Suchseiten werden umgeleitet. Auch noch nach Windows Neuinstallation

Jan-Frederik Stieler

Monsterator
Moderator
Hi,
ich habe in richtig nervendeds Problem welches ich grad gar nicht gebrauchen kann.
Und zwar werden alle meine Anfragen an Suchmaschinen umgeleitet. Also in Google und MSN bzw. Yahoo werden noch Ergebnisse angezeigt aber sobald ich einen eintrag anzeige wird über fresh-weather.com auf Ebay weitergeleitet. Wenn ich versuche die Windows Updateseite aufzurufen dann wird Google aufgerufen.
Und das alle noch obwohl ich die Partition mit Windows gelöscht und Windows neu installiert habe ist das noch vorhanden. Also gehe ich davon aus das sich das auf irgend einer meiner anderen Partitionen befindet. Nur kann ich die nicht formatieren da ich da Daten drauf habe die nicht gelöscht werden dürfen.
Ich bin nun mit meinem Latein echt am Ende. Ich hab euch mal ein Hijackthis Log erstellt. Ich denke das mit dem Nameserver ist daran schuld.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:11:20, on 13.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wpabaln.exe
D:\Programme\Mozilla Firefox3\firefox.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2642BC92-0912-41A8-8FDD-253C136076FB}: NameServer = 85.255.112.139,85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.139,85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.139,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.139,85.255.112.136

--
End of file - 1569 bytes

Hoffe mir kann noch jemand helfen!

Viele Grüße
 
Ich schätze Trojaner :
Die 017-Einträge am Ende müssten der Fehler sein, da wurden fixe DNS-Einträge gemacht.

Such mal nach 85.255.112.139, da wirst Du fündig.
zB http://www.spywareinfoforum.com/lofiversion/index.php/t113883.html

mfg chmee

p.s.: die 09-Einträge kannst Du auch löschen :D Und bitte nimm einen anderen Browser, IE6 ist etwa 8 Jahre alt (SP2 etwa 5 Jahre alt) und ein Magnet und Einfallstor. Zudem solltest Du mit Deinem Rechner nicht online gehen, solange nicht alle SPs und Patches installiert sind. Gibt genug Viren/Trojaner, die sofort bei Dir sind.

p.p.s.: Würde Dir empfehlen, den Rechner nochmal neu aufzusetzen und vor dem Onlinegehen SP3 und aktuelle Patches zu installieren, gleichermaßen einen alternativen Browser zu installieren und den als Standardbrwoser einzurichten ( FF oder Safari ).

Offline Update - http://www.heise.de/software/download/special/ct_offline_update/8_1
 
Hi,
nur mal so am Rande :). Ich Surf normalerweise reht sicher heißt FF3 mit Antivierensoftware die auch Webseiten untersucht und Script blocker etc. Das ich mir das jetzt eingefangen habe war meine eigene Schuld.
Den IE verwende ich eigentlich nur gleich nach dem Aufsetzten um eben an die Windowsupdates ranzukommen. Aber ich sollte mir wirklich mal ein SP3 auf DVD sichern.
Was mich aber etwas stutzig macht ist das der Rechner sofort nach dem Neuaufsetzen wieder die Umleitungen drin hatte.

Werd dann erstmal das von deinen Links ausprobieren. Ich meld mich dannach nochmal.

Viele Grüße
 
Es gibt zu Genüge Bots/Trojaner, die darauf warten, einen ungepatchten Rechner im Netz zu finden und ihn mit dem eigenen Gewissen zu beseelen. Nie mit einem ungepatchten Windows ins Netz!

Achja, testweise kannst Du mit Deinem noch infizierten System Folgendes ausprobieren : LSPfix runterladen, danach mit Hijackthis die 017er Einträge löschen, danach LSPFix starten und die Zuweisungen geradebiegen.

http://www.cexx.org/lspfix.htm

mfg chmee
 
Es gibt zu Genüge Bots/Trojaner, die darauf warten, einen ungepatchten Rechner im Netz zu finden und ihn mit dem eigenen Gewissen zu beseelen. Nie mit einem ungepatchten Windows ins Netz!

Was bei einer jungfräulichen Installation von Windows recht schwer werden könnte. Und tatsächlich hat XP mit SP2 noch genügend Lücken um schon nach wenigen Minuten im Netz kompromittiert zu werden. Abhilfe sollte hier das Beschaffen von SP3 über ein gepatchtes System bzw. Alternativsystem schaffen.
 
Alternativ zum festinstalliertem Virenscanner, kannst es auch mal mit nanoscan versuchen. Ist allerdings ein dezentraler Virenscanner im Internet von PandaSoft, und ohne Lizenz musst du den Wurm eigenhändig entfernen, es wird dir nur der Ort preisgegeben.
 
Hi,
also ich habe diese Einträge jetzt mit "Fixwareout" aus meinem System rausbekommen.
Nur die Sache mit den Updates ist halt so ne Sache. Da muß ich dann warten bis ich Anfang nächste Woche bei meinen Eltern war, weil hier habe ich keinen Zugriff auf einen anderen Windows Rechner mit Internetzugang. Hab sonst nur zu Apfeltaschen nen Zugang.

Vielen Dank erstmal an Alle und viele Grüße

[EDIT] Hab jetzt das ganze System nochmal neu aufgezogen. War wohl das beste.

Viele Grüße
 
Zuletzt bearbeitet:
Zurück