Vollständige Version anzeigen : google öffnet falsche seiten


Tr3Flip
06.05.2009, 19:30

hallo, ich habe seit einniger zeit das problem das wenn ich in google etwas eingeb z. B. board-raidrush, dann ein ergebniss habe und darauf klicke kommen erst ganz viele andere seiten wo ich etwas downloaden kann oder etwas anderes_..
meistens ist es auch so das ich nicht auf zurück klicken kann_.

ob es ein virus ist weiß ich nicht, schätze aber mal schon_.


pyro
06.05.2009, 19:53

Hoi,

das hört sich ganz nach Malware an. Mach mal einen Scan mit Hijackthis und poste dein Ergebnis hier.


Tr3Flip
06.05.2009, 20:17

Ähnliche Themen: google öffnet falsche seiten hallo, ich habe seit einniger zeit das problem das wenn ich in google etwas eingeb z. B. board-raidrush, dann ein ergebniss habe und darauf [...]
Internet Explorer öffnet einfach so Seiten Wäre nett wenn ihr einmal drüber guckt: Logfile of Trend Micro HijackThis v2_0_4 Scan saved at 14:38:22, on 19_09_2011 Platform: W[...]
google öffnet falsche seiten
wie geht das? ^^

da kann ich iwi keinen vom ganzen pc machen nur von einzelnen dateien oder?


flawlessT
06.05.2009, 21:39

nein, du lädst das programm, installierst es, startest es und klickst auf "do a system scan and save a logfile"

dann öffnet sich (meist) der editor mit der logdatei_.. den inhalt kopierst du hier ins forum


Tr3Flip
06.05.2009, 22:02

nein, du lädst das programm, installierst es, startest es und klickst auf "do a system scan and save a logfile"

dann öffnet sich (meist) der editor mit der logdatei_.. den inhalt kopierst du hier ins forum


