google über IE & taskmanager manipuliert - ursache?

Folgendes Problem:
Bei Benutzen von google mit MS Internetexplorer werden zwar die richtigen links angezeigt, beim anklicken aber andere seiten geladen (z.B. ebay-ergebnisse, adultfriendfind usw usf).

Gleichzeitig ist folgendes Problem aufgetreten: Der Taskmanager von Windows zeigt keine laufenden Prozesse an, ausser denen, die nach Anzeigen/Aktivieren des Taskmanagers (Alt+Strg+Entf) gestartet wurden und es fehlt die obere Menuleiste u.a. mit dem X zum Schliessen.

ad-aware, spybot und antivir (regelmässig benutzt und ge-updated) haben nicht zur problemlösung beitragen können.

aktuelle versuche mit a2-hijackfree, spywareblaster usw haben mich auch noch nicht schlauer gemacht.

Was kann es sein? Wie finde ich es heraus?

 

Hallo chr25

Schon HijackThis ausprobiert? Könntest du mal einen Screenshot vom Taskmanager machen?



Gruß
Nevok

 

Hallo,
und zusätzlich kannst du gleich noch einen Scan mit F-Secure Blacklight machen und das Log posten (wird automatisch im selben Pfad erstellt, fsbl**.txt)


Grüße Jasager

 

Hallo,

hijackthis erbringt folgendes:
http://www.hijackthis.de/logfiles/3d1023d0885dbc1f402811434edb62e5.html

wenn darin mit (!) markierte datei dmius.exe geprüft wird mit http://virusscan.jotti.org/ identifizieren die scanner adware.newdotnet.a oder ähnliches (nicht alle mit dem gleichen ergebnis)

newdotnet wird auf der seite von zB symantec als vglws. wenig schaden-anrichtend beschrieben und ein säuberungsprogramm angeboten - die dort angegebenen verzeichnisse finden sich allerdings auf meinem rechner nicht, zweifelhaft also, ob dieses säuberungsprogramm greift?! noch nicht ausprobiert.

auch das problem mit dem taskmanager wird dort nicht erwähnt.

überwachungsprogramm win-pooch meldet regelmäßig:
der folgende prozess
C:\WINDOWS\Explorer.EXE (1168)
versucht folgende aktion durchzuführen
eg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dmddw.exe)
dmddw ist mal dmius.exe oder dmhaa.exe usw.

als dmmddw taucht es zum zeitpunkt des blacklight log auf:04/12/06 16:03:42 [Info]: BlackLight Engine 1.0.35 initialized
04/12/06 16:03:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/06 16:03:42 [Note]: 7019 4
04/12/06 16:03:42 [Note]: 7005 0
04/12/06 16:03:48 [Note]: 7006 0
04/12/06 16:03:48 [Note]: 7011 1168
04/12/06 16:03:48 [Note]: 7026 0
04/12/06 16:03:49 [Note]: 7026 0
04/12/06 16:03:49 [Note]: FSRAW library version 1.7.1015
04/12/06 16:04:52 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/12/06 16:04:52 [Note]: 10002 1
04/12/06 16:05:04 [Info]: Hidden file: C:\WINDOWS\system32\cshrn.exe
04/12/06 16:05:04 [Note]: 7002 32
04/12/06 16:05:04 [Note]: 7003 1
04/12/06 16:05:04 [Note]: 10002 1
04/12/06 16:05:05 [Info]: Hidden file: C:\WINDOWS\system32\dmddw.exe
04/12/06 16:05:05 [Note]: 7002 32
04/12/06 16:05:05 [Note]: 7003 1
04/12/06 16:05:05 [Note]: 10002 1
04/12/06 16:05:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/12/06 16:05:06 [Note]: 10002 1
04/12/06 16:05:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
04/12/06 16:05:17 [Note]: 10002 1
04/12/06 16:06:44 [Note]: 7007 0

was nun?

gruss chr25

ps: als anhang den screenshot vom aktuellen auftritt des taskmanagers

 

Hallo,
also, wenn du auf Nummer sicher gehen willst solltest du das System neu aufsetzen, weil der Trojaner zumindest Rootkittechnologie verwendet, und diese kann sich sehr tief in das System eingraben. Wenn man etwas beim beseitigen übersieht ist es auch möglich das mal deine Ebay Daten oder Onlinebanking über einen Server in der Ukraine umgeleitet werden. Im Moment ist das zumindest der Fall.

Hier mal eine anleitung wie du beim Neuaufsetzen und anschließenden Absichern vorgehen solltest.

Falls du doch, engegen meinem Ratschlag, rumfrickeln willst meldest du dich nochmal.
Das ganze ist übrigens nicht New.net sondern wird eher als Wareout bezeichnet.


Grüße Jasager