Trojaner-Board - Firefox startet immer mit Proxy und Security Shield eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox startet immer mit Proxy und Security Shield eingefangen (https://www.trojaner-board.de/101427-firefox-startet-immer-proxy-security-shield-eingefangen.html)

Firefox startet immer mit Proxy und Security Shield eingefangen

Hallo Community,

seit einiger Zeit stellt sich Firefox nach jedem Schließen und Öffnen auf die manuelle Proxy-Konfiguration --> HTTP-Proxy: 127.0.0.1; Port: 60343; egal was ich einstellte (mein Standard: "Proxyeinstellungen des Systems verwenden"). Ich kann leider nicht mehr nachvollziehen, ob dies mit eine Vireninfektion in Zusanmmenhang steht. Ich habe viele Tipps aus Foren und Anleitungen ausprobiert und x-mal die Firefox-Konfiguration verändert. Alles mit negativem Erfolg.

Zwischenzeitlich habe ich mir die Malware "Security Shield" eingefangen, die hoffentlich mittels dieser Anleitung: hxxp://www.bleepingcomputer.com/virus-removal/remove-security-shield entfernen konnte (RKill und Malewarebytes).
Danach habe ich HiJackThi s benutzt und in der Logdatei diese Zeile gefunden: "R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60343". Das ist genau die Einstellung auf die der Firefox bei jedem Start zurückspringt....
Weiterhin kommen mir diese beiden Zeilen im Logfile suspekt vor:
F3 - REG:win.ini: load=C:\Users\***\AppData\Local\Temp\csrss.exe
O4 - HKCU\..\Run: [conhost] C:\Users\***\AppData\Roaming\Microsoft\conhost.exe

Ich habe alle Logfiles von OTL, Malbytes und HiJackThi s beigefügt (defogger hat keinen Neustart verlangt?).

Für eine Lösung meines Firefoxproblems und für eine Virenfreiheit meines PCs wäre ich Euch sehr dankbar.

Gruß
alfa

Zitat:

Datenbank Version: 7118

Bitte Malwarebytes updaten und einen neuen Vollscan machen

Hallo,

ich habe einen Vollscan mit upgedatetem Malewarebytes durchgeführt --> keine Funde, siehe Logfile.

Danke fürs Kümmern.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4:64bit: - HKLM..\RunOnce: [MSKSSRV]  File not found

O4:64bit: - HKLM..\RunOnce: [MSPCLOCK]  File not found

O4:64bit: - HKLM..\RunOnce: [MSPQM]  File not found

O4:64bit: - HKLM..\RunOnce: [MSTEE.CxTransform]  File not found

O4:64bit: - HKLM..\RunOnce: [MSTEE.Splitter]  File not found

O4:64bit: - HKLM..\RunOnce: [NoIE4StubProcessing]  File not found

O4:64bit: - HKLM..\RunOnce: [WDM_DRMKAUD]  File not found

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{37d387ac-ae3d-11df-9099-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{37d387ac-ae3d-11df-9099-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Setup.exe

[2011.07.17 19:58:54 | 000,709,456 | ---- | C] () -- C:\Windows\is-M95V7.exe

[2011.07.17 19:58:54 | 000,012,846 | ---- | C] () -- C:\Windows\is-M95V7.msg

[2011.07.17 19:58:54 | 000,000,342 | ---- | C] () -- C:\Windows\is-M95V7.lst

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

ich habe den OTL-Fix durchgeführt und das Log-File angefügt. Der Firefox verhält sich noch so, wie in meinem ersten Posting beschrieben.

Vielen Dank bisher und Gruß
alfa

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Arne,

habe den Scan mit TDSSKiller durchgeführt und dies angezeigt bekommen (kein Report-Button):
System scan completed
Duration: 00:00:09
Processed: 259 objects
Infection: not found

Gruß
alfa

Hallo Arne,

jetzt habe ich den Report-Button doch noch gefunden...:rolleyes:

Gruß
alfa

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Arne,

ich habe den Scan mit aswMBR.exe durchgeführt und das Logfile angefügt.

Gruß
alfa

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

oh je, das ist nicht so gelaufen, wie ich gedacht hatte...:heulen:
Nach Start von Combofix wurde nach "Fertiggestellt_Stufe50" ein Neustart durchgeführt. Danach habe ich mich als Benutzer wieder angemeldet und ein wild hüpfendes und blinkendes balues Fenster auf meinem Desktop vorgefunden. Nach ca. 5 Minuten wollte ich den Firefox starten, gelang aber nicht. Auch andere Programme starteten nicht. Nun meldete ich mich ab und als Administrator wieder an. Hier fand ich das blaue Combofix-Fenster wieder (sah normal aus) und es wurde gerade das Logfile erstellt. Ein weiters Fenster war geöffnet: "Die Systemwiederherstellung wurde nicht erfolgreich ausgeführt.....". Programme lassen sich jetzt wieder starten (als Admin und als Benutzer). Hier ist das Combofix Logfile:

Code:

ComboFix 11-07-20.05 - Admin 20.07.2011  22:25:05.1.4 - x64

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.6143.4729 [GMT 2:00]

ausgeführt von:: c:\users\Alfred\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\Install.exe

c:\users\Alfred\AppData\Roaming\Adobe\plugs

c:\users\Alfred\AppData\Roaming\Adobe\shed

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-20 bis 2011-07-20  ))))))))))))))))))))))))))))))

.

.

2011-07-20 19:07 . 2011-06-07 17:10        8873296        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{E1772527-974B-4306-A040-B656A255D4B2}\mpengine.dll

2011-07-19 20:30 . 2011-07-19 20:30        --------        d-----w-        C:\_OTL

2011-07-13 22:57 . 2011-07-13 22:57        --------        d-----w-        c:\users\Alfred\AppData\Local\smicrtnet

2011-07-12 21:38 . 2011-07-12 21:38        --------        d-----w-        c:\users\Alfred\AppData\Roaming\Malwarebytes

2011-07-12 19:57 . 2011-07-12 19:57        --------        d-----w-        c:\users\Admin\AppData\Roaming\Malwarebytes

2011-07-12 19:56 . 2011-07-12 19:56        --------        d-----w-        c:\programdata\Malwarebytes

2011-07-12 19:56 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-07-12 19:56 . 2011-07-17 18:12        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2011-07-12 19:56 . 2011-07-06 17:52        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-10 21:13 . 2011-07-10 21:13        --------        d-----w-        c:\users\Alfred\AppData\Local\iTunesMainaudio

2011-07-06 23:46 . 2011-07-06 23:46        --------        d-----w-        c:\windows\SysWow64\wbem\en-US

2011-07-06 23:46 . 2011-07-06 23:46        --------        d-----w-        c:\windows\system32\wbem\en-US

2011-07-06 23:12 . 2003-06-12 21:25        7062        ----a-w-        c:\windows\SysWow64\audiopid.vxd

2011-07-06 23:12 . 2011-07-06 23:12        --------        d-----w-        c:\program files (x86)\Common Files\Creative

2011-07-06 23:12 . 2011-07-06 23:12        --------        d--h--w-        c:\program files (x86)\Creative Installation Information

2011-07-06 23:12 . 2011-07-06 23:12        --------        d-----w-        c:\program files (x86)\Common Files\Creative Labs Shared

2011-07-06 23:12 . 2011-07-06 23:12        --------        d-----w-        c:\program files\Creative

2011-07-06 23:03 . 2011-07-06 23:03        --------        d-----w-        c:\windows\system32\SPReview

2011-07-06 23:02 . 2011-07-06 23:02        --------        d-----w-        c:\windows\system32\EventProviders

2011-07-06 22:49 . 2011-07-06 22:49        --------        d-----w-        c:\users\UpdatusUser

2011-07-06 22:49 . 2011-07-06 22:49        --------        d-----w-        c:\program files (x86)\NVIDIA Corporation

2011-07-06 22:49 . 2011-05-21 04:01        739432        ----a-w-        c:\windows\system32\easyupdatusapiu64.dll

2011-07-06 22:49 . 2011-05-21 04:01        2560616        ----a-w-        c:\windows\system32\nvsvcr.dll

2011-07-06 22:48 . 2011-07-06 22:48        --------        d-----w-        c:\programdata\NVIDIA Corporation

2011-07-06 22:48 . 2011-07-06 22:49        --------        d-----w-        c:\program files\NVIDIA Corporation

2011-07-04 01:04 . 2011-07-04 01:04        --------        d-----w-        c:\users\Alfred\AppData\Roaming\7331079

2011-06-25 16:32 . 2010-11-05 01:57        48976        ----a-w-        c:\windows\system32\netfxperf.dll

2011-06-25 16:32 . 2010-11-05 01:57        1942856        ----a-w-        c:\windows\system32\dfshim.dll

2011-06-25 16:32 . 2010-11-05 01:58        1130824        ----a-w-        c:\windows\SysWow64\dfshim.dll

2011-06-25 16:30 . 2010-11-20 13:27        473600        ----a-w-        c:\windows\system32\taskcomp.dll

2011-06-25 16:29 . 2010-11-20 13:27        255488        ----a-w-        c:\windows\system32\wavemsp.dll

2011-06-25 16:28 . 2010-11-20 12:21        363008        ----a-w-        c:\windows\SysWow64\wbemcomn.dll

2011-06-25 16:28 . 2010-11-20 12:19        606208        ----a-w-        c:\windows\SysWow64\wbem\fastprox.dll

2011-06-25 16:27 . 2010-11-20 13:27        524288        ----a-w-        c:\windows\system32\wmicmiplugin.dll

2011-06-25 16:27 . 2010-11-20 13:27        529408        ----a-w-        c:\windows\system32\wbemcomn.dll

2011-06-25 16:27 . 2010-11-20 13:27        1225216        ----a-w-        c:\windows\system32\wbem\wbemcore.dll

2011-06-25 16:26 . 2010-11-20 13:27        933376        ----a-w-        c:\windows\system32\SmiEngine.dll

2011-06-25 16:26 . 2010-11-20 13:25        199168        ----a-w-        c:\windows\system32\PkgMgr.exe

2011-06-25 16:26 . 2010-11-20 13:26        422912        ----a-w-        c:\windows\system32\drvstore.dll

2011-06-25 16:26 . 2010-11-20 13:26        399872        ----a-w-        c:\windows\system32\dpx.dll

2011-06-22 16:48 . 2011-06-22 16:48        2106216        ----a-w-        c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll

2011-06-22 16:48 . 2011-06-22 16:48        1998168        ----a-w-        c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-06 23:09 . 2009-07-14 02:36        175616        ----a-w-        c:\windows\system32\msclmd.dll

2011-07-06 23:09 . 2009-07-14 02:36        152576        ----a-w-        c:\windows\SysWow64\msclmd.dll

2011-06-28 19:03 . 2010-08-22 22:58        88288        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-06-28 19:03 . 2010-08-22 22:58        123784        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-06-22 16:45 . 2011-05-31 19:39        404640        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2011-06-03 05:57 . 2011-07-12 23:56        44032        ----a-w-        c:\windows\apppatch\acwow64.dll

2011-05-24 17:14 . 2010-08-22 23:00        270720        ------w-        c:\windows\system32\MpSigStub.exe

2011-05-21 04:01 . 2011-05-21 04:01        7123560        ----a-w-        c:\windows\system32\nvcuda.dll

2011-05-21 04:01 . 2011-05-21 04:01        67176        ----a-w-        c:\windows\system32\OpenCL.dll

2011-05-21 04:01 . 2011-05-21 04:01        6555240        ----a-w-        c:\windows\SysWow64\nvwgf2um.dll

2011-05-21 04:01 . 2011-05-21 04:01        57960        ----a-w-        c:\windows\SysWow64\OpenCL.dll

