Mein Browser wurde (vermute ich) gehijacked

[jagy]

Irgendwie hab ich mir nen Virus oder nen Hijacker etc eingefangen.

Und das fiese und ominöse ist, weder Antivir, Search&Destroy, AdAware, FixBlast, HijackThis noch Stinger finden was bzw können das Problem beheben!

Weiß jemand was, ist da gerade was im Umlauf?

Wenn ich zB bei google was suche kommen ganz normal die Ergebnisse. Klicke ich dann aber auf eines der Ergebnisse, komme ich nicht auf die gewollte Seite, sondern es öffnet sich ein neuer Tab von jetzt zB gerade abcjmp.com oder http://www.myshovel.com/search.php?aid=86797&q=karlheinz%20deschner (eigentlich hätte deschner.info geöffnet werden sollen)

Außerdem funzen zB diverse tube-seiten nicht mehr richtig. Auch muss ich auf meinen morgendlichen Countdown mit Keith Olbermann verzichten, weil die Videos da zB überhaupt nicht mehr angezeigt werden. Die Maischberge Sendung mit Kardinal Lehmann online konnte ich aber wieder sehen.

Und neulich hatte ich es, dass er den PC ca 5 mal immer nach 45 sec runtergefahren hat (also wie bei diesem bekannten Virus-Ding).

Irgendwie bin ich ratlos... hat jemand nen Tip?
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!

[jagy]

Downloads funzen übrigens auch nicht mehr richtig.

Das Problem betrifft sowohl Firefox wie auch IE - Chrome kann ich schon gar nicht installieren (obwohl ich es aber schonmal konnte, es dann wegen der datenschutz-geschichte wieder runtergeschmissen habe)
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!

[DeHerg]

wenn kein Scanner anspringt:affengriff und dann im Taskmanager auf Prozesse gehen und manuell nach Auffälligkeiten suchen(zB wenn ein sehr kodierter Dateiname dabei(in der Windowssuche) zu Ordnern führt die erst kürzlich erstellt wurden)

[jagy]

vielleicht hilft der hijack-this log:


[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:11, on 14.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\Programme\PDFDrucker\PDFPrintBackend.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\Shared Files\CamTray.exe
C:\Programme\Hama\Common\RaUI.exe
f:\programme\boinc\boincmgr.exe
f:\programme\boinc\boinc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
f:\programme\Mozilla Firefox\firefox.exe
f:\programme\boinc\projects\setiathome.berkeley.edu\setiathome_6.03_windows_intelx86.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onegoodmove.org/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PDFPrint] "f:\Programme\PDFDrucker\PDFPrintBackend.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CamTray.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BOINC Manager.lnk = f:\programme\boinc\boincmgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = F:\programme\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\programme\ICQ6\ICQ.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe[code][/code]
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!

[299792458]

Malwarebytes' Anti-Malware installieren und Intensivsuche durchführen. Findet fast alles.
_________________
Society is like a stew. If you don’t stir it up every once in a while then a layer of scum floats to the top.

[jagy]

hat jemand das anti-malware vielleicht als installations-datei aufm rechner und könnte es mir per Mail schicken? Ich kann das nämlich nicht runterladen (vermutlich verhindert das der hijacker - konnte schon ad-aware nicht runterladen).

Ich wrüd dann per pm meine e-mail adresse schicken

perfekterweise die datei auch nicht mit dem orginalnamen, sondern mit irgendwas wie asdfjklöds.exe - hatte das nämlich früher auch schonmal, dass der trojaner sogar irgendwie das installieren der datei mit original-namen geblockt hatte
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!

[jagy]

anti-malware hat das Problem behoben - thx für den Tip!
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!