Suchmaschinen-Umleitung

[f.erwin]

Hallo, vielleicht kann mir jemand bei meinem Problem helfen:

Seit gestern werde ich, wenn ich bei google was suche und dann den Link anklicke immer auf irgendwelche nutzlosen Suchmaschinen umgeleitet. ich habe schon mein logfile automatisch inspizieren lassen und habe auch die empfolenen Kanditaten gelöscht, aber geholfen hat es trotz Rechner-Neustarts nicht. Die Suchmaschinen heißen zB. upspiral, daytotals usw.

Anbei poste ich jetzt mein logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:16, on 24.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\hijackthis\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detection] C:\Programme\fotokasten comfort - Tchibo Edition\dd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.htm l
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4346 bytes

Gruß
f.erwin

[Petra]

Hallo f.erwin und Willkommen im HijackThis Support Board,

ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden. Es ist wichtig, dass Du solange mitarbeitest, bis wir sagen, dass der Rechner "sauber" ist, auch wenn die Symptome eventuell nach den ersten Aktionen verschwunden sein sollten. Wenn Du dazu bereit bist, arbeite die folgenden Punkte in der angegebenen Reihenfolge ab. Drucke die Anleitungen zur Bereinigung Deines Systems am besten aus. Lese zunächst alles durch und wenn Dir etwas unklar ist, bzw. wenn etwas nicht wie geplant funktioniert, bitte fragen, bevor Du weitermachst.

Wenn Du mit dem Abarbeiten der einzelnen Punkte fertig bist, kontrolliere aufmerksam, ob Du keinen Punkt vergessen und alle angeforderten Logfiles in Code-Tags gepostet hast. Ergänze Deinen jeweils letzten Beiträge bei Nachträgen solange über den "Ändern-Button", bis Dir jemand geantwortet hat. Danach über den Button "Antworten" jeweils einen neuen Beitrag erstellen.
Wichtig:
Bitte während unserer Reinigungphase nur Programme installieren und Scans durchführen, die wir anordnen.
Bitte alle Aktionen, die wir anordnen nicht in einem eingeschränkten Userkonto ausführen, sondern vom Hauptuserkonto aus.

===== Punkt 1 =====

Wenn Dein Antiviren-Programm Malware gefunden hat, schreibe uns möglichst genau die Namen der Funde auf, und in welchem Pfad sie sich befinden/befanden. An die nötigen Informationen kommst Du über die Logs/Berichte bzw. den Quarantäne-Ordner Deines Antiviren-Programms.

===== Punkt 2 =====

Berichte möglichst genau, welche Probleme Du mit Deinem Rechner hast und welche Tools/Remover Du evtl. schon ausprobiert hast, um das Problem loszuwerden. Poste evtl. vorhandene Logfiles der Removal-Tools.

===== Punkt 3 =====

Teatimer abstellen
Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

===== Punkt 4 =====

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Dein Browser ist nicht aktuell. Auch wenn Du den Internet Explorer nicht als Hauptbrowser nutzt, sollte er auf dem neuesten Stand sein, weil er mit dem Betriebssystem eng verbunden ist (denke nur an die Internet-Optionen, die auch von anderen Browser-Engines benutzt werden). Besuche die Windows-Update Seite und aktualisiere den Browser. Am besten gleich evtl. fehlende wichtige Windows-Updates mit installieren, indem Du über benutzerdefinierte Suche nach fehlenden Updates suchen lässt.

===== Punkt 5 =====

C:\Programme\Adobe\Acrobat 7.0
Dein Adobe Reader ist nicht aktuell, deinstalliere die alte Version über Start => Programmzugriff und -standards => Programme ändern oder deinstallieren, klicke dort "Adobe Reader x.0" und deinstalliere das Programm. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

===== Punkt 6 =====

Lade die 15 Tage kostenlose Trialversion von CounterSpy V2 von Sunbelt herunter. Counterspy V2 ist ein Programm, dass Adware und Spyware findet und löscht. Das Programm ist geeignet für Windows 98/ME/2000/XP/2003/Vista. Bebilderte Anleitungen zu dem Programm findest Du hier und hier. Drucke Dir Anleitung evtl. aus, da Du während der Reinigung keine Verbindung zum Internet haben wirst.

