Hi ihrsen,

sitz hier gerade von einem recht interessanten Problem.
Und zwar sitz ich hier von einem Firefox, der wenn man was bei google sucht und auf ein Ergebnis klickt einem zu einer total anderen Seite leitet.

Mal ein Beispiel:
google.de
suche nach: 3dmark05
erster Treffer: computerbase.de
nach einem klick und ~7 redirects lande ich auf http://redirect.clickshield.net/jump2/?a…&terms=3dmark05
das ganze geht über go.google.com eine ip die ich mir so schnell nicht merken kann, dann http://redirect.clickshield.net/jump1/.... zu der oben genannten url wo es nicht mehr weiter geht.

hat das schonmal jemand gehabt?
hab gerade mal die about:config überflogen, da ist nichts.
werd gleich mal nach sonstigen prozessen suchen die sich verstecken könnten

der viren/spyware scanner sagt bisher garnichts...
die spyware scanner definitionen waren von 2007
der Virenscanner ist aktuell und hat einen crack als trojaner erkannt.... ich glaub ich werde heute noch eine Menge Spaß haben -.-
ma gucken was ad aware gleich sagt

ok, neue erkenntnisse
process explorer zeigt das alle connections von firefox über localhost laufen, leider zeigt er mir nicht mit welchem prozess er kommuniziert. Also tippe ich mal auf einen Proxy der installiert wurde und worüber alles läuft.

abgesicherter modus läuft leider auch nicht :-/

jemand noch ne idee wie ich rausfinden könnte was da so alles läuft? wenn nicht heißt das Mittel jetzt wohl, windows neu installieren

nur 127.0.0.1       localhost
mist...

was auffällt ist das alle connections ins Internet z.B. Firefox über localhost:1516 laufen.

telnet, http oder sonstige  zugriffe auf den Port provozieren aber direkt das die Verbindung geschlossen wird.
bei einem ssh verbindungsaufbau passiert leider garnichts.

jemand ne idee wieso alle verbindungen an localhost:1516 gehen?


edith sagt: ich hab mal geguckt welche windows dlls firefox so verwendet.
unteranderem war dabei die ws2_32.dll im windows\system32 ordner
also fix nach dll-files.com und mal eine neue zum vergleich geladen. komischerweise ist die dll von dll-files 72 kb groß, die im windows ordner aber 82kb, genauso wie die im servicepackfile ordner
frage ist natürlich, sind jetzt beide verändert oder die die version von dll-files nicht richtig...


edith2 sagt:
habe versucht betroffene dll durch dll-files.com dll zu ersetzen. ohne erfolg. sobald ich die datei rauskopiere/umbenenne oder eine neue einfüge und die alte überschreibe wird sie direkt wieder gepatcht und hat ihre alten 82kb wieder

keine lust mehr auf edith 3...
sry für doppelpost

hab mal rootkitreveal laufen lassen, hier das log:
HKLM\SECURITY\Policy\Secrets\SAC* 28.03.2007 20:03 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 28.03.2007 20:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\DefaultIcon 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\command 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Application 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Topic 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat\ActivationSecurityCheckExemptionList 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\ClientProtocols 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NameService 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NetBios 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\SecurityService 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\DefaultIcon 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open\command 06.01.2002 18:54 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata 01.10.2008 20:46 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\TDSS 02.10.2008 19:34 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\TDSSserv.sys 01.10.2008 20:46 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\TDSSserv.sys 01.10.2008 20:46 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\TDSSserv 07.10.2008 19:54 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\TDSSserv.sys 01.10.2008 20:46 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\TDSSserv.sys 01.10.2008 20:46 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\TDSSserv 07.10.2008 19:18 0 bytes Hidden from Windows API.
C: 01.01.1601 02:00 0 bytes Error mounting volume
D: 01.01.1601 02:00 0 bytes Error mounting volume
E: 01.01.1601 02:00 0 bytes Error mounting volume
F: 01.01.1601 02:00 0 bytes Error mounting volume

ich krieg hier langsam hass auf windows....

auch beim ie..
also das sieht verflucht nach nem proxy aus, nur wie zum teufel kriegt man es hin alle verbindungen in windows über nen proxy laufen zu lassen? und wie mach ich das wieder rückgängig...

wahrscheinlich windows neu installieren ne? :/

wird gemacht, krieg die kiste am Montag zu mir... dann nehm ich sie mir vor