av70
Goto Top

Bin ich bzw. mein PC infiziert, komme automatisch immer auf komische seiten

Irgendwie bin ich nachdem mein Fingerprint bei Onlinebanking nicht mehr passt auf schräge gedanke gekommen und habe nun Angst vor internetattacken in irgendeiner form

Seit kurzem, komme ich nach eingabe von derr Adresse automatisch auf irgendwelche komischen sexseiten!
mir ist aufgefallen dass wenn ich im Explorer auf extras / optionen /sicherheit auf die höchste stufe gehe passiert es nicht.
allerdings ist das surfen mit dieser hohen stufe unbequem und vor einigen monaten hatte ich auch trotz der mittleren einstellung kein problem.

ich vermute mir irgeneine seuche eingefangen zu haben aber trotz scannen mit avg free edition virenscanner bekomme ich das problem nicht in griff.
vor einer stunde habe ich sogar schon an meine hausbank geschrieben weil der fingerprint plötzlich nicht mehr passt.
folgende fragen habe ich :
- was ist da eventuell passiert?
- ist das schlimm, was hat das für folgen?
- wie gekomme ich das definitiv weg?
dankge
Gruß
Vito

Content-Key: 42531

Url: https://administrator.de/contentid/42531

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: Supaman
Supaman 19.10.2006 um 00:14:53 Uhr
Goto Top
von cd booten, system-platte neu formatieren, dann liegst du auf der siecheren seite.
Mitglied: meinereiner
meinereiner 19.10.2006 um 00:24:54 Uhr
Goto Top
vielleicht hilft dir das ja weiter:
http://www.heise.de/security/artikel/49167
Mitglied: Midivirus
Midivirus 19.10.2006 um 01:10:58 Uhr
Goto Top
avg free
edition virenscanner bekomme ich das problem
nicht in griff.

Das ist ja auch ein Freeware - Tool und läuft und findet nicht zu 100%!!!

Also wenn du wirklich was finden möchtest, solltest du schon gekaufte Software vorziehen!!!

Bullgard, Kaspersky, (Norton)

greetz,
Midivirus
Mitglied: filippg
filippg 19.10.2006 um 01:33:08 Uhr
Goto Top
Das ist ja auch ein Freeware - Tool und
läuft und findet nicht zu 100%!!!

Also wenn du wirklich was finden
möchtest, solltest du schon gekaufte
Software vorziehen!!!
Den darin implizierten Schluss, dass kostenpflichtige Virenscanner alles finden und automatisch besser sind als kostenfreie, finde ich nicht so ganz zwingend.
Tatsächlich findet wohl kein Virenscanner alles. Probier vielleicht einfach mal einen zweiten (kann auch kostenlos sein).

Bei den geäusserten Symptomen würde ich auch mal zu einem Anti-Spyware Produkt, z.B. Spybot Search & Destroy raten. Und zum Umgehen der Symptome könntest du mal Firefox testen (ist aber keine wirkliche Lösung).

System neu aufsetzen ist natürlich die effektivste Lösung, aber nicht unbedingt die effizienteste.

Ein Zusammenhang mit einem Fingerabdruck beim Onlinebanking würde ich eher für unwahrscheinlich halten: Onlinebanking mit Fingerabdruck ist so unüblich, dass nur die wenigsten Angriffe dafür eingerichtet sind.

Filipp
Mitglied: 8644
8644 19.10.2006 um 07:24:59 Uhr
Goto Top
Moin,

wie gehst du denn ins Internet? Klingt so, als hättest du dir einen Dialer oder so was gefangen. Falls ja, siehst du das spätestens auf der nächsten Telefonrechnung!
Also check mal deine DFÜ-Verbindungen.

Psycho
Mitglied: Mitchell
Mitchell 19.10.2006 um 07:57:53 Uhr
Goto Top
Nicht, wenn er DSL hat face-smile

Hatte auch öfters diese Probleme. Egal, was man eingibt, man wird direkt an eine xxx Seite weitergeleitet oder wenigstens an eine, die was ähnliches beinhaltet. Es gibt hierfür einen Regkey, den kann ich dir aber erst sagen, wenn ich zu Hause nachsehen kann. Aber vielleicht weiss ihn jemand hier auswendig, auf jedenfall steht in dem Key, wie er mit der Adresszeile umgehen soll.

Zu aller erst würde ich gucken, welche Seite als "Standartseite" definiert ist. Dann, wie schon meine Vorredner alle sagten, gutes (*gg*) Antivirenprogramm (ich empfehle da immer gerne "Antivir", ist kostenlos) drüber laufen lassen.

