Problem mit Google: Trojaner?

[RPG Hacker]

Hallo Leute,
seit kurzem habe ich ein seltsames Problem und weiß nicht, was ich tun soll. Fast immer wenn ich in Google etwas suche und dann auf eines der Ergebnisse klicke, komme ich erstmal auf 4 oder 5 andere Seiten, bevor die eigentlich Seite geöffnet wird. Ja, ich weiß nicht wie ich's sonst beschreiben soll. Aber hier ein Beispiel: Ich gebe in Google "Grenzwerte" ein und die Ergebnisse werden ganz normal angezeigt. Sage ich mal das erste Ergebnis ist ein Link zu Wikipedia. Ich klicke drauf, komme auf einmal zu Ebay. Ich gehe zurück, klicke nochmal, komme zu Ask.com. Gehe zurück, klicke nochmal... Es kam sogar schonmal vor, da kam ich auf die Google Startseite. Ja und so geht das immer weiter. Erst nach dem 3. oder 4. Versuch komme ich dann auf die eigentliche Seite. Wenn ich allerdings erst mal Rechtsklick > Linkadresse kopieren mache und dann die URL in die Adressleiste einfüge, klappt alles wunderbar. Was meistens passiert: Wenn ich einen Link öffne, wird in der Adressleiste erstmal für ein paar Sekunden der richtig Link angezeigt. Dann erscheint ein "Lade" Symbol und in der Adressleiste ist eine seltsame IP-Adresse als Adresse angegeben. Dann komme ich auf irgendeine Seite.

Also ich benutze Mozilla Firfox. Ich weiß nicht ob das Problem auch bei anderen Browser auftritt (ich habe sonst noch IE und Google Chrome). Kann das aber auch nicht genau sagen, da es nunmal nicht immer passiert. Meistens passiert es gerade dann, wenn man es eigentlich erwartet nicht. Ich habe schon mein Antivir zwei Suchläufe machen lassen. Er hat nichts gefunden. Ich habe auch schon gedacht, dass es vielleicht ein Firefox Plugin ist. Aber das war's auch nicht. Ich hatte alle deaktiviert und bekam immer noch den selben Fehler. Und jetzt weiß ich wirklich nicht mehr rat.

Ich kann mir auch kaum vorstellen, woher das Problem gekommen sein kann. Naja, eine seltsame Sache in der Vergangenheit war da schon:
Ich wollte mir ein Programm runterladen. Mein Firefox hatte schon eine Virusmeldung gemacht. Ich hatte das aber leichtsinnig ignoriert und das Programm runtergeladen. Als ich das vermeindliche Programm installiert habe, bekam ich die Nachricht:"Thanks for installing Sunporn!". Ich war natürlich reichlich geschockt und habe das Programm schnell in der Systemsteuerung deinstalliert. Ich weiß aber nicht, ob es nicht in der kurzen Zeit schon einen Effekt auf meinen Computer gehabt hat oder nicht. Das wäre zumindest das einzige was mir jetzt einfallen würde. Ich hoffe ihr wisst vielleicht besser Bescheid.

Gruß

[Whiz-zarD]

Klingt so, als ob die hosts Datei geändert wurde und du auf eine Phishing-Seite weitergeleitet wirst, die exakt so aussieht, wie google.

Such mal nach einer Datei, namens "hosts" und öffne diese mit einem Texteditor und schau mal nach, was da drinnensteht.
Der einzige eintrag, der dort drinnenstehen sollte, wäre 127.0.0.1 localhost.
wenn dort weitere Einträge drinnen stehen sollten, dann mach erstmal nen Virenscan.
Die Änderungen werden durch ein Virus durchgeführt.

Falls du Avira als Virenscanner benutzt, lass dir das ne Lehre sein und hol dir was vernünftiges

[RPG Hacker]

Klingt so, als ob die hosts Datei geändert wurde und du auf eine Phishing-Seite weitergeleitet wirst, die exakt so aussieht, wie google.

Such mal nach einer Datei, namens "hosts" und öffne diese mit einem Texteditor und schau mal nach, was da drinnensteht.
Der einzige eintrag, der dort drinnenstehen sollte, wäre 127.0.0.1 localhost.

...

OK. Ich gucke mal danach. Danke für den Tipp. Aber wie gesagt: Es sind nichtmals Phishing-Seiten, sondern ganz normale gebräuchliche Websites (Ebay, Ask.com, sogar Google selbst). Und ich habe festegestellt, dass das Problem auch bei IE auftritt.

Die Änderungen werden durch ein Virus durchgeführt.

Falls du Avira als Virenscanner benutzt, lass dir das ne Lehre sein und hol dir was vernünftiges

...

