Brauche Hilfe mit Malware oder so was ähnlichem

[johndoe864360]

Hallo

ich habe ein Problem seid gut einer Woche öffent sich nach einer Suche bei google eine sehr gut gefakte Seite mit Such-Ergebnissen geht man dort z.B. auf 4-Players wird man zu Bigpoint oder ählichen Seiten umgeleiet. Erst nach einer Aktualiserung der Zeit komme man auf des "echte" Such-Ergebniss. Dies tritt auch bei der Suche nach anderen "großen" Seiten (Gamestar, Ebay ...) auf. ich habe schon alles probiert: CCleaner, Antivir, Malewarebytes ...

Ich würde mich über Hilfe sehr freuen und bedanke mich bei allen Antworten im Vorraus.

Das könnte helfen:
HiJackThis Protokoll:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:44:39, on 03.05.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16766)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\avmwlanstick\FRITZWLanMini.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [DivX Download Manager] "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\Windows\System32\StkASv2K.exe

--
End of file - 7496 bytes

P.S.: Eine Fromatierung der Festplatt möche ich eigentlich nur ungern durchführen!

[Ugly Old Hurgs]

Schuß ins Blaue, aber poste doch mal den Inhalt der hosts-Datei
C:\Windows\System32\drivers\etc\hosts
Vielleicht ist da was faul.

[johndoe864360]

Danke für die Hilfe. Hier das ist der Inhalt der Datei.

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

127.0.0.1 static3.cdn.ubi.com
127.0.0.1 ubisoft-orbit.s3.amazonaws.com
127.0.0.1 onlineconfigservice.ubi.com
127.0.0.1 orbitservice.ubi.com
127.0.0.1 ubisoft-orbit-savegames.s3.amazonaws.com127.0.0.1 activate.adobe.com

[Levi]

Danke für die Hilfe. Hier das ist der Inhalt der Datei.

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

127.0.0.1 static3.cdn.ubi.com
127.0.0.1 ubisoft-orbit.s3.amazonaws.com
127.0.0.1 onlineconfigservice.ubi.com
127.0.0.1 orbitservice.ubi.com
127.0.0.1 ubisoft-orbit-savegames.s3.amazonaws.com127.0.0.1 activate.adobe.com

sry für kurzes offtopic: aber schon immer interessant, wieviel ein das host-File über den User verrät

aber zumindest dein Hostfile ist nicht für dein aktuelles Problem schuld

ist womöglich ein Proxy in deinen Browser eingetragen?


PS: solltest du in zukunft Probleme mit legal-erworbenen UBI-Spielen haben, mach nicht ubi für Verantwortlich

[johndoe864360]

Auflehnung gegen den Online-Zwang

Wie kriege ich das mit dem Proxy raus?

PS.: Firefox vor ... !

[Levi]

(bearbeite oder extras) -> Einstellungen -> erweitert -> Netzwerk-> einstellungen ... dort sollte er "direkt" ins inet gehen ...

[johndoe864360]

Nö der Punkt ist auf "Kein Proxy", aber danke für die Hilfe. Wenn einer noch ne Idee melden weil das Problem echt nervt.

[Levi]

ne idee wäre noch, nen falsch eingetragener DNS ... ich weiß gerade nicht, wo du diese einstellungen findest ... aber zumindest können wir fix prüfen, obs das ist:


command aufmachen

ping google.de
-> 209.85.149.103
ping www.google.de
-> 209.85.149.104

vergleich mal die beiden ips, ob er sie richtig auflöst.

... da wir die hosts-File auschließen können (wo zuerst nach namensauflösung gesucht wird) bleibt danach eigentlich nur noch ein böser DNS-Server ..

[johndoe864360]

Habe denn ping für beide Adressen mehr mals eingeben und bei google.de kam immer die die von dir angegebene IP aber für www.google.de kam das:

C:\Users\*Muss du nicht wissen*> ping www.google.de

Ping wird ausgeführt für www.l.google.com [209.85.149.103] mit 32 Bytes Daten:
Antwort von 209.85.149.103: Bytes=32 Zeit=59ms TTL=57
Antwort von 209.85.149.103: Bytes=32 Zeit=59ms TTL=57
Antwort von 209.85.149.103: Bytes=32 Zeit=57ms TTL=57
Antwort von 209.85.149.103: Bytes=32 Zeit=58ms TTL=57

Ping-Statistik für 209.85.149.103:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 57ms, Maximum = 59ms, Mittelwert = 58ms

C:\Users\*Muss du nicht wissen*> ping www.google.de

Ping wird ausgeführt für www.l.google.com [209.85.149.99] mit 32 Bytes Daten:
Antwort von 209.85.149.99: Bytes=32 Zeit=57ms TTL=57
Antwort von 209.85.149.99: Bytes=32 Zeit=59ms TTL=57
Antwort von 209.85.149.99: Bytes=32 Zeit=58ms TTL=57
Antwort von 209.85.149.99: Bytes=32 Zeit=60ms TTL=57

Ping-Statistik für 209.85.149.99:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 57ms, Maximum = 60ms, Mittelwert = 58ms

[Ugly Old Hurgs]

Ok, dann scheint das Problem auf den Firefox begrenzt zu sein.
Probier mal 2 Sachen:

1. Wenn du einen anderen Browser (z.B IE) auf dem System hast, schau ob es damit geht.

2. Schau in deinen Firefox Addons und PlugIns nach, ob sich da was eingeschlichen hat.

[johndoe864360]

Nein das Problem besteht auf allen Browser und hat meiner Meinung nach nichts mit einen Plugin zu tuhen (hab das trotzdem nochmal gecheckt). Wäre nett wenn mir jmd. sagen könnte ob die IP auf einen falschen DNS Sever hinweist und wie man das behebt. Ach da ist noch was: Habe heraus gefunden das man bei direkt Eingange der Adresse (also im Browser) auch falsch verlink wird und Außerdem bekommt man das echte Suchergenis wenn auf das Ergebnis über "Eine Seite Vor" bzw. "zurück" geht.

[Sylence]

Was ist denn dein DNS Server?
Also was sagt
ipconfig /all
?

[HanFred]

O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)

Fixen. Sieht irgendwie nur nach Überbleibsel aus, ich würd's aber wie gesagt per HijackThis fixen.

[dcc]

Schau bei deiner Netzwerkkarte deine TCP/IP Daten an, besonders den DNS Kram. Bin mir ziemlich sicher, dass die Malware dort etwas eingetragen hat.

Wenns nix hilft, start -> msconfig -> alle autostart Sachen weghaken, restart.
Wenn dies auch nix hilft, schau dir deine Windows Dienste an, evntl. hat die Malware sich dort eingenistet.

An deiner Stell würde ich lieber formatieren, man weis ja nie.

[HanFred]

Mittlerweile habe ich gelesen, dass HijackThis nicht mehr auf der Höhe der Zeit sei, man solle stattdessen u.a. Malwarebytes benutzen.
http://www.trojaner-board.de/97473-scha ... post640644

Überhaupt ist das Forum eine sehr gute Anlaufstelle für derartige Probleme.