O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
      57. O4 - HKCU\..\Run: [IgfxSys] rundll32.exe "C:\Dokumente und Einstellungen\Crush\Anwendungsdaten\Messenger\Drivers\IgfxSys.dll",StartProtector
      58. O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\Crush\LOKALE~1\Temp\a.exe
      59. O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
      60. O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
      61. O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
      62. O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
      63. O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
      64. O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      65. O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      66. O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
      67. O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
      68. O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
      69. O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
      70. O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
      71. O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
      72. O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
      73. O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINXP\system32\ZoneLabs\isafe.exe
      74. O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
      75. O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      76. O23 - Service: Google Update Service (gupdate1ca090f1d70a944) (gupdate1ca090f1d70a944) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
      77. O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
      78. O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
      79. O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
      80. O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
      81. O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
      82. O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe
      84. --
      85. End of file - 6578 bytes
      Alles anzeigen


      Und dann auswerten lassen, inwiefern hilft mir das und was nun? :((

    • Hatte das vor ~nem halben Jahr auch. Hab mein Log auswerten lassen. Einfach alles, was irgendwie komisch war, (mit dem Hijack-tool) gelöscht, und es ging wieder. Ich glaub, bei mir lags an der ICQ-Toolbar oder so.
      Edit: Hab dein Log auswerten lassen,
      O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\Crush\LOKALE~1\Temp\a.exe
      springt mir da ins Auge. Schon mal versucht, das entfernen zu lassen?
      (ohne Gewähr(!))
      Sometimes glass glitters more than diamonds because it has more to prove.


      -- Terry Pratchett

    • O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\Crush\LOKALE~1\Temp\a.exe

      Art


      Schädlich (2.72 / 5.00)
      Den kannste dann mit Hijack löschen z.b.
      Aber er findet nicht viel bei dir :>
      Ich hatte zum Teil 5-6 schädliche Einträge.

      Himmelweiss schrieb:

      Hatte das vor ~nem halben Jahr auch. Hab mein Log auswerten lassen. Einfach alles, was irgendwie komisch war, (mit dem Hijack-tool) gelöscht, und es ging wieder. Ich glaub, bei mir lags an der ICQ-Toolbar oder so.

      Aber da aufpassen, sowas wie rundll nicht löschen, bei dir sind die nur bei WINXP statt windows (also falscher Ordner).

    • O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\Crush\LOKALE~1\Temp\a.exe diesen Wert in der Registry löschen



      C:\DOKUME~1\Crush\LOKALE~1\Temp\a.exe Diese Datei löschen.
      ALTER DER IGEL WOHNT JETZT HIER!

      Was du bist hängt von drei Faktoren ab:
      Was du geerbt hast, was deine Umgebung aus dir machte
      und was du in freier Wahl aus deiner Umgebung und deinem Erbe gemacht hast.

    • "Kriminelle haben auf Tausenden von Websites manipulierte Javascripts eingeschleust. Sobald ein Nutzer diese vermeindlich harmlosen Seiten besucht, fängt er sich Malware wie den Wurm Gumblar ein. Der nutzt Lücken in Adobe Flash und Adobe Reader aus, um die Trefferliste bei einer Suche mit Google zu manipulieren und den Nutzer auf andere Seiten umzuleiten. Zudem macht er den PC zum Teil eines Botnetzes und stiehlt die Zugriffsdaten von FTP-Servern. Vor dem Wurm schützen Experten zufolge bislang nur die üblichen Maßnahmen: den Browser und Addons aktuell halten und eine Schutz-Suite verwenden, die auch den Webdatenverkehr checkt.
      blog.scansafe.com"
      Quelle: com! Ausgabe 8/09
      -----------------------------------------
      Hab alles abgetippt, deswegen könnte es Fehler enthalten.

    • irgendwas ist hier doch komisch ich hatt gestern das problem das mozilla nichtmehr ging und mein hintergrund sich geändert hat in warung virus und die ganze zeit hat der pc-süeaker gepiept und woran lags genau and diesen a.exe kram komisch aber ich kann dir hier nen wirklich gutes programm nennen einfach schnell und gut bei mir habe ich damit alles in griff bekommen SECURITY TASK MANAGER

    • cuehs schrieb:

      ist es bei jedem browser so?


      Auch beim IE so, werd jetzt erstmal Fire deinstallen und neueste Version dlen und halt dieses Malware,
      würd mich echt vorm neu aufsetzen drücken :>
      Hab da sovieles am PC, dass ich ohne die ganzen Daten/CDs vom Bruder nicht wieder drauf krieg
      und der ist ne Weile weg....

    • Sorry aber wie man auf den Gedanken kommt solche Dinge von irgendner Homepage und nicht von der homepage des Herstellers zu dwonloaden begreif ich nicht...ôo
      Dann hast du immer noch SP2 -> nicht up to date was immer schlecht ist. SP3 ist schon seit monaten draussen...
      Ausserdem ist auch dein IE veraltet, mittlerweile ist der IE 8 draussen also auch den updaten bitte.
      Sont halt: was haste jetzt schon drüber laufen lassen? Avira Antivir, A squared, Spybot Search&Destroy, AVG Anti-virus, Avast! u.ä. wären gute ideen, und mehr als einen drüber laufen zu lassen ist sicher ne gute idee.
      Such as we are, you will be.

    • Malware Setup startet erst gar nicht bei mir ... cooooooooooool

      Jedenfalls hab ich Firefox neu drauf, dachte vor erst, dass es behoben wäre,
      nachm 2. Googlen anscheinend doch nicht.
      Zudem fällt mir auf, dass dieses Weiterleiten nur bei den ersten beiden Links ist???
      Zufällig sinds die beiden Werbeseiten, die man als erstes Ergebnis via yahoo hat ....