Hijacked - Google Ergebnisse werden umgeleitet

Dieses Thema im Forum "Sicherheit" wurde erstellt von Royal1976, 17. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    Ich habe folgendes Problem. Meine Google Suchergebnisse werden umgeleitet. Mit Hijack This habe ich einen Scan ausgeführt und folgendes gefunden...

    O17 - HKLM\System\CCS\Services\Tcpip\..\{1655152D-6927-424C-891C-CC14B2CE6716}: NameServer = 85.255.113.142,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{567A356C-BBE8-4DF7-84FF-2D6284E1E75C}: NameServer = 85.255.113.142,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F40B89-F0B3-4CFD-A7FA-21144FF2823F}: NameServer = 85.255.113.142,85.255.112.155
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1655152D-6927-424C-891C-CC14B2CE6716}: NameServer = 85.255.113.142,85.255.112.155
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1655152D-6927-424C-891C-CC14B2CE6716}: NameServer = 85.255.113.142,85.255.112.155

    Habe das natürlich gleich rausgeworfen... allerdings ging dann mein INET nicht mehr... d.h. meine Connection war tot... mein Wlan ging noch!

    Hab ichs also einen restore gemacht... Inet geht wieder aber mein Problem besteht weiterhin. In der Registrierung habe ich auch nachgesehen und auch die Eintäge gefunden.... Aber nun weiss ich nicht, wie ich diese Problem angehen kann...

    Spybot hat nix gefunden,....

    Symantec QHost scan hat auch nix gefunden,....

    Mit Antivir 6 habe ich ebenfalls nix gefunden.....

    Mit Hijackthis ebenfalls nur besagte Einträge....

    Was Tun? Jemand eine Idee? Kennt ihr ein FIX?

    Vielen Dank schonmal fürs lesen.... und auch für Vorschläge!

    Gruß Royal :bitte:
     
  2. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    poste mal einen Link zu deinem HijackThis Log wie hier beschrieben.
    Außerdem postest du noch ein Log von Silentrunners.
    Ev. kommst nicht daran vorbei nach dem fixen der Einträge (Umleitung deiner Anfragen auf Server in der Ukraine) deine Internetverbindung neu einrichten mußt.



    Grüße Wildone
     
  4. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25

    Anhänge:

  5. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Was ist C:\Programme\Remote Disconnection Utility\RDClient.exe
     
  6. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    Ist ein von mir installiertes Programm, damit ich meine Inetverbindung per Wlan vom Laptop aus verbinden, trennen kann.... Mein alter PC läuft als eine Art WLan server!

    Heisst remote disconnection Client/server! Gutes tool übrigens!
    Das ist sauber!
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hmm das hatte ich befürchtet, ich bin mir nicht ganz sicher ob ich davon heilen kann, ich werde es mal versuchen. Besorge dir killbox und lösche die Datei:
    C:\WINDOWS\system32\dmjrx.exe
    außerdem suchst du die Datei csfti.exe (wahrscheinlich auch im System32 Ordner) und löschst sie ebenfalls mit killbox (beide Dateien in einem Rutsch löschen, das ist wichtig!). Dannach bootest du dein System abermalig neu und postest ein neues Log von Silentrunners und von F-Secure Blacklight (wird nach dem Scan automatisch im selben Ordner erstellt fsbl***.txt).


    Grüße Jasager
     
  8. RaBerti1

    RaBerti1 Viertel Gigabyte

    Registriert seit:
    24. November 2000
    Beiträge:
    5.094
    Wieso Ukraine?
    Wo hast Du die IPs gecheckt?

    MfG Raberti
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
  10. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    Beide Datein nicht gefunden.d.h. anscheinend befinden diese sich nicht mehr auf der Platte....
    habe die Suche mehrmals durchlaufen lassen, und system und System32 manuel noch durchforstet!
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    nein das heißt nicht das sie nicht auf der Platte sind das heißt das sie vor dem Windowszugriff getarnt werden. Poste mal das Log von F-Secure Blacklight.
    Ich möchte gleich darauf hinweisen das ein Neuaufsetzen die sicherste Maßnahme ist um das was du dir eingefangen hast zu beseitigen. Ich frickle gerne weiter an deinem System herum, aber letztendlich bist du derjenige der das Risiko trägt dasd ich etas übersehe.


    Grüße Jasager
     
  12. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    das FSECURE lade ich mir heute Abend runter, hab nur isdn, und das file is bisl größer!

    Was meinst du zu dieser Hostgeschichte ....Kann ich die nicht manuell zurücksetzen? d.h. diese einträge beseitigen oder ersetzen?
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hat keinen Wert das jetzt zu machen, der Eintrag würde sofort von den bei dir aktiven Dateien wieder hergestellt.
    Ähh, Blacklight ist doch nur 600kb groß, das sollte selbst mit ISDN recht zügig gehen.


    Grüße Jasager
     
  14. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    den rootkit eliminator?
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    verstehe die Frage nicht, hier noch mal der Link zum Direktdownload von F-Secure Blacklight (und ja das ist ein Rootkit detector).


    Grüße Jasager
     
  16. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    Etliches gefunden
     

    Anhänge:

  17. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    und was mache ich jetzt damit?
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also man kann das was du hast entfernen, aber ob dabei alles erwischt wird ist gerade bei Rootkits fraglich. Ich rate dir dein System neu aufzusetzen, wenn du gegen meinen Rat weiter machen willst laß es mich wissen dann schaue ich was ich machen kann.


    Grüße Jasager
     
  19. Royal1976

    Royal1976 Byte

    Registriert seit:
    17. Februar 2006
    Beiträge:
    25
    entfernen wie? da is ne funktion dabie mit " rename" Bei dem blacklight dingens....
     
  20. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das sage ich dir dann wenn es soweit ist. Du machst dir jetzt erstmal Gedanken ob du das Risiko eingehen willst, ich würde es nicht machen, aber es ist deine Entscheidung. Und wenn was entscheidendes übrig bleibt ist es möglich das du weiter bei deinen Seitenanfragen unbemerkt umgeleitet wirst ev. auch bei Ebay oder Onlinebanking, das solltest du bedenken.



    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen