Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: unerwünschte Weiterleitung im Firefox

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.02.2011, 12:18   #1
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Hallo!

Ich benutze bei mir zu Hause ein Laptop mit Windows Vista drauf. Als ich an Weihnachten bei meinen Eltern war, hat mein Freund das Laptop zum Surfen benutzt und dabei einen Virus raufgeladen. Er war mit dem PC bei einem Fachmann, der meine Dateien gerettet und Windows wieder hergestellt hat: Die Details hiervon weiß ich leider nicht.
Zumindest ging mein Laptop wieder, als ich nach Weihnachten zurückgekommen bin: Meine persönlichen Dateien, Fotos, Musik, etc. waren drauf, aber Programme wie Corel Photo Paint, etc. mussten erst neu aufgespielt werden.
Etwa ein, zwei Wochen später hat mein Internetanbieter mir auch wieder das gewohnte Firefox aufgespielt und mir meine Internetverbindung eingerichtet.
Aber seitdem kommt es immer wieder vor, dass ich im Firefox auf ungewollte Seiten umgeleitet werde: Ein Problem, dass ich vorher nie hatte. Z. B. suche ich etwas bei Google, mache fünf Tabs gleichzeitig auf und ca. drei davon leiten mich auf irgendwelche Seiten weiter: Zunächst war dies immer die Seite "pornoluxx", die zum Glück nie aufgegangen ist, sondern nur eine weiße Seite war, die aber einen Penis als Icon in der Adresszeile hatte. Seit einigen Tagen ist es eine andere, neutralere Seite.
Habe auch versucht, eine andere Suchmaschine zu benutzen: Bei Exalead passiert dasselbe.

Hatte schonmal Spybot Search & Destroy laufen lassen, der hatte zwei Sachen gefunden und gelöscht, das brachte jedoch keine Verbesserung (außer vielleicht, dass ich nun nicht mehr auf Porno-Seiten geschickt werde...).

Mbam habe ich runtergeladen, das Programm konnte sich aber nicht aktualisieren (siehe Bild).
Habe es dann trotzdem laufen lassen und mbam hat wohl nichts gefunden, wenn ich das richtig verstehe. Hier der Text:

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5363

Windows 6.0.6000
Internet Explorer 7.0.6000.16643

08.02.2011 11:11:02
mbam-log-2011-02-08 (11-11-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 133590
Laufzeit: 7 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Der Computer spinnt auch so manchmal, indem er z. B. unvermutet einfach abstürzt: Dann geht ein blauer Hintergrund mit weißer Schrift auf, wo u. a. steht „Dumping physical memory…[weiß ich nicht mehr]“, und danach fährt er wieder hoch.

Das ganze Problem ist mir ausgesprochen unheimlich, vor allem da ich auch Internetbanking benutze.
Also:
Für jede Art von Hilfe wäre ich überaus dankbar!

Freundliche Grüße,
canis.


Im Anhang noch die beiden Logfiles von OTL.
Miniaturansicht angehängter Grafiken
-malwarebytes_fehler.jpg  

Alt 08.02.2011, 18:01   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 08.02.2011, 18:19   #3
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Hallo!

Danke für die schnelle Antwort.
Aber das ist ja schon eins meiner Probleme: Malwarebytes aktualisiert sich nicht.
--> Die Fehlermeldung habe ich als Bild an meinen vorigen Post angehängt.

Weißt du vielleicht, ob ich da irgendwo irgendwas freischalten muss, damit das Programm eine Verbidnung zum Internet herstellen kann? (denn die Aktualisierung geht nie über den Status "Verbinde mit dem Server" hinaus, dann folgt immer die Fehlermeldung und die Aktualisierung wird abgerochen)

Gruß,
canis.
__________________

Geändert von canis (08.02.2011 um 18:27 Uhr)

Alt 08.02.2011, 19:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Man kann hiermit über ein Setup update => http://data.mbamupdates.com/tools/mbam-rules.exe
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.02.2011, 19:48   #5
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Bin deinem Link gefolgt und habe hoffentlich alles richtig gemacht.

Hier ist das neue Logfile:

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5662

Windows 6.0.6000
Internet Explorer 7.0.6000.16643

09.02.2011 19:32:13
mbam-log-2011-02-09 (19-32-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 206748
Laufzeit: 1 Stunde(n), 11 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß,
canis.


Alt 10.02.2011, 11:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Ist das ein Büro-Rechner (gewesen)? Warum steht da ein Proxyserver drin?? Kann auch von der Malware stammen

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
FF - prefs.js..network.proxy.ftp: "192.168.65.1"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.65.1"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.65.1"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.65.1"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "192.168.65.1"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 1
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
--> unerwünschte Weiterleitung im Firefox

Alt 10.02.2011, 21:03   #7
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Mein Internet geht jetzt nicht mehr Die Einträge im Firefox hatten schon ihre Richtigkeit.
Sag mir bitte, wie ich das wieder rückgängig machen kann!

Alt 10.02.2011, 21:46   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Wieso surfst du über einen Proxy??
Was ist das für ein Rechner, steht der im Büro?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.02.2011, 22:32   #9
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Mein Vermieter hat sein "Privatnetzwerk" (oder wie nennt man das?) und auf das darf jeder Mieter, der eigene Zugangsdaten hat, zugreifen... wie und wo und warum da der Proxy ist, weiß ich nicht.

Ich hab jetzt die Einstellungen im Firefox wieder rückgängig gemacht (und dabei gelernt, dass man in der Adresszeile about:config eingeben kann, um Einstellungen vornehmen zu können... )


Hier noch das Log:

Zitat:
All processes killed
========== OTL ==========
Prefs.js: "192.168.65.1" removed from network.proxy.ftp
Prefs.js: 3128 removed from network.proxy.ftp_port
Prefs.js: "192.168.65.1" removed from network.proxy.gopher
Prefs.js: 3128 removed from network.proxy.gopher_port
Prefs.js: "192.168.65.1" removed from network.proxy.http
Prefs.js: 3128 removed from network.proxy.http_port
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "192.168.65.1" removed from network.proxy.socks
Prefs.js: 3128 removed from network.proxy.socks_port
Prefs.js: "192.168.65.1" removed from network.proxy.ssl
Prefs.js: 3128 removed from network.proxy.ssl_port
Prefs.js: 1 removed from network.proxy.type
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Jenny
->Temp folder emptied: 8744876 bytes
->Temporary Internet Files folder emptied: 32882321 bytes
->Java cache emptied: 32189 bytes
->FireFox cache emptied: 102449963 bytes
->Flash cache emptied: 4045 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2027355 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 139,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02102011_192450

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Aber wie gesagt, die Prefs.js hab ich wieder zurückgesetzt.



Gruß,
canis.

Alt 11.02.2011, 09:15   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.02.2011, 11:01   #11
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Beim ersten Versuch cofi zu starten, ist der PC abgestürzt.
Das zweite Mal hat funktioniert und cofi hat ein Rootkit gelöscht. Im Anhang das Log.

Danke schon mal soweit.
Gruß,
canis.

Alt 15.02.2011, 12:10   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
ATTFilter
File::
c:\users\Jenny\AppData\Local\Temp\JT.exe

Driver::
JT
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.02.2011, 22:14   #13
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Hallo!

Ich habe jetzt dreimal versucht cofi zu starten und dreimal ist der PC abgestürzt: cofi lädt seinen grünen Balken fast zu Ende, dann wird der Bildschirm blau, "Dumping physical memory..." und der PC startet neu.

Firewall und Norton waren eigentlich aus (bei Norton bin ich nicht ganz sicher, ob ich da alles deaktiviert habe).

Habe auch mal nach der jt.exe geguckt und sie nicht unter dem Verzeichnis
c:\users\Jenny\AppData\Local\Temp\
gefunden (Option "versteckte Dateien anzeigen" war aktiviert).
Auch die Suche nach "jt" auf dem Rechner (inklusive versteckter Dateien) hat nichts ergeben.

