Ich habe leider den Fehler gemacht eine nicht vertrauenswürdige Seite mit dem IE zu öffnen (Mozilla funktionierte nicht).

Und schon hatte ich so einen Scheiß drauf, der im Hintergrund einen Active Desktiop einblendete (your System is in Danger blablablub) und gleich ein zufälligerweise angeblich helfendes Antivirenprogramm installierte.

Wenn ich den Active Desktop löschte, war er beim nächsten Start auch wieder da. Also hab ich im abgesicherten Modus Antivir, Spybod und Adaware durchlaufen lassen, die ein paar Sachen gefunden haben.

Nach einem erneuten Start ist zwar das Symbol rechts unten bei der Uhr weg und der blöde Active-Desktop ist nicht mehr da. Leider jedoch werde ich bei einer google-oder yahoo-suche auf eine Fake-Google-Seite umgeleitet, die immer auf Englisch ist, leicht daran zu erkennen ist, dass sie nur einen Such-Button hat und mir immer genau drei Ergebnisse liefert, die irgendwas mit Pornos zu tun haben.

Dies passiert auch nicht nur im IE, sondern auch unter Mozilla Firefox! Ich denke, dass die Seite allgemein umgeleitet wird. Wo kann man sowas einstellen bzw. ändern?

Laß mal Ad-Aware, Spybot und hijackthis drüberlaufen.

Ahhh...alles andere hatte ich schon durch, aber Hijackthis vergessen. Der Trojaner hat also die Hosts-Datei manipuliert, was sich ja leicht beheben lässt.

Soll ich den Müll einfach löschen? Welche Prozesse soll ich entfernen, oder ist da keiner mehr vorhanden?


Logfile of HijackThis v1.99.1
Scan saved at 12:43:20, on 15.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Eraser\eraser.exe
C:\Dokumente und Einstellungen\User\Desktop\S2kCtl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\USER\LOKALE~1\Temp\Rar$EX00.004\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.top20results.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://java.sun.com/getjava/javaupdate/?version=1.4.1_02-b06
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 213.219.251.78 www.google.com
O1 - Hosts: 213.219.251.78 google.com
O1 - Hosts: 213.219.251.78 www.google.co.uk
O1 - Hosts: 213.219.251.78 google.co.uk
O1 - Hosts: 213.219.251.78 www.google.ca
O1 - Hosts: 213.219.251.78 google.ca
O1 - Hosts: 213.219.251.78 www.google.es
O1 - Hosts: 213.219.251.78 google.es
O1 - Hosts: 213.219.251.78 www.google.de
O1 - Hosts: 213.219.251.78 google.de
O1 - Hosts: 213.219.251.78 www.google.fr
O1 - Hosts: 213.219.251.78 google.fr
O1 - Hosts: 213.219.251.78 www.google.com.au
O1 - Hosts: 213.219.251.78 google.com.au
O1 - Hosts: 213.219.251.79 www.yahoo.com
O1 - Hosts: 213.219.251.79 yahoo.com
O1 - Hosts: 66.218.75.184 mail.yahoo.com
O1 - Hosts: 213.219.251.81 astalavista.com
O1 - Hosts: 213.219.251.81 www.astalavista.com
O1 - Hosts: 213.219.251.81 astalavista.box.sk
O1 - Hosts: 213.219.251.81 www.astalavista.box.sk
O1 - Hosts: 213.219.251.81 cracks.com
O1 - Hosts: 213.219.251.81 www.cracks.com
O1 - Hosts: 213.219.251.80 www.msn.com
O1 - Hosts: 213.219.251.80 msn.com
O1 - Hosts: 213.219.251.80 search.msn.com
O1 - Hosts: 213.219.251.80 www.search.msn.com
O1 - Hosts: 213.219.251.80 go.com
O1 - Hosts: 213.219.251.80 www.go.com
O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)
O4 - HKLM\..\Run: [NvMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Eraser1067] "C:\Programme\Eraser\Eraserl.exe" -disk :\
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [pdapofll] c:\windows\system32\pdapofll.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: S2kCtl.exe.lnk = C:\Dokumente und Einstellungen\User\Desktop\S2kCtl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\User\Desktop\fanspeed\fanspeedNT.exe" (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\winvnc4.exe" -service (file missing)

