Hijacked - Google Ergebnisse werden umgeleitet

Ich habe folgendes Problem. Meine Google Suchergebnisse werden umgeleitet. Mit Hijack This habe ich einen Scan ausgeführt und folgendes gefunden...

O17 - HKLM\System\CCS\Services\Tcpip\..\{1655152D-6927-424C-891C-CC14B2CE6716}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{567A356C-BBE8-4DF7-84FF-2D6284E1E75C}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F40B89-F0B3-4CFD-A7FA-21144FF2823F}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CS1\Services\Tcpip\..\{1655152D-6927-424C-891C-CC14B2CE6716}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CS2\Services\Tcpip\..\{1655152D-6927-424C-891C-CC14B2CE6716}: NameServer = 85.255.113.142,85.255.112.155

Habe das natürlich gleich rausgeworfen... allerdings ging dann mein INET nicht mehr... d.h. meine Connection war tot... mein Wlan ging noch!

Hab ichs also einen restore gemacht... Inet geht wieder aber mein Problem besteht weiterhin. In der Registrierung habe ich auch nachgesehen und auch die Eintäge gefunden.... Aber nun weiss ich nicht, wie ich diese Problem angehen kann...

Spybot hat nix gefunden,....

Symantec QHost scan hat auch nix gefunden,....

Mit Antivir 6 habe ich ebenfalls nix gefunden.....

Mit Hijackthis ebenfalls nur besagte Einträge....

Was Tun? Jemand eine Idee? Kennt ihr ein FIX?

Vielen Dank schonmal fürs lesen.... und auch für Vorschläge!

Gruß Royal

 

http://www.pcwelt.de/forum/showthread.php?t=134046

 

Hallo,
poste mal einen Link zu deinem HijackThis Log wie hier beschrieben.
Außerdem postest du noch ein Log von Silentrunners.
Ev. kommst nicht daran vorbei nach dem fixen der Einträge (Umleitung deiner Anfragen auf Server in der Ukraine) deine Internetverbindung neu einrichten mußt.



Grüße Wildone

 

Der Link zu Hijackthis mit meinen Daten!

http://www.hijackthis.de/logfiles/f335810863c51e01c33a8d75b1e00141.html

Die Silentrunner datei ist im Anhang, hat 11,1 kb

Bitte schauts euch mal durch und vielleicht könnt ihr mir helfen!

Gru Royal

 

Was ist C:\Programme\Remote Disconnection Utility\RDClient.exe

 

Ist ein von mir installiertes Programm, damit ich meine Inetverbindung per Wlan vom Laptop aus verbinden, trennen kann.... Mein alter PC läuft als eine Art WLan server!

Heisst remote disconnection Client/server! Gutes tool übrigens!
Das ist sauber!

 

Hallo,
hmm das hatte ich befürchtet, ich bin mir nicht ganz sicher ob ich davon heilen kann, ich werde es mal versuchen. Besorge dir killbox und lösche die Datei:
C:\WINDOWS\system32\dmjrx.exe
außerdem suchst du die Datei csfti.exe (wahrscheinlich auch im System32 Ordner) und löschst sie ebenfalls mit killbox (beide Dateien in einem Rutsch löschen, das ist wichtig!). Dannach bootest du dein System abermalig neu und postest ein neues Log von Silentrunners und von F-Secure Blacklight (wird nach dem Scan automatisch im selben Ordner erstellt fsbl***.txt).


Grüße Jasager

 

Wieso Ukraine?
Wo hast Du die IPs gecheckt?

MfG Raberti

 

Hallo,
bei www.whois.sc z.B. die.


Grüße Jasager

 

Beide Datein nicht gefunden.d.h. anscheinend befinden diese sich nicht mehr auf der Platte....
habe die Suche mehrmals durchlaufen lassen, und system und System32 manuel noch durchforstet!

 

Hallo,
nein das heißt nicht das sie nicht auf der Platte sind das heißt das sie vor dem Windowszugriff getarnt werden. Poste mal das Log von F-Secure Blacklight.
Ich möchte gleich darauf hinweisen das ein Neuaufsetzen die sicherste Maßnahme ist um das was du dir eingefangen hast zu beseitigen. Ich frickle gerne weiter an deinem System herum, aber letztendlich bist du derjenige der das Risiko trägt dasd ich etas übersehe.


Grüße Jasager

 

das FSECURE lade ich mir heute Abend runter, hab nur isdn, und das file is bisl größer!

Was meinst du zu dieser Hostgeschichte ....Kann ich die nicht manuell zurücksetzen? d.h. diese einträge beseitigen oder ersetzen?

 

Hallo,
hat keinen Wert das jetzt zu machen, der Eintrag würde sofort von den bei dir aktiven Dateien wieder hergestellt.
Ähh, Blacklight ist doch nur 600kb groß, das sollte selbst mit ISDN recht zügig gehen.


Grüße Jasager

 

den rootkit eliminator?

 

Hallo,
verstehe die Frage nicht, hier noch mal der Link zum Direktdownload von F-Secure Blacklight (und ja das ist ein Rootkit detector).


Grüße Jasager

 

Etliches gefunden

 

und was mache ich jetzt damit?

 

Hallo,
also man kann das was du hast entfernen, aber ob dabei alles erwischt wird ist gerade bei Rootkits fraglich. Ich rate dir dein System neu aufzusetzen, wenn du gegen meinen Rat weiter machen willst laß es mich wissen dann schaue ich was ich machen kann.


Grüße Jasager

 

entfernen wie? da is ne funktion dabie mit " rename" Bei dem blacklight dingens....

 

Hallo,
das sage ich dir dann wenn es soweit ist. Du machst dir jetzt erstmal Gedanken ob du das Risiko eingehen willst, ich würde es nicht machen, aber es ist deine Entscheidung. Und wenn was entscheidendes übrig bleibt ist es möglich das du weiter bei deinen Seitenanfragen unbemerkt umgeleitet wirst ev. auch bei Ebay oder Onlinebanking, das solltest du bedenken.



Grüße Jasager