Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: firefox "gekapert" => Windows bootet nicht => virus!?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.09.2008, 17:23   #1
Naratil
 
firefox "gekapert" => Windows bootet nicht => virus!? - Standard

firefox "gekapert" => Windows bootet nicht => virus!?



Tag,


ich hatte anfangs das gleiche Problem, wie The Jack mit dem Thread "kein online scanner funktioniert mehr (Virus??)". Wenn ich HijackThis bei google eingegeben habe, wurde ich immer auf eine Möbeleinrichtungshomepage weitergeleitet und wenn ich versuche auf VirusTotal zuzugreifen ruft er eine von meinen offline Homepages auf, obwohl in der Adressleiste VirusTotal erscheint. Nachdem Spybot S&D nichts gefunden hat, habe ich mal Malwarebytes Anti Malware ausprobiert und auch gleich was gefunden. Die Dateien habe ich gelöscht und gehofft das Problem damit behoben zu haben. Als ich jedoch versucht habe meinen Rechner neu zu starten, hat der Rechner es leider nur bis zu dem Ladebalken mit dem Windowszeichen geschafft - zum Benutzerkonto schafft er es leider nicht.

Betriebssystem: Windows XP Professional

Anbei mein HJT- und MAM-Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:02, on 28.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RemoteControl8] E:\Programme\CyberLink\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] E:\Programme\CyberLink\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Apache2.2 - Apache Software Foundation - E:\xampp\apache\bin\apache.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4514 bytes
         

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1218
Windows 5.1.2600 Service Pack 2

28.09.2008 16:38:35
mbam-log-2008-09-28 (16-38-35).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 192111
Laufzeit: 27 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
         

Alt 29.09.2008, 13:52   #2
undoreal
/// AVZ-Toolkit Guru
 
firefox "gekapert" => Windows bootet nicht => virus!? - Standard

firefox "gekapert" => Windows bootet nicht => virus!?



Hallo Naratil

Ist das Anti-Malware log wirklich original so?
Zitat:
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
Dann wundert es mich, dass Windows überhaupt noch funktioniert. Da wurde ja der komplette system Ordner gelöscht... Ist der noch in der Quarantäne? Wenn ja dann stelle ihn unbedingt wieder her....
Wenn nicht dann musst du von der Windows CD booten und Windows reparieren lassen.
__________________

__________________

Geändert von undoreal (29.09.2008 um 13:59 Uhr)

Alt 01.10.2008, 13:05   #3
Naratil
 
firefox "gekapert" => Windows bootet nicht => virus!? - Standard

firefox "gekapert" => Windows bootet nicht => virus!?



Danke schon mal für die Antwort. Kein Wunder das Windows nicht mehr funktioniert hat! Naja, habe jetzt mal Windows neu aufgesetzt, da das Reparieren leider nicht ganz funktioniert hat.
Doch wie gehts jetzt weiter? Ich glaub kaum das dadurch mein System wieder komplett sauber ist oder?

EDIT: Könnte mir vielleicht noch einer sagen, ob folgende Warnung was mit einem Virus zu tun hat?: "Access violation at address 00401C61 in module 'Tea Timer.exe'. Write of adress 00000000".

Gruß,
Naratil
__________________

Geändert von Naratil (01.10.2008 um 13:15 Uhr)

Alt 01.10.2008, 13:36   #4
undoreal
/// AVZ-Toolkit Guru
 
firefox "gekapert" => Windows bootet nicht => virus!? - Standard

firefox "gekapert" => Windows bootet nicht => virus!?



Halli hallo.

Magst du mir diese Frage noch beantworten?
Zitat:
Ist das Anti-Malware log wirklich original so?
Denn eigentlich kann das nicht ganz stimmen..

Wenn du eh schon neuaufgsetzt hast dann würde ich den Rechner gleich richtig platt machen. Hier mal ein Leitfaden zu einem definitiv sauberen PC:

Bereinigung nach einer Kompromitierung


Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 01.10.2008, 16:22   #5
Naratil
 
firefox "gekapert" => Windows bootet nicht => virus!? - Standard

firefox "gekapert" => Windows bootet nicht => virus!?



Ja, sowohl der HJT- als auch der Anti-Malware-Log waren original Logs vor dem Neuaufsetzen. Also ich habe einfach bei meiner Partition C, auf dem sich das Betriebssystem befindet, komplett neuformatiert.
Wenn ich nun aber auch noch meine Partition F komplett lösche, auf dem sich ja kein Betriebssystem draufhabe, dann wüsste ich nur leider nicht, wohin mit meinen .mp3s und meinen gesammelten Filmen. Ich habe leider keine externe Festplatten.

Mein MBR-Log:
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Gruß,
Naratil


Alt 01.10.2008, 18:50   #6
undoreal
/// AVZ-Toolkit Guru
 
firefox "gekapert" => Windows bootet nicht => virus!? - Standard

firefox "gekapert" => Windows bootet nicht => virus!?



Die mp3s kannst du ja sichern wie unten beschrieben... Sind das denn sehr viel? Kannst du dir eine Externe leihen? Oder gehen die evtl. auch auf einen großen USB Stick? Ist deine Entscheidung..
__________________
--> firefox "gekapert" => Windows bootet nicht => virus!?

Antwort

Themen zu firefox "gekapert" => Windows bootet nicht => virus!?
adobe, anti malware, antivirus, avast, avast!, bho, bonjour, computer, ctfmon.exe, drivers, explorer, firefox, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, mozilla, nvidia, pdf, problem, programme, registrierungsschlüssel, rundll, scan, software, starten, virus, windows, windows xp, windows\system32\drivers




Ähnliche Themen: firefox "gekapert" => Windows bootet nicht => virus!?


  1. neuer PC auf einmal sehr langsam, Firefox-Meldungen "Skript beschäftigt oder antwortet nicht", "keine Rückmeldung"
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (26)
  2. "plugin container for firefox funktioniert nicht mehr" Firefox schließt sich dann komplett
    Log-Analyse und Auswertung - 30.08.2014 (12)
  3. E-Mail Weiterleitung "gekapert" und aktiv für Spam missbraucht
    Überwachung, Datenschutz und Spam - 03.07.2014 (5)
  4. Windows 7 Firefox bringt immer wieder "Dieser Verbindung wird nicht vertraut"
    Log-Analyse und Auswertung - 21.03.2014 (15)
  5. Der als "Mozilla Firefox" getarnte "Virus" (?)
    Plagegeister aller Art und deren Bekämpfung - 27.11.2013 (21)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. Windows 8: potentieller Virus/Trojaner nach Download von "Free m4a to mp3 converter" von chip.de - Einblendungen in Firefox und am Desktop
    Log-Analyse und Auswertung - 30.10.2013 (9)
  8. Vista startet/bootet sehr langsam durch "Virus" PUP.Optional
    Plagegeister aller Art und deren Bekämpfung - 20.10.2013 (28)
  9. Windows Vista bootet nicht mehr -> "deleting ..rprotect.dll" und rprotect.exe läuft auf dem Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (23)
  10. Notebook bootet nicht, Fehlermeldung "windows\system 32\drivers\aswRvrt.sys" "status: 0Xc0000221"
    Plagegeister aller Art und deren Bekämpfung - 18.06.2013 (17)
  11. "Skype" und "Minianwendungen" werden nicht mehr ausgeführt (Windows 7)
    Log-Analyse und Auswertung - 21.05.2013 (3)
  12. "Redirect-Virus" unter Windows 8 / "document has moved redirecting..."
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (11)
  13. Firefox und IE öffnen automatisch "mediashifting" / Windows-Firewall kann nicht aktiviert werden
    Plagegeister aller Art und deren Bekämpfung - 18.02.2012 (19)
  14. Nach dem "Windows diagnostic" virus- alle programme wird nicht angezeigt+ skype funzt. nicht
    Plagegeister aller Art und deren Bekämpfung - 24.04.2011 (6)
  15. PC bootet nicht mehr, "Select Proper Boot Device"
    Alles rund um Windows - 24.06.2010 (2)
  16. Prob.mit "userinit" rechner bootet nicht mehr...
    Log-Analyse und Auswertung - 27.09.2009 (104)
  17. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)

Zum Thema firefox "gekapert" => Windows bootet nicht => virus!? - Tag, ich hatte anfangs das gleiche Problem, wie The Jack mit dem Thread "kein online scanner funktioniert mehr (Virus??)". Wenn ich HijackThis bei google eingegeben habe, wurde ich immer auf - firefox "gekapert" => Windows bootet nicht => virus!?...
Archiv
Du betrachtest: firefox "gekapert" => Windows bootet nicht => virus!? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.