die einträge in der hosts datei kannst du löschen,

O1 - Hosts: 213.219.251.78 www.google.com
O1 - Hosts: 213.219.251.78 google.com
O1 - Hosts: 213.219.251.78 www.google.co.uk
O1 - Hosts: 213.219.251.78 google.co.uk
O1 - Hosts: 213.219.251.78 www.google.ca
O1 - Hosts: 213.219.251.78 google.ca
O1 - Hosts: 213.219.251.78 www.google.es
O1 - Hosts: 213.219.251.78 google.es
O1 - Hosts: 213.219.251.78 www.google.de
O1 - Hosts: 213.219.251.78 google.de
O1 - Hosts: 213.219.251.78 www.google.fr
O1 - Hosts: 213.219.251.78 google.fr
O1 - Hosts: 213.219.251.78 www.google.com.au
O1 - Hosts: 213.219.251.78 google.com.au
O1 - Hosts: 213.219.251.79 www.yahoo.com
O1 - Hosts: 213.219.251.79 yahoo.com
O1 - Hosts: 66.218.75.184 mail.yahoo.com
O1 - Hosts: 213.219.251.81 astalavista.com
O1 - Hosts: 213.219.251.81 www.astalavista.com
O1 - Hosts: 213.219.251.81 astalavista.box.sk
O1 - Hosts: 213.219.251.81 www.astalavista.box.sk
O1 - Hosts: 213.219.251.81 cracks.com
O1 - Hosts: 213.219.251.81 www.cracks.com
O1 - Hosts: 213.219.251.80 www.msn.com
O1 - Hosts: 213.219.251.80 msn.com
O1 - Hosts: 213.219.251.80 search.msn.com
O1 - Hosts: 213.219.251.80 www.search.msn.com
O1 - Hosts: 213.219.251.80 go.com
O1 - Hosts: 213.219.251.80 www.go.com

die prozesse und run keys sehen IMO gut aus, aber du solltest besser wissen WAS du installiert hast :smile:

Noch ein Tipp: DAS wäre nicht passiert, wenn du nicht mit adminrechten surfen würdest!

ICH VERZEIFLE LANGSAM!

Ich habe alle Verweise auf die falschen Seiten aus der Hosts-Datei mit dem Editor entfernt. Nach einem Neustart hoffte ich, das alles wieder funktioniert.

Denkste! Ich werde immer noch von beiden Browsern auf die gefälschte Google-Seite umgeleitet! Erst dachte ich, dass ein nicht entdeckter Prozess die Hosts-Datei bei einem Neustart ernuert. Das stimmt aber nicht! Die Hosts-Datei bleibt leer, aber die Scheiße ist immer noch da! Also muss noch irgendein Prozess böse sein.

Ich weiß aber ehrlich gesagt nicht, welcher Prozess für welches Programm steht. Das hört sich fahrlässig an, doch mein PC war dank Hardwarefirewall (Router), Antivirenprogramm und diversen Spywaretools IMMER sicher, seit ich XP habe. Das ist der erste Virus, den ich mir je mit WinXP eingefangen habe.

Gibt es nicht irgendeine Seite, wo man den Prozessnamen eingeben kann und einem gesagt wird, ob dieser Unheil anrichtet?

Sagt jetzt bitte nicht ich soll bei Google suchen! ;D

Such bei http://66.102.9.99/

sry, konnts mir nicht verkneifen ;(

/EDIT: Was für nen Router hast du? vielleicht steht da auch schon mist in irgendeiner dns liste oder hosts datei (falls linux router).

ICH VERZEIFLE LANGSAM!
Gibt es nicht irgendeine Seite, wo man den Prozessnamen eingeben kann und einem gesagt wird, ob dieser Unheil anrichtet?

Sagt jetzt bitte nicht ich soll bei Google suchen! ;D

Versuchs mal mit der Trial davon: http://www.neuber.com/taskmanager/deutsch/

Was ist das für ein Programm?

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - httx://www.azebar.com/install/azesearch.cab*

*geändert das es kein Link wird

Also jetzt habe ich mithilfe des "Security Task Manager" alle Prozesse identifiziert und auch JEDEN EINZELNEN mit der integrierten Internet-Suche überprüft, die Kommentare von anderen Usern zu den jeweiligen Programmen einholt.

ALLE PROZESSE SIND SAUBER (auch immer richtigen Verzeichnis, kein "getarnter" Virus)! Ich denke mal, dass es nix bringen wird, Firefox zu deinstallieren und wieder neu draufzumachen, da der Virus wohl Windows-Dateien verändert und dadurch wohl jeder Browser die falschen Seiten anzeigt.

Im Router kann auch keine Hosts-Datei verändert worden sein, da es ein normaler Hardware-Router ist (also kein Linux-PC oder so). Der Router hat außerdem ein PW, da kommt der Virus gar nicht in die Einstellungen rein. Router sind doch auch unhackbar, da man logischerweise auf ihnen nix installieren kann (außer neue Firmware, aber auch da braucht man ein PW), oder?

WAS SOLL ICH NUR TUN? Neuinstallieren geht nicht, weil ich zuwenig DVD-Rohlinge für ein Backup habe! Wo gibt es noch eine Datei, die wie "HOSTS" funktioniert? Alle Prozesse sind ja sauber, weshalb ja zwangsläufig so etwas existieren muss.

Falls ich eine falsche Hosts geändert habe: Sie hatte keine Dateiendung, ist das normal? Ich habe einfach alle Einträge darin gelöscht und dann sozusagen eine leere Datei gehabt. Es waren auch genau die Links enthalten, die falsche Google-Seiten verursachen.

Noch was, was für eine Art Hosts-Datei spricht: Wenn ich die IP von Google eingebe, die ravage netterweise gepostet hat (obwohl er mich wohl eher verarschen wollte ;D ), komme ich auf die richtige Seite. Immerhin etwas, aber ich will die Scheiße weghaben!

BITTE HELFT MIR!!!

Nach der Bereinigung sieht das Log übrigens so aus, d.h. die Umleitungen sind weg! Aber es geht immer noch nicht!!! ;(

Logfile of HijackThis v1.99.1
Scan saved at 15:25:13, on 15.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Eraser\eraser.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\User\Desktop\S2kCtl.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\USER\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)
O4 - HKLM\..\Run: [NvMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Eraser1067] "C:\Programme\Eraser\Eraserl.exe" -disk :\
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: S2kCtl.exe.lnk = C:\Dokumente und Einstellungen\User\Desktop\S2kCtl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} -

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de -

C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und

Einstellungen\User\Desktop\fanspeed\fanspeedNT.exe" (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program

Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner -

C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner -

C:\Programme\RealVNC\VNC4\winvnc4.exe" -service (file missing)

C:\WINDOWS\system32\drivers\etc\hosts
ohne endung ist richtig und sollte eigentlich nur so aussehen, normalerweise sind keine weiteren einträge nötig.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

um deine namensauflösung richtig zu testen, versusch mal in der kommandozeile den befehl nslookup

nslookup www.heise.de sollte
Name: www.heise.de
Address: 193.99.144.85 ergeben

nslookup www.msn.com
Name: www.msn.com.nsatc.net
Addresses: 207.68.172.234, 207.68.171.245
Aliases: www.msn.com

nslookup www.google.de
Name: www.l.google.com
Addresses: 72.14.207.99, 72.14.207.104
Aliases: www.google.de, www.google.com

wenns nicht klappen sollte oder was anderes rauskommt? ich kann mir jetzt nicht vorstellen, dass deine DNS server einträge verändert worden sind, aber am besten mal checken in der netzwerkkonfig. da du einen router verwendest sollte es auf DHCP oder die Adresse des Routers zeigen.

Nur die Seiten, die im oberen Log stehen, sind falsch. Heise.de etc. liefert die richtige IP. Wenn ich jedoch google oder msn eingebe, kommt folgendes (hier Google):


*** Der Servername für die Adresse 192.168.2.1 (das ist die IP meines Routers) konnte nicht gefunden werden:
Non-existent domain
*** Die Standardserver sind nicht verfügbar
Server: UnKnown
Address: 192.168.2.1 (Das ist der Router)


Nicht autorisierte Antwort:
Name: www.l.google.com
Addresses: 66.249.85.99, 66.249.85.104
Aliases: www.google.de, www.google.com


Man sieht deutlich, dass die Seite auf eine andere IP umgeleitet wurde. Aber was hat mein router mit der ganzen Sache zu tun? Weshalb kommt erst die Meldung, dass die Adresse nicht gefunden werden könne (Non-existent domain, UnKnown Server), aber danach komischerweise doch eine Antwort von der falschen IP/Adresse.

Wie gesagt funktionieren Google und Konsorten einwandfrei, wenn ich die Seite direkt über die IO aufrufe.

Ich habe DHCP und bei Standardgateway und DNS ist die Adresse des Router eingegeben.

Was ist das für ein Programm?

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - httx://www.azebar.com/install/azesearch.cab*

*geändert das es kein Link wirdDas ist irgendeine dämliche Suchleiste für den IE. Ich wusste gar nicht, dass ich das drauf habe und hab's gelöscht. Leider besteht das Problem noch immer.

Jetzt habe ich zum ersten Mal einen Virus, welcher wohl auch noch das mieseste und hinterfotzigste Exemplar seiner Gattung auf der ganzen Welt ist!!!

Entschuldigung für die vielen aufeinanderfolgenden Beiträge. Jedoch ist es dann IMHO übersichtlicher, wegen dem Code, den ganzen Dateinamen etc. Ansonsten würde eventuell manche Frage/Anmerkung von mir im Chaos untergehen ;)

DAS ist jetzt aber richtig seltsam...wie es scheint liegt das problem der namensauflösung tatsächlich bei deinem router :confused:

denn dein pc kennt keinen anderen DNS server ausser deinen router. hat der evtl eine telnet console an dem du lokal (am router) nslookup testen kannst ?


um deinen router zu überprüfen gibt es die möglichkeit einen alternativen DNS server in deine windows netzwerk konfig einzutragen. versuch mal 213.191.92.82 (das ist ein DNS server von Hansenet), aber keine ahnung ob man aus anderen netzen rankommt. EDIT: müsste gehen!

und schau bitte nochmal in den dateien lmhost* nach ob dort falsche einträge sind. bin mir nicht sicher ob die auch für dns verwendet werden oder nur für wins. aber schauen kostet nichts.

lmhosts hab ich schon überprüft, die scheint ok zu sein.

Mein Router ist soweit normal konfiguriert. Es ist kein DNS-Server angegeben, der Router bezieht ihn anscheinend von selbst. Jedoch kann man manuell einen oder zwei Server eintragen. Soll ich da die DNS-IP eintragen? Ich bin bei freenet, sollte ich da nicht deren DNS-Server verwenden? Wenn ja, wie lautet dieser?

So, ich bin wieder etwas weiter gekommen!

Da wird gar nix umgeleitet, denn die falsche Google-Seite lädt auch, wenn das Netzwerkkabel gezogen ist! Also muss sie irgendwo auf dem PC gespeichert sein! Oben steht aber die normale Adresse, wie finde ich raus, wo das Scheiß Ding wirklich ist?

KA mehr :(
neu installieren und gut ist. du hast doch sicher noch irgendwo platz für deine daten in einer anderen Partition. wenn nicht mit einem partitionstool die win part. verkleinern eine zweite einrichten, daten Kopieren, bei der windows installtion die erste part. löschen und neu erstellen.

sorry mir fällt nichts mehr ein, ich muss für sowas die dinge "anfassen" können :smile: wenn man denn überhaupt ne lösung findet!

Schade - trotzdem vielen Dank für deine Hilfe. Du hast dir ja viel Zeit genommen, um dich mit meinen Problemen herumzuschlagen. Das finde ich sehr schön, auch wenn wir keine Lösung gefunden haben :)

Kann mir bitte noch jemand den DNS von freenet sagen (DSL 384 Flat, falls es da Unterschiede gibt)?

Irgendwie lässt das grad ganz böse Erinnerungen (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163556) aufkommen...

DNS Server:

# Arcor: 145.253.2.11, 145.253.2.75
# Tiscali: 195.185.85.195
# Freenet: 62.104.191.241

Vielleicht hilft was...

- Schalte den Dienst 'DNS-Client' ab.
- Lass die IP der falschen Googleseite in der Registrierung suchen.
- ipconfig /displaydns
- ipconfig /flushdns
- nicht den Router als dns Server eintragen, sondern direkten verwenden.

Such bei http://66.102.9.99/

sry, konnts mir nicht verkneifen ;(

/EDIT: Was für nen Router hast du? vielleicht steht da auch schon mist in irgendeiner dns liste oder hosts datei (falls linux router).

213.219.251.78

ja, ist gut, gell? find ich schon klasse gemacht. egal, was man eingibt, man bekommt immer nen link :)

Results 1 - 20 of about 3,468,000 for ichhabkeineahnungundversucheesdennoch. (0.11 seconds

Irgendwie lässt das grad ganz böse Erinnerungen (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163556) aufkommen...DANKE RAVAGE! DU BIST EIN SCHATZ! ;D

Ich war das Programm schon los, als ich die Hosts-Datei gelöscht habe. Dieser dämliche IE aber auch Mozilla Firefox haben sich jedoch beide die Umleitung "gemerkt" und ich musste den Cache leeren, damit es wieder ging.

Ich dachte, im Browser-Cache werden zwar die Seiten gespeichert, jedoch müsste der Browser doch immer im Internet vergleichen, ob sich an der Online-Version etwas geändert hat und gegebenenfalls die Offline-Version im Cache aktualisieren. Da die Umleitung von mir gelöscht wurde, hätte der Browser doch auf der richtigen Seite nachschauen müssen! Normalerweise hätte das falsche Google doch von alleine verschwinden müssen, oder?

VIELEN DANK AN RAVAGE FÜR DEN VERLINKTEN THREAD UND AN LOKADAMUS FÜR DEN BEITRAG IN SELBIGEM. DANK GEBÜHRT AUCH JORGE42, DER SEHR VIEL GEDULD MIT MIR HATTE! :smile:

Und natürlich auch vielen Dank an alle anderen Helfer :)

Kann mir eventuell noch jemand erklären, warum Firefox und der IE immer auf die Offline-Version zurückgegriffen haben und nie im Internet nachschauten, ob sich die Online-Version von google.de etc. geändert hatte.

Normal kann dies ja nicht sein. Denn wenn die Browser bei jeder Seite so verfahren würden, hätte ich ja nur noch veraltete News auf jeder Seite und keine neuen Beiträge in Foren!

Wäre schön zu erfahren, wie das zustande kam :)

Wahrscheinlich ist bei dir noch das Standardverhalten von Firefox eingestellt. Da lädt er nur eine Seite neu, wenn sie vom Server als expired gekennzeichnet wird. Desweiteren dürften sich beide Browser die IP gemerkt haben zum Abruf und nicht die DNS.

Aqua

Beim IE mal nachsehen wie die Einstellung ist.
Eigenschaften von Internet bei Temporäre Internetdateien -> Einstellungen

Beim FF habe ich so eine Einstellung noch nicht gesehen.

also das sich ein Browser eine IP Adresse merkt ist mir neu, bzw. nicht nachschaut ob es etwas neues gibt kenne ich nur bei verwendung eines proxys. :smile:
auf ipconfig /flushdns hätte ich auch kommen können, bin aber der meinung, dass der lokale dns cache nach einem reboot eh geleert wird.

@elektrischer Ziegenbock: welchen cache hast du genau gelöscht, damit der fehler behoben wurde? was ich aber nicht verstehe wenn deine seiten aus dem cache geladen wurden, warum der nslookup test von vorhin NACH DEM LÖSCHEN der host datei fehlgeschlagen ist? hattest du den rechner gebootet? oder hast du den tipp von heldimzelt mit ipconfig /flushdns ausprobiert?

Beim FF habe ich so eine Einstellung noch nicht gesehen.In der UI gibt es das nicht, aber man kann es in about:config einstellen:

Name: browser. cache. check_doc_frequency
Value: Integer

How often to check the remote page for a newer version than what might be in the cache
0: Check once per browser session
1: Check every time I view the page
2: Never check (always use cached page)
3 (default): Check when the page is out of date (automatically determined)
Aqua

In der UI gibt es das nicht, aber man kann es in about:config einstellen:


Aqua
Danke

Habe aber auch noch nicht danach gesucht.

@elektrischer Ziegenbock: welchen cache hast du genau gelöscht, damit der fehler behoben wurde? was ich aber nicht verstehe wenn deine seiten aus dem cache geladen wurden, warum der nslookup test von vorhin NACH DEM LÖSCHEN der host datei fehlgeschlagen ist? hattest du den rechner gebootet? oder hast du den tipp von heldimzelt mit ipconfig /flushdns ausprobiert?Ich habe einfach den Browsercache von Firefox und vom IE gelöscht. ipconfig etc. hab' ich nicht benutzt, nur das was ich auch im Thread geschrieben habe!

Wenn der Browser nur ab und zu nach aktualisierten Seiten sucht, bleibt immer noch eine Frage offen: Warum merkt der Browser nicht den Unterschied bei der IP, denn die Hosts-Datei habe ich ja gelöscht, so dass google.de auf eine ganz andere IP verweist. Warum zum Teufel speichert der auch die falsche IP im Cache???

Das hieße ja, dass der Browser die Seiten nicht auch auf Basis der IP, sondern nur auf der Basis des Domainnamens archiviert, was ich irgendwie doof finde :|