Logfile of Trend Micro HijackThis v2_0_2
Scan saved at 21:03:53, on 06_05_2009
Platform: Windows XP SP2 (WinNT 5_01_2600)
MSIE: Internet Explorer v6_00 SP2 (6_00_2900_2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss-exe
C:\WINDOWS\SYSTEM32\winlogon-exe
C:\WINDOWS\system32\services-exe
C:\WINDOWS\system32\lsass-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\svchost-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\AVENGINE-EXE
C:\WINDOWS\system32\svchost-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\TPSrv-exe
C:\WINDOWS\system32\svchost-exe
C:\WINDOWS\SYSTEM32\Ati2evxx-exe
C:\WINDOWS\Explorer-EXE
C:\WINDOWS\system32\spoolsv-exe
C:\WINDOWS\SOUNDMAN-EXE
C:\Programme\ATI Technologies\ATI-ACE\cli-exe
C:\Programme\Trust\WB-3500T USB2 Webcam\SnapTrap-exe
C:\Programme\Java\jre6\bin\jusched-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN-EXE
C:\Programme\iTunes\iTunesHelper-exe
C:\WINDOWS\system32\ctfmon-exe
C:\Programme\DNA\btdna-exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr-exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
C:\Programme\avmwlanstick\WlanNetService-exe
C:\Programme\Bonjour\mDNSResponder-exe
C:\Programme\ICQ6Toolbar\ICQ Service-exe
C:\WINDOWS\system32\LckFldService-exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr-exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv-exe
C:\WINDOWS\system32\IoctlSvc-exe
C:\WINDOWS\system32\PnkBstrA-exe
C:\WINDOWS\system32\PnkBstrB-exe
c:\programme\panda security\panda antivirus + firewall 2008\firewall\PSHOST-EXE
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc-exe
C:\WINDOWS\system32\svchost-exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService-exe
C:\Programme\iPod\bin\iPodService-exe
C:\Programme\ATI Technologies\ATI-ACE\cli-exe
C:\Programme\ATI Technologies\ATI-ACE\cli-exe
C:\WINDOWS\system32\wuauclt-exe
C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\WebProxy-exe
C:\Programme\ICQ6_5\ICQ-exe
C:\Programme\Mozilla Firefox\firefox-exe
C:\Programme\Windows Media Player\wmplayer-exe
C:\WINDOWS\system32\wuauclt-exe
C:\Programme\Trend Micro\HijackThis\HijackThis-exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = QIP: поиск в Интернете (_search-qip-ru)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = QIP: поиск в Интернете (_search-qip-ru)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = _google-icq-com/search/search_frame-php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = QIP: поиск в Интернете (_search-qip-ru)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = __-yodl-de/?&affid=1&uid=D86299A7-5C3D-4E4F-87F6-83E48C2DE60C
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = QIP: поиск в Интернете (_search-qip-ru)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = %s — QIP: поиск в Интернете (_search-qip-ru/search?query=%s&from=IE)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *-local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar-dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim-dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar-dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin-dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv-dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin-dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar-dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar-dll
O4 - HKLM\_.\Run: [SoundMan] SOUNDMAN-EXE
O4 - HKLM\_.\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui-exe
O4 - HKLM\_.\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI-ACE\cli-exe" runtime -Delay
O4 - HKLM\_.\Run: [STICAP] C:\Programme\Trust\WB-3500T USB2 Webcam\SnapTrap-exe
O4 - HKLM\_.\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9_0\Reader\Reader_sl-exe"
O4 - HKLM\_.\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched-exe"
O4 - HKLM\_.\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck-exe
O4 - HKLM\_.\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan-exe"
O4 - HKLM\_.\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN-EXE" /s
O4 - HKLM\_.\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask-exe" -atboottime
O4 - HKLM\_.\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper-exe"
O4 - HKCU\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\ctfmon-exe
O4 - HKCU\_.\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna-exe"
O4 - HKCU\_.\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr-exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\_.\Run: [DW6] "C:\Programme\The Weather Channel FW\Desktop\DesktopWeather-exe"
O4 - HKCU\_.\RunServices: [Hotfix-KB996914673] C:\WINDOWS\system32\rundll78-exe
O4 - HKUS\S-1-5-19\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'SYSTEM')
O4 - HKUS\-DEFAULT\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos-scr/200
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR-DLL
O9 - Extra button: PartyPoker-com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp-exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker-com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp-exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6_5\ICQ-exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6_5\ICQ-exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O15 - Trusted Zone: *-windowsupdate-com
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - _icq-oberon-media-com/Gameshell/GameHost/1_0/OberonGameHost-cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx-exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag-exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService-exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder-exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService-exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service-exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService-exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs-exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService-exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService-exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService-exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls-exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr-exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv-exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51-exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc-exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda antivirus + firewall 2008\firewall\PSHOST-EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc-exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Antivirus + Firewall 2008\TPSrv-exe

--
End of file - 9991 bytes

so hier ist es (:


Optron
07.05.2009, 01:53

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = QIP: поиск в Интернете (_search-qip-ru)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = QIP: поиск в Интернете (_search-qip-ru)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = QIP: поиск в Интернете (_search-qip-ru)

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe

R3 - URLSearchHook: (no name) - - (no file) ( wurde schon wo anderst angesprochen ist schädlich Hier)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Die scheinen mir verdächtigt. Mal SpyBot drüber laufen lassen.
Hab jetzt nur kurz durchgesehen. Bei dem -ru dingern bin ich mir auch sicher aber bei dem O2 müssen andere helfen wüßte nicht was der Prozess macht.


FrEeDoMe
07.05.2009, 08:10

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe

Sind harmlos und gehören zu Punkbuster.


Spite-Checker
07.05.2009, 08:45

schick uns mal den Inhalt aus dieser Datei:

C:\WINDOWS\system32\drivers\etc\hosts

da kann man auch gewisse Seiten umlenken, das du z_B Google (__-google-de) aufrufst aber dafür _-de - Das Erotik Portal über _ (__-_-de) kommt


°EraZoR°
07.05.2009, 10:49

Richtig_. Denke auch dass Google auf ne Google fake site umgeleitet wird, wo dann die Suche zwar funzt, aber die Links ersetzt werden_.


Tr3Flip
07.05.2009, 17:01

hosts is bei mir ne unbekannte datei_.
soll ich mal virustotal drüber laufen lassen und euch den log schicken oder so?


Mr_MeYa
07.05.2009, 17:06

hosts is bei mir ne unbekannte datei_.
soll ich mal virustotal drüber laufen lassen und euch den log schicken oder so?

Rechtsklick --> Öffnen mit --> Editor --> Inhalt posten bei Raid-Rush


Tr3Flip
07.05.2009, 17:41

# Copyright (c) 1993-2004 Microsoft Corp.
#
# AutoGenerated by Microsoft (R) Malware Protection Engine.
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102_54_94_97 rhino-acme-com # source server
# 38_25_63_10 x-acme-com # x client host

127_0_0_1 localhost


okay, hier ist es (:


Spite-Checker
07.05.2009, 17:45

okay, hier ist es (:
hmm, also die ist sauber!

was hast du denn für ein Antivirusprogramm?
Falls du eines wie Avira Antivir oder so hast, rate ich dir zu einem wie Nod32_..
Hast du denn die Sachen die am Anfang dieses Threads gepostet wurden schon gemacht?
Sprich: Einträge gelöscht die du über Hijackthis gefunden hast?


Wildkatz
07.05.2009, 17:50

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = _search-qip-ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = _search-qip-ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = _search-qip-ru

Sind Einträge die Qip-ru macht wenn man bei der Installation sein Hirn ausschaltet und einfach immer stupide auf 'Weiter' klickt. Man kann nämlich auswählen ob man QiP als Startseite haben will oder nicht.

Leute - klickt halt nicht immer so hirnlos überall auf OK dann habt ihr auch nicht solche Probleme.

Zur Not schau mal ob du irgendwelche ungewöhnliche Dateien mit den Endungen -vbs oder -scr in deinem Windows bzw. Windows\system32\ Ordner hast.

Wenn gar nix hilft:

a) Bekannten kommen lassen der sich gut auskennt
b) PC-Service in Umgebung nutzen und vorbeikommen lassen
c) formatieren - fertig.


Falls du eines wie Avira Antivir oder so hast, rate ich dir zu einem wie Nod32_._

Man braucht nicht immer unbedingt das beste Antivirenprogramm wenn man einfach mal bisschen aufpasst was man anklickt (Hirn einschalten, kann man net oft genug sagen) und nicht ständig irgendwelche ominösen mit Werbung zugeschütteten Pornostreamseiten besucht.

AntiVir reicht vollkommen aus wenn man bissl Ahnung hat und aufpasst :)


Tr3Flip
07.05.2009, 17:58

ich hab panda.

und zu dem einfach weiter klicken, mach ich nicht, ich hab als startseite google und den hacken raus gemacht


Mr_MeYa
07.05.2009, 18:02

Sind Einträge die Qip-ru macht wenn man bei der Installation sein Hirn ausschaltet und einfach immer stupide auf 'Weiter' klickt. Man kann nämlich auswählen ob man QiP als Startseite haben will oder nicht.

Leute - klickt halt nicht immer so hirnlos überall auf OK dann habt ihr auch nicht solche Probleme.

Zur Not schau mal ob du irgendwelche ungewöhnliche Dateien mit den Endungen -vbs oder -scr in deinem Windows bzw. Windows\system32\ Ordner hast_

Mich würde es wundern, wenn es jemand schafft eine russische Suchseite mit Googel zu verwechseln.

Klemm dir mal Spybot Search & Destroy Mirror selection Spybot 2 | Spybot © ™ - Search & Destroy (__-safer-networking-org/de/mirrors/index-html) Und lass den solange Scans wiederholen bis der nichts mehr findet.

Danach nimmste dir mal Piriform - Download CCleaner, Defraggler, Recuva, Speccy - Millions of users worldwide! (__-ccleaner-de/) und räumst auf. Erst unter extras die Programme deinstallieren, dann den Autostart aufräumen (ebenfalls unter extras), dann gehste deine Registry überprüfen und fixen. Lezteres wiederholst du auch bis nichts mehr an Fehler gefunden wird.

Dann starte neu.

Das wäre jetzt so das lezte was mir einfallen würde, bevor ich plätte.




raid-rush.ws | Imprint & Contact pr