Hallo zusammen,

ich bin 23 und IT-Systemelektroniker, bis jetzt konnte alle Probleme immer ganz gut lösen, nun bin ich aber verzweifelt und brauche euren Experten Rat.

Problem:

Ich surfte wie immer ganz normal mit Firefox im Netz dabei hing sich eine Website auf, kommt nunmal hin und wieder vor. Also ging ich in den Taskmanager und beendete Firefox. Seit dem fingen die Probleme an. Beim starten von FF oder IE schmiert er hin und wieder ab, zu 90% aber erst beim laden einer Seite. Beim IE lässt es sich ganz gut reproduzieren. Starten, auf google.de gehen "Firefox" eintippen und auf die Mozilla/Firefox Seite klicken, Absturz. Aber nicht immer, manchmal klappt es 10x und dann wieder überhaupt nicht.

Zudem treten bei FF (IE wird nur im Notfall genutzt, um Beispielsweise Firefox runterzuladen) komische Weiterleitungen auf. Immer nur bei "Subdomains" wenn ich per Google gesucht habe. Beispiel: Ich suche nach Michelin Reifen, finde eine Seite von Reifen-vor-Ort.de/.... und lande dann bei Reifendirekt.de. Auch das passiert mit unterschiedlichsten Domains und unregelmäßigen Abständen.

Was ich bereits probiert habe:

-Java deinstallieren und neu auf setzen
-Firefox deinstallieren und neu auf setzen

Bis jetzt ohne Erfolg.

Zur Info, ich benutze keinen Virenscanner und nur die Windows interne Firewall, hatte aber in den letzten Jahren auch nie Probleme. Ich lasse hin und wieder NoAdware drüber laufen und ein paar Cookies etc. zu löschen.

Wenn ihr noch Tipps für weitere Software habt immer her damit.

Hier nun mein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29:04, on 17.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\TheaterTek\TheaterTek DVD 2.0\AutoKiller.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutoKiller.lnk = C:\Programme\TheaterTek\TheaterTek DVD 2.0\AutoKiller.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 6315 bytes

Ich hoffe ihr könnt mir weiterhelfen

Gruß

Fatman

So, ich habe weiter vieles probiert, aber es hilft alles nichts!

- Avira AntiVir installiert und gescannt was das Zeug hält -> nichts! (bestätigt meine Meinung das man die Dinger garnicht braucht wenn man seine Flossen im Griff hat)
- Malwarebytes installiert und gescannt, hat zwar eine Sache gefunden, war es aber auch nicht (Log weiter unten)

Habe keine Ahnung was ich noch machen soll. Es muss ja irgendetwas sein was beide Browser benutzen bzw. was beide beeinflusst/manipuliert.

Beim testen nach den Scans konnte ich 3x IE starten, auf Google gehen und nach Firefox suchen und die Mozilla Homepage aufrufen. Beim vierten mal ist er dann schon beim starten abgeschmiert (also bei der MSN Startseite).

P.S. beim Schreiben dieser Nachricht ist er auch mal wieder abgeschmiert (mit FF).

Da jetzt wieder nichts gefunden wurde werde ich immer unsicherer mit den Weiterleitungen, da keine auf Pornoseiten, Werbeseiten oder sonstiges dubioses stattgefunden hat. Immer nur auf artverwandte und bekannte Websites.

Wenn Firefox nicht die Möglichkeit anbieten würde die zuletzt aufgerufene Seite wieder zu laden nachdem er abgeschmiert ist wäre ich schon längst verzweifelt beim surfen. Aber auch so ist die Situation absolut scheisse. Da vergeht einem die Lust auf Online Banking und andere sensitive Sachen.

Hier noch das Log von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

17.04.2009 22:55:43
mbam-log-2009-04-17 (22-55-43).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 116741
Laufzeit: 25 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\adaway.lic (Rogue.AdwareAway) -> Quarantined and deleted successfully.
         

