Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Browser öffnet andere Seiten

N

Nanni

Herzlich willkommen
Hallo zusammen,

nach langem vergeblichem Suchen versuche ich es hier, in der Hoffnung meinen Rechner nicht neu machen zu müssen.

Wie der Titel schon sagt möcht ich in Google was suchen bzw die Seiten öffnen kommen immer andere Seiten.

Anbei schonmal der Logfile von Hijack:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:03:34, on 06.05.2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
J:\Finger weg\Download\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Nanni\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6524 bytes

Schonmal vielen Dank

LG Nanni
 
Anzeige
Hallo Nanni, herzlich willkommen:).

Diesen da, unbedingt fixen
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
und: Du hast TuneUp-Utilities drauf, nunja, das könnte n fettes Problem werden:(, denn, wenn das unbedacht angewendet wird, sind Probleme, bis hin zum Totalausfall möglich:(, vor Allem kritisch ist die "One-Klick"-Optimierung (besser gesagt: mit einem Klick, alles tot:kotz).
 
Hallo:)


spybot ist auch mit vorsicht zu geniessen. ich halte von dem nix. der kann durch die immunisierung des IE auch die hostdatei ein wenig verwurschteln:D.

Malwarebytes ist sehr gut als 2. meinung (hast du ja schon). kannst dir auch noch hitman pro nehmen zu gegenscannen.:)
 
ok, Datei gefixt, TuneUp deinstalliert und auch spybot.
Rechner neugestartet und gleich google test gemacht.
Der 1. Klick ging wieder fremd, alle weiteren liefen stabil auf die geforderte Seite.
Frage nur ob das Problem jetzt behoben ist oder nicht

Dennoch schonmal vielen Dank für die Hilfe

LG
 
Willkommen im Forum, Nanni! :)
Die CLSID, die Marco gepostet hat, solltest du noch mal genau unter die Lupe nehmen. Sie gehört zu Oracle, also wenn du mit Oracle-Datenbanken nichts zu tun hast, unbedingt fixen.
Spybot - Search & Destroy finde ich ein nützliches Tool, aber keinesfalls der Teatimer. S&D sollte man bei bedarf nur von Hand starten, ich mache das etwa einmal pro Woche.
Zwei Antvirenprogramme gleichzeitig im Autostart ist eher kontraproduktiv. Mache es so, wie @danytcb vorschlägt, nimm Malwarebytes zum Gegenchecken. Dann brauch es aber nicht im Autostart zu sein.

Dieser Dienst O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) läuft normalerweise nur auf Servern und wird von Microsoft als möglicherweise gefährlich eingeschätzt.
Hier mal bitte nachlesen MS03-001: Ungeprüfter Puffer im Locator-Dienst kann die Ausführung von böswilligem Code ermöglichen
 
Und schau mal was bei dir unter Internetoptionen steht.
 

Anhänge

  • Unbenannt.PNG
    Unbenannt.PNG
    51,3 KB · Aufrufe: 3.974
Hab jetzt nochmals Malwarebytes und hitman pro durchlaufen lassen, beides ohne Funde.
Wie zwei Virenprog? Hab doch nur das Avira drauf. Ach ja das Windows-Sicherheitsdienst kann nicht gestartet werden.

Mit den falschen Seiten ist zwar besserung da aber dennoch gehen diverse Links zu anderen Seiten über
----------------------------------


Atlantik schrieb:
Und schau mal was bei dir unter Internetoptionen steht.
Zum Vergrößern anklicken....

Benutze Firefox und stehen hab ich da Google
 
Zuletzt bearbeitet von einem Moderator:
Ich denke es liegt am Firefox selber. Installiere mal die Addons AdBlock Plus, Ghostery und vieleicht noch Better Privacy. Viele Seiten lassen im Hintergrund Weiterleitungen laufen:D
 
ot:
@Camillo:
Viele Seiten lassen im Hintergrund Weiterleitungen laufen
Zum Vergrößern anklicken....
Hä, also sowas hab ich noch nie gehört, geschweige denn gesehen und schon garnicht im Google. Bei Nanni scheint das Gang und Gebe zu sein, da ist bestimmt irgendwo was faul.
 
Hab auch schon google chrome und opera als browser versucht aber das gleiche prob. Irgendwo sitzt der Wurm drin.
Beim Firefox hab ich das Addon- ABP schon aktiv

Denke mal das ich um eine neuinstallation wohl nicht rum komme :(
 
Nach all den Mutmaßungen und Vorschlägen würde ich gerne wissen,
um welche Seiten es sich handelt, die bei der Google-Suche aufgerufen werden und wohin weitergeleitet wird.