Naja, wenn du einen guten, kostenlosen Virenscanner kennst, dann nur her damit . Ich habe noch von meinem ehemaligen EDV Lehrer McAffee. Den benutze ich aber nicht, weil der den Computer aufs übelste verlangsamt. Auf meinem alten Computer konnte ich absolut gar nichts machen während der lief. Naja, aber in Notfällen benutze ich den noch.

EDIT:
Also hier ist, was in meiner "hosts" drin steht:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

...

Was muss ich jetzt ändern (fals ich überhaupt etwas ändern muss)?

[Whiz-zarD]

Die Hosts Datei ist soweit in Ordnung.

Avast! ist ein recht guter, kostenloser Virenscanner.
Man muss sich dort lediglich registrieren und dann bekommt man ein Key für ein Jahr.
Aber ich würde dir empfehlen, mal 20 € für ein sehr guten Virenscanner zu investieren. z.B. Kaspersky.

Die Heuristiksuche von Avira ist nämlich alles andere als brauchbar.
Von daher ist er, auch wenn er kostenlos ist, nicht zu empfehlen, da er erst die Viren erkennt, wenn es schon lange zu spät ist.

Was noch bei deinem Problem in Frage kommen könnte, wäre ein Hijacker.
Tools, wie Ad-Ware oder HijackThis können die Hintergrundanwendungen analysieren und schauen, ob sich dort ein HiJacker verbirgt.
Du könntest auch unter start -> ausführen -> msconfig -> Systemstart
mal schauen, ob sich dort was verdächtiges aufhält.

[RPG Hacker]

Naja, daran habe ich auch schon gedacht. Wusste aber nicht, welches Programm das sein könnte.




Hmmm... Also jetzt wo ich das so sehe... Könnte das vielleicht GoogleUpdate.exe sein? Klingt sehr verdächtig.

[Arvan]

Nein, GoogleUpdate.exe ist vom neuen Browser "Google Chrome".

[RPG Hacker]

Hmmm... Aber was könnte es denn sonst sein? Das einzige was mir sonst noch unbekannt vorkommt ist "GrooveMonitor.exe". Aber das ist scheinbar von Microsoft Office. Von daher kommt das auch nicht in Frage... Irgendwer sonst eine Idee?

[Arvan]

Downloade mal a-squared Free und mach mal einen "Detail Scan"

http://download4.emsisoft.com/a2FreeSetup.exe

(Direktlink, weil ich nich a-squared Malware meinte, was irrtürmlicherweise oben steht)

[RPG Hacker]

Downloade mal a-squared Free und mach mal einen "Detail Scan"

http://download4.emsisoft.com/a2FreeSetup.exe

(Direktlink, weil ich nich a-squared Malware meinte, was irrtürmlicherweise oben steht)

...

Habe ich gemacht. Nach einem Schnelltest und nach einem Smart Scan tritt das Problem erstmal nicht auf. Allerdings habe ich ja gesagt, dass das Problem auch nicht immer auftritt. Und vielleicht ist gerade wieder ein solcher Fall. Ich muss einfach nochmal morgen gucken. Falls das Problem dann immer noch da ist, mache ich mal einen Komplettscan. Ansonsten mal gucken. Danke schonmal für deine Unterstützung.

[Sebbo]

HijackThis downloaden. Dann klickst du auf "Do a system scan and save logfile" Das Logfile postest du dann bitte hier in's Forum. Bitte aber Links deaktivieren. Nicht, dass noch jemand worauf klickt und sich etwas einfängt, falls dort etwas sein sollte.

[RPG Hacker]

HijackThis downloaden. Dann klickst du auf "Do a system scan and save logfile" Das Logfile postest du dann bitte hier in's Forum. Bitte aber Links deaktivieren. Nicht, dass noch jemand worauf klickt und sich etwas einfängt, falls dort etwas sein sollte.

...