EDIT:

Okay da waren die Weiterleitungen wieder, habe bei Google mit FF nach diesen Browser abstürzen gesucht, einen Foreneintrag bei PC-Welt gefunden, ich klicke ihn an die PC Welt Seite lädt, zack auf einmal steht in der Adressleiste eine komplett andere Adresse irgendeine IP mit jeder Menge hinten dran, aber zu schnell um es zu kopieren oder zu merken. Ich landete bei einer 1&1 Werbung. Wenn ich dann auf zurrück klicke landete ich beim gewünschten PC-Welt Eintrag. Okay ich dachte halt, PC Welt macht mit 1&1 Werbung.

Dann habe ich den nächsten Eintrag beim Suchergebnis angeklickt und der war einer aus diesem Forum (http://www.trojaner-board.de/67695-f...-grund-ab.html) und wieder die gleiche scheisse und damit ist klar es stimmt was nicht. Wieder die komische URL und dann zack, keine Werbung sondern Absturz!


Gruß

Fatman

Jetzt konnte ich von der Weiterleitung einen Screenshot machen, wem sagt das was? (P.S. beim klicken auf "Upload" bei directupload schmierte FF wieder ab)



EDIT: Ich brech langsam ab

Jetzt wollte ich die IP Adresse aus dem Link mal tracen, also wie immer Start -> Ausführen "cmd" aber es geht nicht mehr, kurz geht die Taskleiste und die Symbole auf dem Desk weg und das wars. Auch bei Regedit und Co. Auch ein Aufrufen der Eingabeaufforderung über Zubehör scheitert.

Daraufhin habe ich diesen Thread im Forum gefunden ( http://www.trojaner-board.de/23270-e...icht-mehr.html ) die dort genannten Programme, *.exe*n und *.com Dateien gibts aber bei mir nicht. Das kann doch alles nicht wahr sein.

Ich will den Rechner nicht plattmachen, es lief gerade alles so gut. Und ich brauche den Rechner beruflich und privat für sensitive Dinge, Passwörter eintippen kann ich aber so natürlich knicken, sonst passiert noch schlimmeres!

Gruß

Fatman

Es gibt wieder neues, aber nichts gutes

Habe mir auch noch Super Anti Spyware runtergeladen und nach den Anweisungen hier im Forum ausgeführt, nach fast einer Stunde war der Scan dann durch, er hat zwar was gefunden, aber während er die Dateien in Quaratäne nahm schmierte auch er ab (diesmal aber mit Fehlermeldung), daher habe ich nur einen Screenshot von den Dateien. Löschen oder nicht?



Zudem habe ich festgestellt das sowohl die Updatefunktion von Avira AntiVir als auch die von Super Anti Spyware nicht funktioniert trotz bestehender Internet Verbindung. Sobald man nach Updates suchen will hängt sich das Programm auf (99% Auslastung im Taskmanager) das einzige wa hilft ist das killen des Prozesses.

Bitte helft mir. Das kann doch nicht alles von einem einzigen Schädling verursacht werden oder?

Sonst läuft der Rechner einwandfrei wie immer. Office, Spiele etc. keine Probleme.

Gruß

Fatman

Hallo,

es gibt wieder Neuigkeiten. Jetzt kommt noch dazu das nach geraumer Zeit, meist nach einigen Stunden das System extrem langsam wird. Und zwar weil der Prozess "Update.exe" das System zu 99% auslastet.

Ich habe natürlich gegoogelt was es damit auf sich hat, aber alle Lösungen und Problembeschreibungen passten nicht zu meinem Problem. Es existieren keine Update.exe Files im Windows Ordner etc.

Zumal heute zum ersten mal auch ein Spiel abegstürzt ist (Trackmania United). Ein Hardwaredefekt kann aber ausgeschlossen werden. Alleine schon wegen den Werbeweiterleitungen, der nicht möglichen Updates, kein CMD/Registry etc. und der Update.exe. Dennoch habe ich sowohl Speicher als auch CPU mit einem Kumpel gegengetauscht. Kein Unterschied.

Gegen die Update.exe hilft übrigens nur ein Reboot, da es ein SYSTEM-Prozess ist den man nicht beenden kann.

Gruß

Fatman

1. Rootkitsuche mit Gmer:

• Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
• Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
• Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls GMER etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
• Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
• Wenn der Scan fertig ist, drücke auf "Copy"
• Füge den Text hier im Board mit "STRG + V" ein

mfg, Kaos