Denn der HijackThis-Logfile zeigt lediglich, dass mindestens 2 AntiViren-Programme
(Avira AntiVir, Malwarebytes) installiert sind, was selten gut gehen kann.
Aber von einem evtl. Befall kann hier erst einmal nicht die Rede sein.
 
Die meiste seite die nach ca 3-4 anderen Seiten (es werden bis zu 4-5 Seiten hintereinander geladen) geöffnet wird ist Rocketnews.
Mittlerweile wird gar keine mehr geöffnet sondern ein Fehler weil das Malwarebyte die sperrt
 
Firefox kann auch Websites sperren, deswegen braucht man nicht unbedingt noch ein Zusatztool. ;)
Zu finden im Firefox unter Extras -> Einstellungen -> Reiter "Sicherheit" (s. Anhang 1)

Aber zuerst würde ich sämtliche Verläufe im Firefox löschen, incl. Cookies, Verlauf und Chronik.
Firefox -> Extras -> Einstellungen -> Reiter "Datenschutz" (s. Anhang 2)

Auch würde ich überprüfen, ob nicht irgendwelche AddOns installiert sind, die diese Weiterleitungen verursachen können. (Extras -> AddOns)

Sollte nach einem Browser-Neustart nach wie vor andere als gewünschte Seiten geöffnet werden, solltest du den Firefox neu installieren.
Allerdings bringt es nichts, wenn du Firefox lediglich deinstallierst. Vor der Neuinstallation musst du auch das defekte Firefox-Profil löschen.
Das findest du in den versteckten Verzeichnissen

C:\Users\fmz\AppData\RLocal\Mozilla\Firefox
C:\Users\fmz\AppData\Roaming\Mozilla\Firefox

Um AppData sichtbar zu machen, musst du im Windows Explorer
unter

Extras -> Ordneroptionen -> Reiter "Ansicht" die Option
Ausgeblendete Dateien, Ordner und Laufwerke anzeigen" aktivieren -> Übernehmen -> OK
 

Anhänge

  • ff1.jpg
    ff1.jpg
    228,5 KB · Aufrufe: 927
  • ff2.jpg
    ff2.jpg
    171,5 KB · Aufrufe: 803
  • explorer1.jpg
    explorer1.jpg
    395,1 KB · Aufrufe: 812
Da auch alle anderen Browser dasselbe Verhalten zeigen, hast du dir wohl was eingefangen.
Dafür spricht auch, dass das Securitycenter nicht gestartet werden kann.

Suchmaschinen Umleitung zu Werbseiten (über Rocketnews) - Trojaner-Board

Google Redirect Virus - Trojaner-Board

Googlelinks leiten auf Werbeseiten weiter (Rocketnews,etc.) Avira findet nichts! - Trojaner-Board

Suchmaschine: Weiterleitung auf falsche/andere als gewünschte Seiten "rocketnews" (Fehlleitung) - Trojaner-Board


Will hier niemanden von Dr.Windows weglocken, aber am besten wäre es, du meldest dich beim Trojaner-Board an, und holst dir da Hilfe.
Die sind darauf spezialisiert, und du kriegst zur Bereinigung speziell auf dein Problem zugeschnittene Skripte.

Ja nicht einfach selbst rumzimmern, indem du Anleitungen aus obigen Threads nachmachst!
Erstelle bitte ein eigenes Thema und halte dich an die Anweisungen, die du bekommst.

Und poste kein HijackThis-Log ;)
Bitte keine HijackThis Logfiles posten

Wäre schön, wenn du hier Rückmeldung gibst, wie's gelaufen ist.
:)
 
Zuletzt bearbeitet:
Hab alle Schritte befolgt, bzw das meiste war schon so eingestellt. Hat sich nichts getan.
Firefox mit allem drum und dran gelöscht inkl. Profil und neu installiert.
Google geöffnet was gesucht, seite angeklickt und wieder Fehlleitungen :(
Jetzt lande ich zurzeit bei groupon nachdem andere Seiten vorgeladen wurden.
 
Du hast meinen Beitrag schon gelesen?
In den verlinkten Threads wird genau dein Problem geschildert, inklusive Securitycenter.
Die Beiträge sind alle ganz frisch.
Ursache für die Weiterleitungen: Infektion!
 
Ich bin mal so frei und gebe Rückmeldung :)
Hab den Thread auf dem Trojaner-Board mitverfolgt, das Problem ist gelöst.
Gefunden wurden
C:\Windows\SysWow64\bootg.dll und
C:\Windows\tasks\otckzdf.job

Off Topic Calvin Klein ZDF.Job - was für ein Name :ROFLMAO:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben