Hallo,
schau mal in die Datei hosts (unter C:\WINDOWS\system32\drivers\etc\), ob du dort irgendwelche Einträge findest, bzw. poste diese mal hier.
Datei kann mit dem Editor geöffnet werden und ist versteckt.

Wirst du immer zur selben Seite umgeleitet oder immer zu verschiedenen?

MfG
b1n4ry0utl4w

Hier die Einträge in der Datei Host:

127.0.0.1 localhost
127.0.0.1 localhost

zu Frage 2:
es sind verschiedene Seiten, bis auf die Seite mit sodoku-inhalten, ansonsten war es auch schon mal eine Dating-Seite.

Hallo,

das sieht normal aus. Klingt nach einem Hijacker, den finden einige Virenprogramme nicht. Lade dir mal herunter und schau mal, ob du was verdaächtiges findest bzw. poste mal das Logfile

MfG
b1n4ry0utl4w

...

Was herunterladen? was empfielst Du?

welche Logfile?

Bin kein Profi! Sorry!

Mein Fehler,
hab den Link vergessen:
Link
Das Prog nennt sich HiJack This und erstellt dir das Logfile was ich meine.
Achte besonders drauf was unter O2-BHO steht. Wenn verdächtig dann löschen oder posten.


MfG
b1n4ry0utl4w

lade dir mal hijackthis runter und kopiere die auswertung hier rein, oder lasse es automatisch auswerten.
http://www.hijackthis.de/de[/url]

hier das Logfile:

Scan saved at 17:03:53, on 14.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/nwshp?hl=de&tab=wn&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: (no name) - {D44C07CC-7172-4BB0-A145-57E7BCD6E2CE} - C:\WINDOWS\system32\dpwsockd.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/protect_regular.cab
O16 - DPF: {4A1C2485-1F68-11D5-BD5C-0080ADB635EE} (AVClient Element) - http://www.veka.de/__C1256E8C00321464.nsf/html/AVClientProj.cab/$FILE/AVClientProj.cab
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.innova-webplaner.de/innova/pano/prog/DE/rundum.7.0.0.12.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBFFC8C-EC4D-4C9F-8150-909AE77A0A7B}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\system32\angelex.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Hallo,
diese Einträge markieren und dann "Fix Checked" drücken:

O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/protect_regular.cab

und

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

Danach noch mal ausprobieren und Rückmeldung geben.

MfG
b1n4ry0utl4w

In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Sie benutzen die Windows XP eigene oder eine Hardware Firewall.
(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder
(4.) sie verwenden keine Firewall.
Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene. Aktivieren Sie ggf. Ihre Firewall. Wenn Sie eine uns unbekannte Firewall verwenden, melden Sie das bitte hier


und dann solltest du schon die angegebenen

Zitat:
Sollte gefixt werden!Dieser Eintrag ist vermutlich schädlich.

fixen und die mit dem fragezeichen mal überprüfen

Zu "b1n4ry0utl4w":

hab ich gemacht, und nun mal sehen ob es dabei bleibt.

danke schon mal!

zu .:haIlogen:. :

Antwort 1 ist richtig!

Es handelt sich um die MS eigene Firewall als Windows XP-Prof.

MS-Firewall ist nicht genug oder? wird wahrscheinlich gleich aushebelt!?

Gruß

MS Firewall reicht aus. Das einzigste was evtl. hilft ist:
1. Bedachtes Surfen (die 2 Trojaner, die du dir heruntergeladen hast, hast du dir auf irgendwelchen Webseiten eingefangen, da kann auch eine Firewall nichts machen). Achte wohin du surfst, worauf du klickst und ws du downloadest.
2. Alternativen Browser verwenden. Der IEX hat immer noch zu viele Lücken (die auch von Trojanerherstellern ausgenutzt werden). Benutze z.B. Firefox und den IEX nur für die Windowsupdates.
3. Mache regelmäßig Windowsupdates und Virenscannerupdates

MfG
b1n4ry0utl4w

Hi!

Es ist schon bedenklich wie arglos manche User ihre Logdatei in
ein öffentliches Forum posten. Anscheinend haben sie nicht die
geringste Ahnung was man aus so einer Datei alles erkennen
kann.
Im Übrigen bin ich der Meinung, dass alles was das Wort Toolbar
oder Smart im Programmnamen trägt, meisten nur
Datensammler sind und einem zudem noch beim Surfen im
Internet mit Werbung zumüllen.. In diesem Fall sind dann auch
noch klammheimlich andere Sachen aus dem Internet auf den
Rechner gelangt.
Ich glaube mich auch noch erinnern zu können, dass Go!Zilla
vor Jahren schon als Spyware erkannt wurde. (Sichwort:
Aureate vormals Alexa, wenn ich mich recht entsinne)

Firefuck

ich habe das Problem jetzt genau lokalisiert und es scheint mit Google zusammenzuhängen. das poste ich aber neu weil ich denke das hat andere Ursachen.

Vielen Dank an dieser Stelle schon mal für euere Hilfe !!!

Gruß Marcus

@Firefuck



Mich würde mal interessieren was du aus diesem HiJack-Logfile erkennen bzw. was du damit anfangen willst?
Es ist bedenklicher seine Telefonnummer ins Telefonbuch einzutragen als diese Logdatei zu posten.

Und Go!Zilla ist ein Downloadmanager und keine Spyware

MfG
b1n4ry0utl4w

Hallo ich nochmal,
besteht das Problem mit der falschen Google-Umleitung noch? Ich habe mal etwas recherchiert und habe herausgefunden, dass es sich hierbei um ein Rootkit handelt. Lade dir mal Blacklight herunter und lass den Scan durchlaufen. Falls er etwas findet poste die Einträge mal hier.

MfG
b1n4ry0utl4w

Hi!

>Mich würde mal interessieren was du aus diesem
>HiJack-Logfile erkennen bzw. was du damit anfangen willst?

Anfangen kann man damit garnichts. Ich zumindest! Aber surf
doch mal z.B. einfach mal dahin: http://www.xxxtoolbar.com/
Der Pager von bmwiese seht den Membern zu Verfügung. Alles
klar oder gibt es noch Fragen?

>Und Go!Zilla ist ein Downloadmanager und keine Spyware

Du kennst AD-Server, Webbugs und weißt was Alexa/Aureate
ist/war? Vor Jahren hat genau dieser Downloadmanager diese
Spyware mitinstalliert.

Firefuck

Und bei dieser URL mach Avast Alarm
http://www.xxxtoolbar.com/ist/softwares/v3.0/protect_regular.cab

Win32:Trojan-gen. {Other}