OK. Habe ich mal gemacht. Aber vorsicht! Der verlinkt die URLs immer automatisch. Ich kann das nicht abstellen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:56, on 09.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
EWINDOWS\System32\smss.exe
EWINDOWS\system32\winlogon.exe
EWINDOWS\system32\services.exe
EWINDOWS\system32\lsass.exe
EWINDOWS\system32\svchost.exe
EWINDOWS\System32\svchost.exe
EWINDOWS\system32\spoolsv.exe
EWINDOWS\Explorer.EXE
DProgramme\Avira\AntiVir PersonalEdition Classic\sched.exe
EWINDOWS\Mixer.exe
DProgramme\a-squared Free\a2service.exe
DProgramme\Microsoft Office\Office12\GrooveMonitor.exe
DProgramme\Avira\AntiVir PersonalEdition Classic\avguard.exe
DProgramme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
EWINDOWS\system32\ctfmon.exe
EProgramme\avmwlanstick\WlanNetService.exe
EDokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
EWINDOWS\system32\svchost.exe
DProgramme\Kodak EasyShare software\bin\EasyShare.exe
DProgramme\Trillian\trillian.exe
EProgramme\avmwlanstick\WLanGUI.exe
DProgramme\Winamp\winamp.exe
DProgramme\Microsoft Office\Office12\WINWORD.EXE
DProgramme\Mozilla Firefox\firefox.exe
EProgramme\Movie Maker\moviemk.exe
DProgramme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ikarim.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - EProgramme\Gemeinsame Dateien\Adobe\Acrobat\ActiveAcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - DProgramme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - EProgramme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - EProgramme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [AVMWlanClient] EProgramme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [IMJPMIG8.1] "EWINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] EWINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] EWINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] EWINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "DProgramme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] EWINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "DProgramme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "DProgramme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "DProgramme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] EWINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "EDokumente und Einstellungen\Viktorius\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Trillian.lnk = DProgramme\Trillian\trillian.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = DProgramme\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://DPROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - EProgramme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - EProgramme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - EProgramme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - EProgramme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - DPROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - DPROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - DPROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - EWINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - EWINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - EProgramme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - EProgramme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F22F3C-F3AC-4701-95B1-E9C58C8A8632}: NameServer = 85.255.114.34,85.255.112.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.132
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.132
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - DProgramme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - DProgramme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - DProgramme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - DProgramme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - EProgramme\avmwlanstick\WlanNetService.exe

--
End of file - 7056 bytes

Ich hoffe ihr könnt mir jetzt helfen . Habe übrigens auch mit a² schon Full Scan probiert. Hat auch nichts gebracht! Fehler tritt noch immer auf. Eine weitere Eigenheit: Ich bekomme immer irgendwelche Pop Ups (auch mit IP-Adresse in der URL-Leiste).

[eoc]

Der verlinkt die URLs immer automatisch. Ich kann das nicht abstellen.

...

Hier unter den Posting-Einstellungen findet man sowas wie "Links automatisch umwandeln" oder ähnlich Lautendes. Bitte Haken raus, dann sollte es gehen (-,
Beispiel: http://www.example.com

[RPG Hacker]

Hier unter den Posting-Einstellungen findet man sowas wie "Links automatisch umwandeln" oder ähnlich Lautendes. Bitte Haken raus, dann sollte es gehen (-,
Beispiel: http://www.example.com

...

Danke für den Hinweis. Hab's verändert. Also, kann mir irgendjemand mit den zur Verfügung stehenden Informationen helfen?

[Arvan]

Kann hier ausgewertet werden:

http://www.hijackthis.de/de

[Sebbo]

Führ mal bitte folgendes aus, starte deinen Rechner neu und mach bitte ein neues Logfile.

http://www.ratschlag24.com/index.php...updateexe-wie/

Ich hab so kA wie ich die beiden googleupdate.exe-Einträge im Moment werten soll...

Die 3 Enträge weiter unten mit den 3 roten X vor dem Neustart bitte fixen, wenn die IP nicht bekannt ist.

[RPG Hacker]

Naja, GoogleUpdate ist mir erstmal egal. Ich weiß so ungefähr, was der macht. Aber die IP-Adressen kenne ich nicht.

85.255.114.34
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

Meine Postleitzahl fängt mit 5 an. Deswegen muss das ja schon von irgendwo im nirgendwo sein. Also werde ich das wohl entfernen. Aber das wäre meine nächste Frage: Wie mache ich das überhaupt? Wie kann ich so Einträge in der Registrierung verändern?

Und ich werde morgen auch mal eine neue Logfile machen wenn du meinst, dass es weiterhelfen könnte. Aber heute schaffe ich das zeitlich nicht mehr.

Danke schonmal für deine Hilfe.

[Sebbo]

Du musst nochmal HijackThis starten und nochmal scannen. Dann setzt du in die Kästchen vor den Einträgen einen Haken und klickst auf "Fix Checked".

[RPG Hacker]

OK. Hab's jetzt gemacht. Scheint wieder in Ordnung zu sein. Aber muss noch ein bisschen gucken. Fals immer noch Problem auftauchen sollten, schreibe ich das hier rein. Danke für eure Hilfe!

[RPG Hacker]

Hmmm... Also das Problem ist leider immer noch da.

Immer wenn ich die drei Einträge in HijackThis fixen will, kommt danach nur eine weiße Seite und nichts passiert. Ich kann nichts machen! Die Einträge sind danach auch immer noch da. Jemand eine Idee, was zu tun ist?

[Sebbo]

Systemwiederherstellung deaktivieren und nochmal probieren.

XP

Vista

Nochmal probieren, ansonsten im abgesicherten Modus probieren.