[Senkrechtstarter]

Hallo Freunde,
habe mal einen Logfile laufen lassen und unter anderem erscheinen diese Einträge:

O1 - Hosts: 149.5.18.172 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O1 - Hosts: 149.5.18.172 ad-emea.doubleclick.net.
O1 - Hosts: 149.5.18.172 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O1 - Hosts: 108.163.215.51 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].

Nach der Auswertung seien sie gefährlich und sollten gefixt werden.

Führe Fix checked aus, aber die Einträge erscheinen wieder.

Sind die Einträge wirklich so gefährlich und wie werde ich sie los, bzw. wo finde
ich diese ?

Vielen Dank für eure Hilfe !

[ckjthedogmaster]

Hey Senkrechtstarter,

Die oben angegebenen Sachen solltest du aus deiner host-Datei löschen.

Dazu wechsel in das nach C:\Windows\system32\driver\etc und öffnest die host Datei im Editor.

Wäre gut, wenn du zeitgleich Hijackthis mit "Do a scan only " geöffnet hast. Weil dann kannst du die jeweiligen Zeilen herauslöschen oder änderst die Ip von z.B: 149.5.18.172 "www.google-analytics.com" auf "127.0.0.1 www.google-analytics.com" und speicherst die host.

Danach lässt du noch Malwarebytes oder Microsoft Security Essentials drüber laufen.

Diese Einträge sorgen z.b für unnötieg Popups, oder sammeln Daten, verändern den Browser und sind daher potenziell als gefährlich eingestuft.

Allein Google-Analytics nutzt folgende Einträge, die ich bereits in 127.0.0.1 geändert habe...

Zitat:

127.0.0.1 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
127.0.0.1 search.googleanalytics.com
127.0.0.1 results.google-analytics.com

Für die anderen müsste ich mal schauen, aber es reicht, deine Einträge umzuändern. Und natürlich sicherheitshalber ein Scan mit eines der oben genannten Tools.

Wenn ein Scan noch auffällige Einträge aufweist, dann solltest du es komplett posten, eventuell Benutzer rauslöschen .

Mfg

[Senkrechtstarter]

@ckjthedogmaster

Danke für deine Hilfe. Ich kann aber die Sachen unter C:\Windows.... nicht finden, da sind keine Einträge vorhanden.
Ich habe dort:
hosts.new
imhosts.sam
network
protocol
services

Ich habe WIN 7 Home Premium 64bit, habe unter System32 und 64 gesucht. Malwarebytes laufen lassen, hat aber offensichtlich auch nichts gefunden, da die Sachen immer noch im HiJack LogFile sind.

RATLOS !

[ckjthedogmaster]

Öffne mal die hosts.new im Editor und poste den Inhalt.

Mfg

[Senkrechtstarter]

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

149.5.18.172 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
149.5.18.172 ad-emea.doubleclick.net.
149.5.18.172 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].

Hab es jetzt gefunden wie Du sehen kannst war da viel Leerraum dazwischen.

Hab sie im Editor gelöscht und die Änderung gespeichert.

Wird es erst nach einem Neustart wirkdsam ?

[ckjthedogmaster]

Ja, du musst dafür neu starten.

wenn du danach n HJT-Log machst, sollten die Einträge nicht mehr vorhanden sein.

Mfg

[Senkrechtstarter]

Der Eintrag ist noch drin, also muss ich jetzt noch System32 überprüfen, ich hatte es aus System64 gelöscht.

LG

Edit: Unter System32 ist kein Eintrag vorhanden, sind aber immer noch im LogFile. Lasse jetzt mal Mircrosoft Essentials laufen und melde mich Nachmittags wieder.

[Senkrechtstarter]

Hallo,
bin jetzt über HiJackThis mainmenue und other tools und open hostfiles gegangen. Habe dort versucht die Einträge zu löschen und habe mich extra mit dem Administrationskonto angemeldet.

Es kommt folgende Fehlermeldung:

The hosts file is looking for reading and can not be edited. Make sure you privileges to modify the hosts file and no program protecting it against changes.

Also sind die Einträge wohl noch da. Kannst Du mit der Meldung was anfangen ?

LG

[ckjthedogmaster]

Hey,

bin jetzt kurzzeitig on... Kannst du deinen Post (#5) editieren und die Leerzeichen entfernen.

Im Normalfall sind die Einträge in der Host- Datei nach dem Löschen weg.

Der Ordner "etc" ist Schreibgeschützt. Um die Fehlermeldung zu umgehen musst du ins Windows-Verzeichnis gehen und in den Eigenschaften vom etc - Ordner den Haken bei "Schreibgeschützt" entfernen ( Unterverzeichnisse mit einbeziehen).
Mach auch mal in den Ordneroptionen die "versteckten Dateien anzeigen" an und shaue bitte, ob da noch ne andere host- datei drin liegt. Im Anschluß darfst du nicht vergessen, das du diese Einstellung rückgängig machen solltest. Was mich ein wenig stört, das die Datei hosts.new heisst, oder hast du diese so erstellt?
Normal heisst sie nur "hosts" .

Ich bin frühestens heute abend erst wieder on...

Sollten die Einträge trotz alledem nicht weg gehen, dann poste bitte ein komplettes HJT im Spoiler.


Mfg

[Senkrechtstarter]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:38:29, on 27.03.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\RocketDock\RocketDock.exe
C:\ProgramData\SarbyxTrayClock\trayclock.exe
C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe
C:\Softwarenetz\Terminkalender2\kalender2.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files (x86)\PTBSync\PTBSync.exe
C:\Program Files (x86)\Steganos Safe 12\SteganosHotKeyService.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files (x86)\Steganos Safe 12\fredirstarter.exe
C:\Program Files (x86)\Steganos Safe 2012\SteganosHotKeyService.exe
C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\OpenOffice.org 3\program\scalc.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Stardock\CursorFX\CursorFX.exe
C:\Users\Samy\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O1 - Hosts: 149.5.18.172 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O1 - Hosts: 149.5.18.172 ad-emea.doubleclick.net.
O1 - Hosts: 149.5.18.172 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O1 - Hosts: 108.163.215.51 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1066\TmIEPlg3 2.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: TmBpIeBHO - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\Module\20002\7.0.1081\7.0.1081\TmBpIe32 .dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PTBSync] C:\Program Files (x86)\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [SAFE12 HotKeys] "C:\Program Files (x86)\Steganos Safe 12\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFE12 File Redirection Starter] "C:\Program Files (x86)\Steganos Safe 12\fredirstarter.exe"
O4 - HKLM\..\Run: [SAFE2012 HotKeys] "C:\Program Files (x86)\Steganos Safe 2012\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFE2012 File Redirection Starter] "C:\Program Files (x86)\Steganos Safe 2012\fredirstarter.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SarbyxTrayClock] C:\ProgramData\SarbyxTrayClock\trayclock.exe
O4 - HKCU\..\Run: [CursorFX] "C:\Program Files (x86)\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [Analogue Vista Clock] C:\Program Files (x86)\Analogue Vista Clock\Analogue Vista Clock.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files (x86)\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Terminkalender2.lnk = C:\Softwarenetz\Terminkalender2\kalender2.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O18 - Protocol: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\Module\20002\7.0.1081\7.0.1081\TmBpIe32 .dll
O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1066\TmIEPlg3 2.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Trend Micro Solution Platform (Amsp) - Trend Micro Inc. - C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe
O23 - Service: AVG Firewall (avgfws) - Unknown owner - C:\Program Files (x86)\AVG\AVG2012\avgfws.exe (file missing)
O23 - Service: AVG WatchDog (avgwd) - Unknown owner - C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Freemake Improver - Freemake - C:\ProgramData\Freemake\FreemakeUtilsService\Freem akeUtilsService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Intel(R) PROSet Monitoring Service - Unknown owner - C:\Windows\system32\IProsetMonitor.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Realtek11nSU - Realtek - C:\Program Files (x86)\Realtek\11n USB Wireless LAN Utility\RtlService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: vToolbarUpdater - Unknown owner - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~2\Stardock\OBJECT~1\WINDOW~1\VistaSrv.ex e
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~2\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11115 bytes

Ich schick dir jetzt mal die Logfile, da die Einträge lt.HiJack immer noch vorhanden sind.
Hoofe das es mit dem Spoiler klappt, habe es noch nie ausprobiert.

LG

[musclecarfan]

Tag zusammen!
Habe genau den gleichen Mist im HighjackThis-Log wie Senkrechtstarter auch. Habe schon einen Wiederherstellungspunkt geladen und alle möglichen in Foren angepriesenen Scanner genutzt...laut Windows Security Essentials ist alles sauber und Malewarebytes hat auch nix gefunden.

Ich bekomme diese sechs zusätzlichen Hosts auch bei HJT angezeigt. In der HostNEW-Datei aber nur drei...

Ferner habe ich natürlich auch versucht diese Datei wie beschrieben zu ändern, was nicht ging. also habe ich einen Wiederherstellungspunkt genommen, wo sie am anfang nicht da war und dann aufeinmal auftauchte...

Wäre für Tipps dankbar!

[Senkrechtstarter]

Da ich ja zum Glück Backups auf externe Festplatte mache, bin ich gerade dabei diese einzuspielen. Damit dürfte der Mist beseitigt sein.
Ich frage mich aber nur woher diese Sch.... kommt und warum kein Virenschutzprogramm es erkennt und beseitigt.