| |
| |||||||
Log-Analyse und Auswertung: Firefox öffnet SPAM-WebseitenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
07.05.2010, 17:40
| #1 |
| /// Selecta Jahrusso   |  Firefox öffnet SPAM-Webseiten Versuch es bitte im abgesicherten Modus. Mehrmals beim Hochfahren die F8 Taste drücken und abgesicherten Modus auswählen --> enter.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
07.05.2010, 18:25
| #2 |
 | Firefox öffnet SPAM-Webseiten Leider das gleiche Spiel. Ich könnte natürlich zwischendurch einen Log speichern falls dies was bringen sollte?
__________________ |
|
07.05.2010, 18:30
| #3 |
| /// Selecta Jahrusso | Firefox öffnet SPAM-Webseiten ja poste das bitte mal
__________________
__________________ |
|
07.05.2010, 19:58
| #4 |
| | Firefox öffnet SPAM-Webseiten GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-05-07 20:46:38 Windows 5.1.2600 Service Pack 3 Running: yvnpxiz3.exe; Driver: C:\DOKUME~1\Tina\LOKALE~1\Temp\pgtdapow.sys ---- System - GMER 1.0.15 ---- SSDT F7E35D4E ZwCreateKey SSDT F7E35D44 ZwCreateThread SSDT F7E35D53 ZwDeleteKey SSDT F7E35D5D ZwDeleteValueKey SSDT F7E35D62 ZwLoadKey SSDT F7E35D30 ZwOpenProcess SSDT F7E35D35 ZwOpenThread SSDT F7E35D6C ZwReplaceKey SSDT F7E35D67 ZwRestoreKey SSDT F7E35D58 ZwSetValueKey SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF30CA320] ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF60B4360, 0x3CEED5, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xBB 0x21 0x88 0x58 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xBB 0x21 0x88 0x58 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... ---- EOF - GMER 1.0.15 ---- |
|
07.05.2010, 20:21
| #5 |
| /// Selecta Jahrusso | Firefox öffnet SPAM-Webseiten start --> ausführen --> notepad (reinschreiben) ---> OK Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument. Code:
ATTFilter @echo off
cd \
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" > look.txt
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" >> look.txt
notepad look.txt
del %0
Poste mir den Inhalt der Look.txt schritt 2 Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen Code:
ATTFilter c:\windows\system32\mspmsnsv.dll
Bitte poste in Deiner nächsten Antwort Look.txt Auswertung von VT Noch Probleme ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
08.05.2010, 13:29
| #6 |
| | Firefox öffnet SPAM-Webseiten ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS Type REG_DWORD 0x20 Start REG_DWORD 0x2 ErrorControl REG_DWORD 0x1 ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k netsvcs DisplayName REG_SZ Intelligenter Hintergrundübertragungsdienst DependOnService REG_MULTI_SZ Rpcss\0\0 DependOnGroup REG_MULTI_SZ \0 ObjectName REG_SZ LocalSystem Description REG_SZ Überträgt Dateien im Hintergrund unter Verwendung von sich in Leerlauf befindender Netzwerkbandbreite. Falls dieser Dienst beendet wird, können Funktionen wie Windows Update und MSN Explorer Programme und andere Informationen nicht automatisch übertragen. Durch Deaktivieren dieses Dienstes, können von diesem Dienst ausschließlich abhängige Dienste möglicherweise Dateien nicht fehlerfrei übertragen, wenn die Dienste nicht über einen Sicherungsmechanismus für die Dateiübertragung über IE bei Deaktivierung v FailureActions REG_BINARY 0000000000000000000000000300000068E30C000100000060EA00000100000060EA00000100000060EA0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Type REG_DWORD 0x20 Start REG_DWORD 0x4 ErrorControl REG_DWORD 0x1 ImagePath REG_EXPAND_SZ %systemroot%\system32\svchost.exe -k netsvcs DisplayName REG_SZ Automatische Updates ObjectName REG_SZ LocalSystem Description REG_SZ Aktiviert den Download und die Installation von Windows-Updates. Der Computer kann automatische Updates oder die Windows Update-Website nicht verwenden, falls der Dienst deaktiviert wird. Group REG_SZ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum Datei mspmsnsv.dll empfangen 2010.05.08 12:26:44 (UTC) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.05.08 - AhnLab-V3 2010.05.08.00 2010.05.07 - AntiVir 8.2.1.236 2010.05.07 - Antiy-AVL 2.0.3.7 2010.05.07 - Authentium 5.2.0.5 2010.05.08 - Avast 4.8.1351.0 2010.05.08 - Avast5 5.0.332.0 2010.05.08 - AVG 9.0.0.787 2010.05.08 - BitDefender 7.2 2010.05.08 - CAT-QuickHeal 10.00 2010.05.08 - ClamAV 0.96.0.3-git 2010.05.08 - Comodo 4791 2010.05.08 - DrWeb 5.0.2.03300 2010.05.08 - eSafe 7.0.17.0 2010.05.06 - eTrust-Vet 35.2.7474 2010.05.07 - F-Prot 4.5.1.85 2010.05.08 - F-Secure 9.0.15370.0 2010.05.08 - Fortinet 4.1.133.0 2010.05.08 - GData 21 2010.05.08 - Ikarus T3.1.1.84.0 2010.05.08 - Jiangmin 13.0.900 2010.05.08 - Kaspersky 7.0.0.125 2010.05.08 - McAfee 5.400.0.1158 2010.05.08 - McAfee-GW-Edition 2010.1 2010.05.07 - Microsoft 1.5703 2010.05.08 - NOD32 5096 2010.05.07 - Norman 6.04.12 2010.05.08 - nProtect 2010-05-08.01 2010.05.08 - Panda 10.0.2.7 2010.05.08 - PCTools 7.0.3.5 2010.05.07 - Prevx 3.0 2010.05.08 - Rising 22.46.05.04 2010.05.08 - Sophos 4.53.0 2010.05.08 - Sunbelt 6278 2010.05.08 - Symantec 20091.2.0.41 2010.05.08 - TheHacker 6.5.2.0.277 2010.05.07 - TrendMicro 9.120.0.1004 2010.05.08 - TrendMicro-HouseCall 9.120.0.1004 2010.05.08 - VBA32 3.12.12.4 2010.05.06 - ViRobot 2010.5.8.2306 2010.05.08 - VirusBuster 5.0.27.0 2010.05.07 - weitere Informationen File size: 27136 bytes MD5...: c51b4a5c05a5475708e3c81c7765b71d SHA1..: c61095f51df41e64b3f034458958c918f0d6f8a8 SHA256: f776d2680bd3407307b7072626f78460361fc5bc38623c9e16f394d300ab25de ssdeep: 768  Qrdsm8STScNCFnyXESZ9AAWng/WVRf+TSp+CQrdsm8STSXFncyAyoM+T9<br>C<br>PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3b1e<br>timedatestamp.....: 0x453711a3 (Thu Oct 19 05:48:19 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x51c7 0x5200 6.53 fe7844e8d31ea87cacf25b675f903c2c<br>.data 0x7000 0x68c 0x400 5.83 05e48ce95c056451a34b5764dd77504f<br>.rsrc 0x8000 0x7f8 0x800 3.36 376cc5d3206409d33610ff4a71293149<br>.reloc 0x9000 0x72c 0x800 4.27 a977a9009663c9ef81e9d15c87be2eec<br><br>( 3 imports ) <br>> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, ___U@YAPAXI@Z, ___V@YAXPAX@Z, __2@YAPAXI@Z, memmove, memset, memcpy, __3@YAXPAX@Z, _purecall<br>> KERNEL32.dll: WideCharToMultiByte, WaitNamedPipeW, CreateFileA, CreateFileW, DeviceIoControl, CompareStringA, GetVersionExA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, InterlockedExchange, GetModuleFileNameA, FormatMessageA, LoadLibraryExA, GetProcAddress, FormatMessageW, FreeLibrary, LeaveCriticalSection, EnterCriticalSection, GetDriveTypeW, GetLastError, CreateEventA, DisconnectNamedPipe, WaitForSingleObject, CancelIo, CloseHandle, SetEvent, ConnectNamedPipe, ReadFile, WriteFile, WaitForMultipleObjects, GetOverlappedResult, ResetEvent, LocalFree, CreateNamedPipeA, LocalAlloc, DeleteCriticalSection, DisableThreadLibraryCalls, InitializeCriticalSection, SetLastError, Sleep, GetTickCount<br>> ADVAPI32.dll: StartServiceA, TraceMessage, CreateServiceA, RegSetValueExA, RegCreateKeyA, RegQueryValueExW, RegSetValueExW, RegCloseKey, ControlService, DeleteService, RegDeleteKeyA, QueryServiceStatus, GetSecurityInfo, SetSecurityInfo, RegisterServiceCtrlHandlerA, AllocateAndInitializeSid, SetEntriesInAclA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, FreeSid, ImpersonateNamedPipeClient, RevertToSelf, SetServiceStatus, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenSCManagerA, OpenServiceA, CloseServiceHandle<br><br>( 4 exports ) <br>DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain<br> RDS...: NSRL Reference Data Set<br>- pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%) sigcheck:<br>publisher....: Microsoft Corporation<br>copyright....: (C) Microsoft Corporation. All rights reserved.<br>product......: Windows Media Device Manager<br>description..: Microsoft Media Device Service Provider<br>original name: MsPMSNSv.dll<br>internal name: MsPMSNSv.dll<br>file version.: 11.0.5721.5145<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br> |
|
08.05.2010, 16:36
| #7 |
| /// Selecta Jahrusso | Firefox öffnet SPAM-Webseiten Gefällt mir schritt 1 Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan) Downloade Dir bitte Malwarebytes
schritt 2 Java aktualisieren Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
schritt 3 Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
schritt 4 Starte bitte OTL.exe und klicke auf den Quick Scan Button. Bitte poste in Deiner nächsten Antwort Log von Malwarebytes Kaspersky.txt OTL.txt Noch Probleme ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
10.05.2010, 20:51
| #8 |
| /// Selecta Jahrusso | Firefox öffnet SPAM-Webseiten Combofix.exe noch am Desktop? Wenn ja versuch bitte start --> ausführen --> Combo-Fix /uninstall.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
10.05.2010, 22:25
| #9 | |
| | Firefox öffnet SPAM-WebseitenZitat:
Gleiche Fehlermeldung. |
|
| Themen zu Firefox öffnet SPAM-Webseiten |
| benötigte, bereits, firefox, folge, folgendes, konnte, laufe, laufen, logfiles, neue, neuen, scan, scanner, ständige, tagen, öffnet |
Hybrid-Darstellung
