Hallo Leute,
seit kurzem habe ich ein seltsames Problem und weiß nicht, was ich tun soll. Fast immer wenn ich in Google etwas suche und dann auf eines der Ergebnisse klicke, komme ich erstmal auf 4 oder 5 andere Seiten, bevor die eigentlich Seite geöffnet wird. Ja, ich weiß nicht wie ich's sonst beschreiben soll. Aber hier ein Beispiel: Ich gebe in Google "Grenzwerte" ein und die Ergebnisse werden ganz normal angezeigt. Sage ich mal das erste Ergebnis ist ein Link zu Wikipedia. Ich klicke drauf, komme auf einmal zu Ebay. Ich gehe zurück, klicke nochmal, komme zu Ask.com. Gehe zurück, klicke nochmal... Es kam sogar schonmal vor, da kam ich auf die Google Startseite. Ja und so geht das immer weiter. Erst nach dem 3. oder 4. Versuch komme ich dann auf die eigentliche Seite. Wenn ich allerdings erst mal Rechtsklick > Linkadresse kopieren mache und dann die URL in die Adressleiste einfüge, klappt alles wunderbar. Was meistens passiert: Wenn ich einen Link öffne, wird in der Adressleiste erstmal für ein paar Sekunden der richtig Link angezeigt. Dann erscheint ein "Lade" Symbol und in der Adressleiste ist eine seltsame IP-Adresse als Adresse angegeben. Dann komme ich auf irgendeine Seite.

Also ich benutze Mozilla Firfox. Ich weiß nicht ob das Problem auch bei anderen Browser auftritt (ich habe sonst noch IE und Google Chrome). Kann das aber auch nicht genau sagen, da es nunmal nicht immer passiert. Meistens passiert es gerade dann, wenn man es eigentlich erwartet nicht. Ich habe schon mein Antivir zwei Suchläufe machen lassen. Er hat nichts gefunden. Ich habe auch schon gedacht, dass es vielleicht ein Firefox Plugin ist. Aber das war's auch nicht. Ich hatte alle deaktiviert und bekam immer noch den selben Fehler. Und jetzt weiß ich wirklich nicht mehr rat.

Ich kann mir auch kaum vorstellen, woher das Problem gekommen sein kann. Naja, eine seltsame Sache in der Vergangenheit war da schon:
Ich wollte mir ein Programm runterladen. Mein Firefox hatte schon eine Virusmeldung gemacht. Ich hatte das aber leichtsinnig ignoriert und das Programm runtergeladen. Als ich das vermeindliche Programm installiert habe, bekam ich die Nachricht:"Thanks for installing Sunporn!". Ich war natürlich reichlich geschockt und habe das Programm schnell in der Systemsteuerung deinstalliert. Ich weiß aber nicht, ob es nicht in der kurzen Zeit schon einen Effekt auf meinen Computer gehabt hat oder nicht. Das wäre zumindest das einzige was mir jetzt einfallen würde. Ich hoffe ihr wisst vielleicht besser Bescheid.

Gruß

Klingt so, als ob die hosts Datei geändert wurde und du auf eine Phishing-Seite weitergeleitet wirst, die exakt so aussieht, wie google.

Such mal nach einer Datei, namens "hosts" und öffne diese mit einem Texteditor und schau mal nach, was da drinnensteht.
Der einzige eintrag, der dort drinnenstehen sollte, wäre 127.0.0.1 localhost.
wenn dort weitere Einträge drinnen stehen sollten, dann mach erstmal nen Virenscan.
Die Änderungen werden durch ein Virus durchgeführt.

Falls du Avira als Virenscanner benutzt, lass dir das ne Lehre sein und hol dir was vernünftiges ;)

Klingt so, als ob die hosts Datei geändert wurde und du auf eine Phishing-Seite weitergeleitet wirst, die exakt so aussieht, wie google.

Such mal nach einer Datei, namens "hosts" und öffne diese mit einem Texteditor und schau mal nach, was da drinnensteht.
Der einzige eintrag, der dort drinnenstehen sollte, wäre 127.0.0.1 localhost.

OK. Ich gucke mal danach. Danke für den Tipp. Aber wie gesagt: Es sind nichtmals Phishing-Seiten, sondern ganz normale gebräuchliche Websites (Ebay, Ask.com, sogar Google selbst). Und ich habe festegestellt, dass das Problem auch bei IE auftritt.



Die Änderungen werden durch ein Virus durchgeführt.

Falls du Avira als Virenscanner benutzt, lass dir das ne Lehre sein und hol dir was vernünftiges ;)

Naja, wenn du einen guten, kostenlosen Virenscanner kennst, dann nur her damit ;) . Ich habe noch von meinem ehemaligen EDV Lehrer McAffee. Den benutze ich aber nicht, weil der den Computer aufs übelste verlangsamt. Auf meinem alten Computer konnte ich absolut gar nichts machen während der lief. Naja, aber in Notfällen benutze ich den noch.

EDIT:
Also hier ist, was in meiner "hosts" drin steht:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


Was muss ich jetzt ändern (fals ich überhaupt etwas ändern muss)?

Die Hosts Datei ist soweit in Ordnung.

Avast! ist ein recht guter, kostenloser Virenscanner.
Man muss sich dort lediglich registrieren und dann bekommt man ein Key für ein Jahr.
Aber ich würde dir empfehlen, mal 20 € für ein sehr guten Virenscanner zu investieren. z.B. Kaspersky.

Die Heuristiksuche von Avira ist nämlich alles andere als brauchbar.
Von daher ist er, auch wenn er kostenlos ist, nicht zu empfehlen, da er erst die Viren erkennt, wenn es schon lange zu spät ist.

Was noch bei deinem Problem in Frage kommen könnte, wäre ein Hijacker.
Tools, wie Ad-Ware oder HijackThis können die Hintergrundanwendungen analysieren und schauen, ob sich dort ein HiJacker verbirgt.
Du könntest auch unter start -> ausführen -> msconfig -> Systemstart
mal schauen, ob sich dort was verdächtiges aufhält.

Naja, daran habe ich auch schon gedacht. Wusste aber nicht, welches Programm das sein könnte.

http://img376.imageshack.us/img376/3723/ms1qf4.png
http://img364.imageshack.us/img364/8780/ms2px2.png

Hmmm... Also jetzt wo ich das so sehe... Könnte das vielleicht GoogleUpdate.exe sein? Klingt sehr verdächtig.

Nein, GoogleUpdate.exe ist vom neuen Browser "Google Chrome". ;)

Hmmm... Aber was könnte es denn sonst sein? Das einzige was mir sonst noch unbekannt vorkommt ist "GrooveMonitor.exe". Aber das ist scheinbar von Microsoft Office. Von daher kommt das auch nicht in Frage... Irgendwer sonst eine Idee?

Downloade mal a-squared Free (http://www.emsisoft.de/de/software/free/) und mach mal einen "Detail Scan"

http://download4.emsisoft.com/a2FreeSetup.exe

(Direktlink, weil ich nich a-squared Malware meinte, was irrtürmlicherweise oben steht)

Downloade mal a-squared Free (http://www.emsisoft.de/de/software/free/) und mach mal einen "Detail Scan"

http://download4.emsisoft.com/a2FreeSetup.exe

(Direktlink, weil ich nich a-squared Malware meinte, was irrtürmlicherweise oben steht)

Habe ich gemacht. Nach einem Schnelltest und nach einem Smart Scan tritt das Problem erstmal nicht auf. Allerdings habe ich ja gesagt, dass das Problem auch nicht immer auftritt. Und vielleicht ist gerade wieder ein solcher Fall. Ich muss einfach nochmal morgen gucken. Falls das Problem dann immer noch da ist, mache ich mal einen Komplettscan. Ansonsten mal gucken. Danke schonmal für deine Unterstützung.

HijackThis (http://download.hijackthis.eu/HJTInstall.exe) downloaden. Dann klickst du auf "Do a system scan and save logfile" Das Logfile postest du dann bitte hier in's Forum. Bitte aber Links deaktivieren. Nicht, dass noch jemand worauf klickt und sich etwas einfängt, falls dort etwas sein sollte.

HijackThis (http://download.hijackthis.eu/HJTInstall.exe) downloaden. Dann klickst du auf "Do a system scan and save logfile" Das Logfile postest du dann bitte hier in's Forum. Bitte aber Links deaktivieren. Nicht, dass noch jemand worauf klickt und sich etwas einfängt, falls dort etwas sein sollte.

OK. Habe ich mal gemacht. Aber vorsicht! Der verlinkt die URLs immer automatisch. Ich kann das nicht abstellen.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:56, on 09.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\WINDOWS\Mixer.exe
D:\Programme\a-squared Free\a2service.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\avmwlanstick\WlanNetService.exe
E:\Dokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
E:\WINDOWS\system32\svchost.exe
D:\Programme\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\Trillian\trillian.exe
E:\Programme\avmwlanstick\WLanGUI.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Microsoft Office\Office12\WINWORD.EXE
D:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Movie Maker\moviemk.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ikarim.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - E:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [AVMWlanClient] E:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] E:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "E:\Dokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Trillian.lnk = D:\Programme\Trillian\trillian.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - E:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - E:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F22F3C-F3AC-4701-95B1-E9C58C8A8632}: NameServer = 85.255.114.34,85.255.112.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.132
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - E:\Programme\avmwlanstick\WlanNetService.exe

--
End of file - 7056 bytes


Ich hoffe ihr könnt mir jetzt helfen :( . Habe übrigens auch mit a² schon Full Scan probiert. Hat auch nichts gebracht! Fehler tritt noch immer auf. Eine weitere Eigenheit: Ich bekomme immer irgendwelche Pop Ups (auch mit IP-Adresse in der URL-Leiste).

Der verlinkt die URLs immer automatisch. Ich kann das nicht abstellen.Hier unter den Posting-Einstellungen findet man sowas wie "Links automatisch umwandeln" oder ähnlich Lautendes. Bitte Haken raus, dann sollte es gehen (-,
Beispiel: http://www.example.com

Hier unter den Posting-Einstellungen findet man sowas wie "Links automatisch umwandeln" oder ähnlich Lautendes. Bitte Haken raus, dann sollte es gehen (-,
Beispiel: http://www.example.com

Danke für den Hinweis. Hab's verändert. Also, kann mir irgendjemand mit den zur Verfügung stehenden Informationen helfen?

Kann hier ausgewertet werden:

http://www.hijackthis.de/de

Führ mal bitte folgendes aus, starte deinen Rechner neu und mach bitte ein neues Logfile.

http://www.ratschlag24.com/index.php/google-chrome-den-heimlich-installierten-google-updater-googleupdateexe-wie/

Ich hab so kA wie ich die beiden googleupdate.exe-Einträge im Moment werten soll...

Die 3 Enträge weiter unten mit den 3 roten X vor dem Neustart bitte fixen, wenn die IP nicht bekannt ist.

Naja, GoogleUpdate ist mir erstmal egal. Ich weiß so ungefähr, was der macht. Aber die IP-Adressen kenne ich nicht.

85.255.114.34
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

Meine Postleitzahl fängt mit 5 an. Deswegen muss das ja schon von irgendwo im nirgendwo sein. Also werde ich das wohl entfernen. Aber das wäre meine nächste Frage: Wie mache ich das überhaupt? Wie kann ich so Einträge in der Registrierung verändern?

Und ich werde morgen auch mal eine neue Logfile machen wenn du meinst, dass es weiterhelfen könnte. Aber heute schaffe ich das zeitlich nicht mehr.

Danke schonmal für deine Hilfe.

Du musst nochmal HijackThis starten und nochmal scannen. Dann setzt du in die Kästchen vor den Einträgen einen Haken und klickst auf "Fix Checked".

OK. Hab's jetzt gemacht. Scheint wieder in Ordnung zu sein. Aber muss noch ein bisschen gucken. Fals immer noch Problem auftauchen sollten, schreibe ich das hier rein. Danke für eure Hilfe!

Hmmm... Also das Problem ist leider immer noch da.

Immer wenn ich die drei Einträge in HijackThis fixen will, kommt danach nur eine weiße Seite und nichts passiert. Ich kann nichts machen! Die Einträge sind danach auch immer noch da. Jemand eine Idee, was zu tun ist?

Systemwiederherstellung deaktivieren und nochmal probieren.

XP (http://www.pctipp.ch/praxishilfe/kummerkasten/sicherheit/26316/windows_me_und_xp_systemwiederherstellung_deaktivieren.html)

Vista (http://www.msvistafaq.de/2007/07/19/vista-systemwiederherstellung-abschalten/)

Nochmal probieren, ansonsten im abgesicherten Modus probieren.

Nun kommt aber diesem Unterfangen bei Windows Me und XP oft eine Funktion namens Systemwiederherstellung in die Quere. Diese stellt nämlich die zu löschenden Einträge beim nächsten PC-Start wieder her

Das ist aber gar nicht mein Problem. Die Einträge werden nicht nach Systemneustart wiederhergstellt, sondern sie werden gar nicht erst gelöscht!