Kennst du dich mit Windows und seinen Dateien ein wenig aus? Wenn ja, check doch mal im Taskmanager alle laufenden Prozesse. Die, die dort nichts zu suchen haben wirfst du raus und löschst die .exe Datei, wenn du dir sicher bist, dass sie nicht dort sein sollte. Einfach in die Suche gehen, dort die "versteckten" und die "Systemdateien" mit einbeziehen, denn die Mistviecher sind meistens im Windowsordner, System, System32.
Auch die Run-Einträge in der Registry checken. Das alles am besten im abgesicherten Modus, so werden manche (Drecks)dateien nicht geladen.

Bei mir funktioiert auch immer gut die Systemwiederherstellung bei solchen Sachen, wie Hijacking.

Mfg

Mitchell

PS: supaman hat recht, formatieren ist natürlich die effektivste Art, sowas loszuwerden face-smile
Mitglied: 27119
27119 19.10.2006 um 08:40:04 Uhr
Goto Top
Das was passiert ist wird "Browser Hijacking" genannt.
Mach mal nen Online Scan bei www.symantec.de.Klicke auf "Security Check" und mach nen Online Viruscheck.
Der entfernt zwar nicht die Schädlinge, zeigt aber den Pfad an, welche Dateien infiziert sind.
Diese Pfade kannst du mit alt+druck als Screenshot speichern.
Dann mit F8 neu starten (abgesicherter Modus) und die Dateien aus dem Screenshot manuell löschen. Dann dürfte der Spuk vorbei sein.
Falls nicht, geht neu installieren oft schneller. Vorher quasi alle wichtigen Daten sichern.
Anschliessend wenn neu installiert und alle Programme installiert sind, gleich ein Acronis Image machen, dann kannst du zukünftig schnell ein funktionierendes Windows widerherstellen, wenn mal wieder was ist.
Mitglied: Marco2910
Marco2910 19.10.2006 um 11:04:56 Uhr
Goto Top
Versuchs mal mit Adware (http://www.lavasoft.de/products/ad-aware_se_personal.php)
Hier die Software Ad-Aware SE Personal (freeware) herunterladen, und die aktuellen Refs. Dann den Rechner scannen. Hat schon des öfteren bei mir funktioniert.
Für den Privaten Gebrauch ist Ad-Ware SE Personal kostenlos.

Gruß
Mitglied: 27119
27119 19.10.2006 um 11:45:22 Uhr
Goto Top
Mitglied: gnarff
gnarff 19.10.2006 um 15:09:36 Uhr
Goto Top
hallo!
zu deinen fragen:
1. du hast dir einen hijacker eingefangen
2. ja, das ist schlimm, denn du kannst bald ueberhaupt nicht mehr surfen
3. du bekommst das definitiv weg, indem du den hijacker loeschst;

das tust du am komfortabelsten mit hijack-this, einem tool, mit dem man seinen rechner auf derartige schaedlinge scannen kann - und sie damit auch entfernt.

poste mir das hijack-this scanlog, wenn du willst;
und ich sag dir welche eintraege du loeschen musst...
download unter:

http://www.hijackthis.de

saludos
gnarff
Mitglied: AV70
AV70 27.10.2006 um 23:03:02 Uhr
Goto Top
Komme leider absolut nicht weiter brauche deine hilfe, bitte
hier mein log file:
Logfile of HijackThis v1.99.1
Scan saved at 23:02:45, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Vito\LOKALE~1\Temp\Rar$EX00.147\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinPatrol] D:\Programme\winpatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint Drucken - res:C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res:
C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res:C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res:
C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

Danke
gruß
vito
Mitglied: 27119
27119 28.10.2006 um 10:11:12 Uhr
Goto Top
Tja, jetzt wo es passiert ist kann man freilich fummeln bis der Arzt kommt.
Daher - wie immer an dieser STelle - den Tip, vom FUNKTIONIERENDEN SAUBEREN System ein Acronis Image zu machen. Das kann man dann ruckzuck wiederherstellen, wenn ein Fall wie dieser wieder mal eintritt. Wer heute noch Windows ohne Image Tool betreibt, muss sich nicht wundern, wenn er jedes Jahr 1-2 mal neu installieren muss...

Ja, das löst nicht dein akutes Problem, aber vielleicht die Probleme der nächsten 5 Jahre. face-wink
Mitglied: gnarff
gnarff 28.10.2006 um 12:18:41 Uhr
Goto Top
guten morgen aus costa rica!
@27119
der arzt ist da
@AV70
ich schau mir das nach dem fruehstuck an...
saludos
gnarff
Mitglied: Mitchell
Mitchell 28.10.2006 um 12:38:06 Uhr
Goto Top
Hi AV70,

ich für meinen Teil kann aus deinem Log nichts bösartiges erkennen, aber vielleicht sieht gnarff ja mehr.

Kannst du bitte mal deine Prozesse posten? Gib am Dos Prompt (Start>Ausführen>cmd) folgendes ein:

tasklist>tasklist.txt

Die tasklist wird dorthin gespeichert, wo du dich in dem moment befindest (meist "C:/Dokumente und Einstellungen/DeinKonto"). Öffne die Tasklist und poste den Inhalt.

Mfg

Mitchell

PS: Für dein Log gibt es auch ne extra Seite, wo du es schonmal grob checken lassen kannst. http://www.hijackthis.de
Mitglied: 27119
27119 28.10.2006 um 12:42:19 Uhr
Goto Top
@27119
der arzt ist da

Na, hoffentlich! Muhaha.
Ich nenne das Hilfe zur Selbsthilfe.
Wenn man den Leuten sagt "Gugg mal in Verzeichnis XY und lösche Datei xx" dann löst das vielleicht akut das Problem, in 5 Wochen sind sie aber wieder da und fragen das selbe.
Mitglied: gnarff
gnarff 28.10.2006 um 21:42:58 Uhr
Goto Top
hallo av70!

eintrag:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
-loeschen

ansonsten hoert sich das prob mit dem redirect auf pornoseiten nach einem schaedling aus der trojan.js/seeker familie an. den gibt es schon seit 2003.
den bekommst du auf jeden fall mit dem bitdefender-onlinescanner weg:
http://www.bitdefender.de/scan8/ie.html

die idee von mitchell, sich den prozessen zuzuwenden, finde ich gut, nur wenn sie versteckt laufen, werden sie so nicht angezeigt.
besser den rootkit hookanalyzer von resplendence runterladen und ausfuehren.
http://www.resplendence.com/hookanalyzer

das avg free nichts taugt, ist kein geheimnis, aber du scheinst ja wohl noch ein av-produkt von symantec installiert zu haben, warum der das nicht gefunden hatte ist mir ein raetsel.
immerhin bekomt man eine stattliche menge an exploits und andere scripte auf den rechner geladen.

wie sowas funktioniert, kannst du uebrigends hier nachlesen:
http://www.heise.de/security/artikel/49687
http://www.heise.de/security/artikel/50377/1

versuch einmal die seiten zu speichern..;)

saludos
gnarff
Mitglied: 27119
27119 28.10.2006 um 21:47:57 Uhr
Goto Top
Ich kenne ettliche Admins die privat AVG free benutzen - glaube nicht dass die alle keine Ahnung haben.
Jedem Antiviren System kann etwas entgehen - da gibts unter den Herstellern keine Ausnahmen.
Zusätzlich zu AVG kann man auch online einen kostenlosen Check bei www.symantec.de unter "Security Check" machen um sich eventuell infizierte Dateien anzeigen zu lassen, und diese dann im abgesicherten Modus zu löschen.

Bei Einsatz einer Image Software wie Acronis sind solche Vorfälle jedoch eh Wurst - da schreibt man einfach das Image zurück und der Käse ist gegessen. Ich halte mich schon seit Jahren nicht mit Fehlersuche auf, wenn mal was nicht geht. Image wiederherstellen und das System läuft wieder. Hab weder Lust noch Zeit mich mit Fummelorgien zu beschäftigen. face-wink
Mitglied: gnarff
gnarff 28.10.2006 um 22:08:18 Uhr
Goto Top
ich fummel gerne ;)
Mitglied: 27119
27119 28.10.2006 um 22:08:49 Uhr
Goto Top
ich fummel gerne ;)

ich auch - an meiner Frau! face-wink
Mitglied: ichbin
ichbin 07.11.2006 um 21:36:48 Uhr
Goto Top
Hi Am besten kannst Du Mitgleid der Web.de werden. Dort ist McAfee viren Scanner. Du kannst sogar den Angriffe verfolgen. Schön an die Sache ist, wenn du Mitglieder bist du hast I.Jahr lange keine Kosten. Nach 1.Jahr mußtest nur noch 0,99 Cent bezahlen. Desweitern der du hast ein Spamkiller sowie Personal Firewall.