Weißt du Rat?

Gruß,
canis.

Alt 15.02.2011, 22:16   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Bitte alternativ den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
Files to delete:
c:\users\Jenny\AppData\Local\Temp\JT.exe

Drivers to delete:
JT
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.02.2011, 22:47   #15
canis
 
unerwünschte Weiterleitung im Firefox - Standard

unerwünschte Weiterleitung im Firefox



Hallo!

Der Avenger hat funktioniert

Hier der Link

hxxp://www.file-upload.net/download-3218625/backup.zip.html

und hier das Logfile:


Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\users\Jenny\AppData\Local\Temp\JT.exe" not found!
Deletion of file "c:\users\Jenny\AppData\Local\Temp\JT.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "JT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Gruß,
canis.

Geändert von canis (15.02.2011 um 23:08 Uhr)

Antwort

Themen zu unerwünschte Weiterleitung im Firefox
bild, blauer hintergrund, computer, dateien, explorer, firefox, gelöscht, google, hintergrund, laptop, logfiles, malwarebytes, musik, neu, problem, programme, seite, seiten, suche, suchmaschine, surfen, virus, vista, weiterleitung, weiße seite, windows



Ähnliche Themen: unerwünschte Weiterleitung im Firefox


  1. Windows 8.1- Firefox: Unerwünschte Werbefenster, gefakte Java-Update-Meldungen und unerwünschte neue Tabs, die sich öffnen
    Log-Analyse und Auswertung - 12.09.2014 (15)
  2. Unerwünschte Weiterleitung bei Google-Suche Firefox
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (37)
  3. unerwünschte Weiterleitung im Firefox beim Anklicken von Google-Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 19.02.2012 (78)
  4. Google: unerwünschte Weiterleitung
    Log-Analyse und Auswertung - 13.12.2011 (71)
  5. Google (unerwünschte) Weiterleitung
    Log-Analyse und Auswertung - 10.12.2011 (2)
  6. [Win7] unerwünschte Weiterleitung auf gomeo etc.
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (1)
  7. Unerwünschte Weiterleitung nach gomeo, ask.com etc.
    Plagegeister aller Art und deren Bekämpfung - 15.03.2011 (6)
  8. Unerwünschte Weiterleitung bei Google im Firefox
    Plagegeister aller Art und deren Bekämpfung - 21.02.2011 (8)
  9. Unerwünschte Weiterleitung mit Firefox
    Plagegeister aller Art und deren Bekämpfung - 26.12.2010 (37)
  10. Unerwünschte Weiterleitung bei Google-Suche Firefox
    Plagegeister aller Art und deren Bekämpfung - 23.12.2010 (5)
  11. Unerwünschte Weiterleitung bei Google-Suche
    Plagegeister aller Art und deren Bekämpfung - 07.11.2010 (14)
  12. unerwünschte Weiterleitung bei Googel
    Log-Analyse und Auswertung - 22.08.2010 (13)
  13. Unerwünschte Weiterleitung von Google Suchergebnissen
    Log-Analyse und Auswertung - 12.08.2009 (2)
  14. unerwünschte Weiterleitung bei Google
    Log-Analyse und Auswertung - 15.07.2009 (16)
  15. Unerwünschte Weiterleitung bei google
    Log-Analyse und Auswertung - 21.06.2009 (2)
  16. unerwünschte Weiterleitung Browser
    Log-Analyse und Auswertung - 07.12.2007 (0)
  17. Merkwürdiges Verhalten von IE 6: Unerwünschte Weiterleitung
    Plagegeister aller Art und deren Bekämpfung - 07.11.2007 (4)

Zum Thema unerwünschte Weiterleitung im Firefox - Hallo! Ich benutze bei mir zu Hause ein Laptop mit Windows Vista drauf. Als ich an Weihnachten bei meinen Eltern war, hat mein Freund das Laptop zum Surfen benutzt und - unerwünschte Weiterleitung im Firefox...
Archiv
Du betrachtest: unerwünschte Weiterleitung im Firefox auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.