• Update das Programm online (Geduld, das kann eine Weile dauern).
• Klicke links auf "System Scan" und setze Häkchen bei Full System, Low Risk Programs, Cookies und bei Save Options.
• Beende die Internet-Verbindung.
• Starte Deinen Rechner neu in den abgesicherten Modus (Hinweise zum Wie findest Du weiter unten).
• Scanne nun Deinen Rechner (Scan Now) mit CounterSpy
  (das Fenster sieht im abgesicherten Modus etwas anders, nicht wundern).
  Auch hier ist wieder Geduld gefragt, denn ein kompletter Scan dauert je nach Belegung der Festplatten u. U. mehrere Stunden.

Man muss bei Funden nach dem Scan unter => Action (Default) wählen, was man mit der Malware machen will:

• Ignore
• Quarantine
• Remove
• Wähle bei jeder einzelnen gefundenen Malware immer => Remove.
• Dann musst Du noch auf den Button 'Take Action' klicken, den Du unten links im Bild siehst.
  Wenn Du das nicht machst, weiß CounterSpy nicht, dass es eine Handlung vornehmen soll.
• Wenn die Behandlung der Malware abgeschlossen ist, zeigt CounterSpy Dir das Ergebnis des Scans.

CounterSpy entfernt mit einem Durchgang immer nur einen Teil der Malware vom System.
Wiederhole den Scan im abgesicherten Modus so oft, bis Counterspy keine Funde mehr anzeigt.

Starte den Rechner anschließend neu in den normalen Modus.

• Starte Counterspy V2
• klicke oben im Menü auf View
  => System Scan => View System Scan History
  => dort unten rechts => View full details of scan'.
• Es erscheint ein Fenster mit allen Scanergebnissen (Scan History).
• Markiere das Ergebnis des ersten Scans und klicke unten rechts auf
  => View full details of scan...
• In dem aufpoppenden Fenster 'Scan History Details' steht das Scan Ergebnis mit allen Details,
  was an Malware auf Deinem Rechner gefunden und gelöscht worden ist.
• Dieses Ergebnis mit STRG + A markieren und mit STRG + C ins Clipboard kopieren.
• Mit STRG + V die Ergebnisse hier in den Thread reinkopieren.
• Dies ist das erste Logfile von CounterSpy, das wir im Forum unbedingt sehen müssen,
  um zu erfahren, was auf Deinem System gefunden und gelöscht wurde.
• Poste bitte auf die gleiche Weise die Ergebnisse der weiteren Scans, die evtl.
  gemacht wurden, in diesem Thread.

=====

Hinweise zum Arbeiten im abgesicherten Modus

• Neustart des Computers
• Vor dem Start von Windows mehrfach die Taste "F8" betätigen, um in das erweiterte Windows-Startmenü zu gelangen.
• Auf einem Computer, der für das Starten mit mehreren Betriebssystemen konfiguriert ist, bei Anzeige des Auswahlmenüs die Taste "F8" drücken.
• Im erweiterten Windows-Startmenü wähle die über die Pfeiltasten die Option "Abgesicherter Modus" und drücke die Eingabetaste.
• Warnung
  Lade das SafeMode Repair.zip präventiv herunter, entpacke es auf Deinen Desktop. Das SafeBoot-Regfix wird gebraucht, falls Malware durch Registry-Änderungen dafür gesorgt hat, dass Du nicht mehr aus dem abgesicherten Modus heraus kommst. In diesem Fall mache einen Doppelklick auf die "SafeMode Repair.reg", um die verbogenen Registry-Einträge zu reparieren. Klicke auf "OK". Starte Deinen Rechner neu, um wieder in den normalen Modus zu kommen.

===== Punkt 7 =====

Dateiliste mit HJTscanlist erstellen
Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf Deinem System mit HJTscanlist ansehen. Dazu arbeite bitte diese Anleitung ab. Bei Abfrage der Einstellung benutze bitte die Auswahl Nr. 1. Falls Du WindowsXP Home hast, bitte http://windowsxp.mvps.org/utils/tasklist.zip downloaden und nach C:\Windows\system32 extrahieren, damit HJTscanlist eine Taskliste erstellen kann. Zur Erklärung: das Tool tasklist.exe ist nur in Windows Professional enthalten und muss bei Windows XP Home nachinstalliert werden.

===== Punkt 8 =====

Erstelle und poste mir ein frisches HJT-Logfile und berichte mir, wie der Rechner nach diesen Aktionen läuft bzw. welche Probleme noch vorhanden sind.