google über IE & taskmanager manipuliert - ursache?

Dieses Thema im Forum "Sicherheit" wurde erstellt von chr25, 12. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. chr25

    chr25 ROM

    Registriert seit:
    12. April 2006
    Beiträge:
    2
    Folgendes Problem:
    Bei Benutzen von google mit MS Internetexplorer werden zwar die richtigen links angezeigt, beim anklicken aber andere seiten geladen (z.B. ebay-ergebnisse, adultfriendfind usw usf).

    Gleichzeitig ist folgendes Problem aufgetreten: Der Taskmanager von Windows zeigt keine laufenden Prozesse an, ausser denen, die nach Anzeigen/Aktivieren des Taskmanagers (Alt+Strg+Entf) gestartet wurden und es fehlt die obere Menuleiste u.a. mit dem X zum Schliessen.

    ad-aware, spybot und antivir (regelmässig benutzt und ge-updated) haben nicht zur problemlösung beitragen können.

    aktuelle versuche mit a2-hijackfree, spywareblaster usw haben mich auch noch nicht schlauer gemacht.:aua:

    Was kann es sein? Wie finde ich es heraus?
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo chr25

    Schon HijackThis ausprobiert? Könntest du mal einen Screenshot vom Taskmanager machen?

    :danke:

    Gruß
    Nevok
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    und zusätzlich kannst du gleich noch einen Scan mit F-Secure Blacklight machen und das Log posten (wird automatisch im selben Pfad erstellt, fsbl**.txt)


    Grüße Jasager
     
  4. chr25

    chr25 ROM

    Registriert seit:
    12. April 2006
    Beiträge:
    2
    Hallo,

    hijackthis erbringt folgendes:
    http://www.hijackthis.de/logfiles/3d1023d0885dbc1f402811434edb62e5.html

    wenn darin mit (!) markierte datei dmius.exe geprüft wird mit http://virusscan.jotti.org/ identifizieren die scanner adware.newdotnet.a oder ähnliches (nicht alle mit dem gleichen ergebnis)

    newdotnet wird auf der seite von zB symantec als vglws. wenig schaden-anrichtend beschrieben und ein säuberungsprogramm angeboten - die dort angegebenen verzeichnisse finden sich allerdings auf meinem rechner nicht, zweifelhaft also, ob dieses säuberungsprogramm greift?! noch nicht ausprobiert.

    auch das problem mit dem taskmanager wird dort nicht erwähnt.

    überwachungsprogramm win-pooch meldet regelmäßig:
    der folgende prozess
    C:\WINDOWS\Explorer.EXE (1168)
    versucht folgende aktion durchzuführen
    eg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dmddw.exe)
    dmddw ist mal dmius.exe oder dmhaa.exe usw.

    als dmmddw taucht es zum zeitpunkt des blacklight log auf:04/12/06 16:03:42 [Info]: BlackLight Engine 1.0.35 initialized
    04/12/06 16:03:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    04/12/06 16:03:42 [Note]: 7019 4
    04/12/06 16:03:42 [Note]: 7005 0
    04/12/06 16:03:48 [Note]: 7006 0
    04/12/06 16:03:48 [Note]: 7011 1168
    04/12/06 16:03:48 [Note]: 7026 0
    04/12/06 16:03:49 [Note]: 7026 0
    04/12/06 16:03:49 [Note]: FSRAW library version 1.7.1015
    04/12/06 16:04:52 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
    04/12/06 16:04:52 [Note]: 10002 1
    04/12/06 16:05:04 [Info]: Hidden file: C:\WINDOWS\system32\cshrn.exe
    04/12/06 16:05:04 [Note]: 7002 32
    04/12/06 16:05:04 [Note]: 7003 1
    04/12/06 16:05:04 [Note]: 10002 1
    04/12/06 16:05:05 [Info]: Hidden file: C:\WINDOWS\system32\dmddw.exe
    04/12/06 16:05:05 [Note]: 7002 32
    04/12/06 16:05:05 [Note]: 7003 1
    04/12/06 16:05:05 [Note]: 10002 1
    04/12/06 16:05:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
    04/12/06 16:05:06 [Note]: 10002 1
    04/12/06 16:05:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
    04/12/06 16:05:17 [Note]: 10002 1
    04/12/06 16:06:44 [Note]: 7007 0

    was nun?:confused:

    gruss chr25

    ps: als anhang den screenshot vom aktuellen auftritt des taskmanagers
     

    Anhänge:

    • $wtm.jpg
      $wtm.jpg
      Dateigröße:
      16 KB
      Aufrufe:
      25
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also, wenn du auf Nummer sicher gehen willst solltest du das System neu aufsetzen, weil der Trojaner zumindest Rootkittechnologie verwendet, und diese kann sich sehr tief in das System eingraben. Wenn man etwas beim beseitigen übersieht ist es auch möglich das mal deine Ebay Daten oder Onlinebanking über einen Server in der Ukraine umgeleitet werden. Im Moment ist das zumindest der Fall.

    Hier mal eine anleitung wie du beim Neuaufsetzen und anschließenden Absichern vorgehen solltest.

    Falls du doch, engegen meinem Ratschlag, rumfrickeln willst meldest du dich nochmal.
    Das ganze ist übrigens nicht New.net sondern wird eher als Wareout bezeichnet.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen