Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Firefox.de im Local-Ordner "nach Bezahlen und runterladen"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2012, 08:04   #1
supporter64
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



Vorweg, Überschrift ist falsch, muss Firefox.exe heißen, sorry

Hallo,

vielleicht als Hilfe, wie es bei mir mit der Reinigung geklappt hat.

mein System Win7 64bit auf aktuellem Stand, Avast auf aktuellem Stand und Win-Firewall. Trotzdem fing ich mir den "Bezahlen und Runterladen-Trojaner" ein, der WIN7 mit Internetverbindung sofort lahm legt.

Ich habe dann über ein Gastkonto mich angemeldet und konnte so im www. nach Hilfe suchen und entsprechende Scanner runterladen, u.a. Malwarebytes.

Anschließend WIN 7 im abgesicherten Modus gestartet - ohne Wlan - und Malwarebytes laufen lassen mit einem Fund einer .exe im tmp Ordner auf C:.

C:\Users\....\AppData\Local\Temp\0.15956296855649832.exe (Exploit.Drop.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Anschließend Neustart, Trojaner kam wieder. Wieder Neustart im abgesicherten Modus. Malwarebytes fand im User-Local-Firefox-Ordner auf C: eine Firefox.exe mit dem selben Inst-Datum als Firefox.de im eigentlichen ProgOrdner. Habe meine Profile gesichert und FF gelöscht. Außerdem fand Malwarebytes einen faulen Registryeintrag. Diesen habe ich gelöscht, Neustart ohne Internetverbindung, Tuneup utilities über die Registry zur Säuberung laufen lassen, dann Neustart mit Wlan, rein ins Internet, ales ok.

Hier die logs
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ffdwnd (Trojan.Zbot.CBCGen) -> Daten: C:\Users\....\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\....\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Problem Gott sei Dank erledigt.

Alt 14.02.2012, 10:31   #2
markusg
/// Malware-holic
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



jo, da die dateien aber bei jedem anders heißen können, und ein Malwarebytes fund nicht bedeutet das tatsächlich alles an vorhandener malware weg ist, empfehle ich jedem, der hier mit liest, eine manuelle prüfung durchführen zu lassen.
und die sicherheitslücke(n) durch die die malware gekommen ist, sind auch noch offen, jederzeit ist eine neu infektion also möglich.
__________________

__________________

Alt 14.02.2012, 16:28   #3
supporter64
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



wenn ich Dich richtig verstehe, ist ein Port nach wie vor geöffnet ?

Kann ich die Windows Firewall daraufhin mit einer Regel zum Schließen bewegen ?

Manuell durchsuchen heißt im Hilfe-Deutsch was genau ?

Wäre eine Möglichkeit die WinFirewall zu deaktivieren und eine neue Firewall eines anderen Anbieters zu installieren ?
__________________

Alt 14.02.2012, 16:36   #4
markusg
/// Malware-holic
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



ne firewall hat damit nichts zu tun.
die windows firewall reicht da vollkommen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.02.2012, 19:58   #5
supporter64
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



hier die Auswertung

Danke für den prüfenden Blick


Alt 14.02.2012, 20:08   #6
markusg
/// Malware-holic
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



sieht io aus.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
--> Firefox.de im Local-Ordner "nach Bezahlen und runterladen"

Alt 15.02.2012, 07:31   #7
supporter64
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



anbei Liste aus ccleaner

alle Programme sind bekannt und es werden alle gebraucht.
Angehängte Dateien
Dateityp: txt install.txt (15,2 KB, 186x aufgerufen)

Alt 15.02.2012, 10:12   #8
markusg
/// Malware-holic
 
Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Standard

Firefox.de im Local-Ordner "nach Bezahlen und runterladen"



deinstaliere:
7-Zip 4.65 du hast bereits ne neuere version
Adobe Flash Player10
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok


deinstaliere:
Adobe Shockwave
Adobe - Adobe Shockwave Player
update instalieren.

deinstaliere:
Java: beide.
Download der kostenlosen Java-Software
downloade java jre, instalieren.


TuneUp : auf sowas würde ich eher verzichten, einige funktionen sind vollkommen nutzlos, außerdem kann das programm häufig das gegenteil bewirken, eine system verlangsamung, und einige funktionen können das system kaputt machen (nicht mehr bootbar zb)

öffne otl, bereinigen,
neustart.
öffne ccleaner, analysieren, bereinigen, neustart.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Firefox.de im Local-Ordner "nach Bezahlen und runterladen"
0.15956296855649832.exe, appdata, avast, exploit.drop.2, firefox.exe, fund, gelöscht, internetverbindung, lahm, microsoft, mozilla, neustart, ohne internetverbindung, ordner, quarantäne, scan, scanner, software, suche, system, temp, tmp, trojan.zbot, trojan.zbot.cbcgen, verbindung, version, win, win7, win7 64bit, windows, wlan



Ähnliche Themen: Firefox.de im Local-Ordner "nach Bezahlen und runterladen"


  1. Virus - "Windows aus Sicherheitsgründen blockiert, bezahlen und runterladen"
    Log-Analyse und Auswertung - 27.03.2012 (16)
  2. "runterladen und bezahlen" - Windowssystemblockade
    Plagegeister aller Art und deren Bekämpfung - 20.03.2012 (13)
  3. II Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.
    Log-Analyse und Auswertung - 19.03.2012 (3)
  4. Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.
    Log-Analyse und Auswertung - 10.03.2012 (26)
  5. "Bezahlen und runterladen" 50 Euro, Windows blockiert
    Log-Analyse und Auswertung - 06.03.2012 (5)
  6. Fehlermeldung "Windows wurde gesperrt. runterladen und bezahlen" - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 24.02.2012 (17)
  7. Windows 7: "bezahlen und runterladen"-virus _ aus sicherheitsgründen wird...blockiert.etc
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (1)
  8. Windows blockiert - "Windows wurde gesperrt. ..... runterladen und bezahlen"
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (6)
  9. Infiziert "runterladen und bezahlen" mit Logs
    Log-Analyse und Auswertung - 02.02.2012 (4)
  10. "Bezahlen oder runterladen" Virus
    Log-Analyse und Auswertung - 23.01.2012 (3)
  11. Schwarzer Bildschirm bei Windows 7 Starter Edition und Aufforderung "bezahlen und runterladen"
    Plagegeister aller Art und deren Bekämpfung - 17.01.2012 (4)
  12. "Ihr windowssystem wurde blockiert" - "Runterladen und Bezahlen" - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.01.2012 (15)
  13. Schwarzer Bildschirm bei win7 start mit Feld "Bezahlen und runterladen"
    Log-Analyse und Auswertung - 12.01.2012 (11)
  14. Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert ... "bezahlen und runterladen"
    Log-Analyse und Auswertung - 05.01.2012 (9)
  15. und noch einer: "windowssystem... blockiert... bezahlen... runterladen"
    Log-Analyse und Auswertung - 26.12.2011 (30)
  16. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  17. Kann nichts mehr runterladen, auch nicht "HiJack This"! ("Your Computer is infected")
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (9)

Zum Thema Firefox.de im Local-Ordner "nach Bezahlen und runterladen" - Vorweg, Überschrift ist falsch, muss Firefox.exe heißen, sorry Hallo, vielleicht als Hilfe, wie es bei mir mit der Reinigung geklappt hat. mein System Win7 64bit auf aktuellem Stand, Avast auf - Firefox.de im Local-Ordner "nach Bezahlen und runterladen"...
Archiv
Du betrachtest: Firefox.de im Local-Ordner "nach Bezahlen und runterladen" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.