Abgesicherter Modus.

OK. Die Einträge sind jetzt weg. Danke schonmal für die Hilfe. Aber umgeleitet werde ich auf Google jetzt trotzdem noch :(

Habe auch nochmal neu gestartet und mit HijackThis scan gemacht. Keine schädlichen Einträge werden mehr angezeigt:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:56, on 13.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\a-squared Free\a2service.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\avmwlanstick\WlanNetService.exe
E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\avmwlanstick\wlangui.exe
E:\WINDOWS\Mixer.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Dokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
D:\Programme\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\Winamp\winamp.exe
E:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ikarim.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - E:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O4 - HKLM\..\Run: [AVMWlanClient] E:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] E:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime


O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "E:\Dokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Trillian.lnk = D:\Programme\Trillian\trillian.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - E:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - E:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F22F3C-F3AC-4701-95B1-E9C58C8A8632}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - E:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7667 bytes



OK... Ich habe mich geirrt... Das sind wohl doch so welche von der Sorte, die sich von selbst wieder regenerieren? Aber an Systemwiederherstellung kann es nicht liegen. Weil ich habe nachgeguckt, neu gestaret, nochmal nachgeguckt und es war normal. Dann das Programm geschlossen und jetzt für diesen Post nochmal nachgeguckt. Und auf einmal sind sie wieder da! Also jetzt habe ich wirklich keine Ahnung mehr...

Also das Logfile ist sauber, du wirst dennoch weiterhin umgeleitet?

Öffne mal einfach IE und Firefox und mach nochmal ein Logfile...


Ad-Aware (http://testde.lavasoft.com/products/ad_aware_free.php) und Spybot S&D (http://www.safer-networking.org/de/mirrors/index.html) können auch helfen. Beide Programme vor dem Scannen updaten.

Also das Logfile ist sauber, du wirst dennoch weiterhin umgeleitet?

Öffne mal einfach IE und Firefox und mach nochmal ein Logfile...


Ad-Aware (http://testde.lavasoft.com/products/ad_aware_free.php) und Spybot S&D (http://www.safer-networking.org/de/mirrors/index.html) können auch helfen. Beide Programme vor dem Scannen updaten.

Ne ^^
Ich habe ja noch unten drunter geschrieben, dass sich dei Einträge von selbst wieder hergestellt haben. Also erst einen Scan gemacht, war sauber. Dann nachher noch einen Scan gemacht, schon waren sie wieder drin.

OK. Ich probiere die Programme mal.

Was offenbar noch nicht genannt wurde: Versuchs mal mit einem 30 Tage Trial von Kaspersky, das ist eine Vollversion die 30 Tage lang funktioniert. Hab ich früher immer benutzt, bevor ich mir das Programm dann gekauft habe - war kein Fehlkauf :)

Kann natürlich für nichts garantieren, aber falls sonst nichts hilft wärs mal nen Versuch wert.

Hi,

ich würde dir raten Escan (http://www.mwti.net/products/mwav/mwav.asp) zu downloaden und dann damit mal deine Platte zu scannen. Die Version löscht keine Malware sondern scannt nur, da es die kostenlose Version ist. Um die Malwarezu löschen empfehle ich dir Killbox (http://www.chip.de/downloads/Pocket-KillBox-2.0_20730776.html) noch zu saugen.

Hier mal einKlick mich (http://www.trojaner-board.de/24192-escan-antivirus-unterstuetzt-neuere-versionen-ab-7-x.html)

Mfg
bomando

So. Hatte mich jetzt länger nicht gemeldet. Ich hatte ein paar von den oben aufgeführten Programmen ausprobiert. Aber so wie ich das sehe hatten die alle nichts gebracht. Darum habe ich mich entschlossen dann doch das Programm auszuprobieren, dass mir mein ehemaliger EDV Lehrer gegeben hat. G Data InternetSecurity oder AVK oder was auch immer. Weiß jetzt nicht genau, wie das heißt. Auf jeden Fall konnte ich nachdem ich das Programm installiert habe die falschen Einträge ganz leicht mit HijackThis entfernen und sie kamen auch nicht mehr wieder. Ob es jetzt allerdings wirklich an G Data lag oder an irgendeinem anderen Programm, dass ich schon vorher istalliert habe, kann ich nicht genau sagen. Nur so viel, dass mein PC jetzt wieder Clean ist :) !