2011-05-21 04:01 . 2011-05-21 04:01        5301352        ----a-w-        c:\windows\SysWow64\nvcuda.dll

2011-05-21 04:01 . 2011-05-21 04:01        2943592        ----a-w-        c:\windows\system32\nvcuvid.dll

2011-05-21 04:01 . 2011-05-21 04:01        2804328        ----a-w-        c:\windows\SysWow64\nvcuvid.dll

2011-05-21 04:01 . 2011-05-21 04:01        2335848        ----a-w-        c:\windows\SysWow64\nvapi.dll

2011-05-21 04:01 . 2011-05-21 04:01        22286952        ----a-w-        c:\windows\system32\nvoglv64.dll

2011-05-21 04:01 . 2011-05-21 04:01        2212968        ----a-w-        c:\windows\system32\nvcuvenc.dll

2011-05-21 04:01 . 2011-05-21 04:01        2082408        ----a-w-        c:\windows\SysWow64\nvcuvenc.dll

2011-05-21 04:01 . 2011-05-21 04:01        18583144        ----a-w-        c:\windows\system32\nvcompiler.dll

2011-05-21 04:01 . 2011-05-21 04:01        16456296        ----a-w-        c:\windows\SysWow64\nvoglv32.dll

2011-05-21 04:01 . 2011-05-21 04:01        15223912        ----a-w-        c:\windows\system32\nvd3dumx.dll

2011-05-21 04:01 . 2011-05-21 04:01        1496168        ----a-w-        c:\windows\system32\nvdispco6420150.dll

2011-05-21 04:01 . 2011-05-21 04:01        1427048        ----a-w-        c:\windows\system32\nvgenco642090.dll

2011-05-21 04:01 . 2011-05-21 04:01        13206120        ----a-w-        c:\windows\system32\drivers\nvlddmkm.sys

2011-05-21 04:01 . 2011-05-21 04:01        13011560        ----a-w-        c:\windows\SysWow64\nvcompiler.dll

2011-05-21 04:01 . 2011-05-21 04:01        11992680        ----a-w-        c:\windows\SysWow64\nvd3dum.dll

2011-05-21 04:01 . 2009-07-14 23:54        8863336        ----a-w-        c:\windows\system32\nvwgf2umx.dll

2011-05-21 04:01 . 2009-07-14 23:54        2644584        ----a-w-        c:\windows\system32\nvapi64.dll

2011-05-21 04:01 . 2009-07-14 12:08        6300776        ----a-w-        c:\windows\system32\nvcpl.dll

2011-05-21 04:01 . 2009-07-14 12:08        61544        ----a-w-        c:\windows\system32\nvshext.dll

2011-05-21 04:01 . 2009-07-14 12:08        3040872        ----a-w-        c:\windows\system32\nvsvc64.dll

2011-05-21 04:01 . 2009-07-14 12:08        117864        ----a-w-        c:\windows\system32\nvmctray.dll

2011-05-21 04:01 . 2009-07-14 12:08        1016936        ----a-w-        c:\windows\system32\nvvsvc.exe

2011-05-03 05:29 . 2011-06-14 18:46        976896        ----a-w-        c:\windows\system32\inetcomm.dll

2011-05-03 04:30 . 2011-06-14 18:46        741376        ----a-w-        c:\windows\SysWow64\inetcomm.dll

2011-04-29 03:06 . 2011-06-14 18:46        467456        ----a-w-        c:\windows\system32\drivers\srv.sys

2011-04-29 03:05 . 2011-06-14 18:46        410112        ----a-w-        c:\windows\system32\drivers\srv2.sys

2011-04-29 03:05 . 2011-06-14 18:46        168448        ----a-w-        c:\windows\system32\drivers\srvnet.sys

2011-04-27 02:40 . 2011-06-14 18:47        158208        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-04-27 02:39 . 2011-06-14 18:47        289280        ----a-w-        c:\windows\system32\drivers\mrxsmb10.sys

2011-04-27 02:39 . 2011-06-14 18:47        128000        ----a-w-        c:\windows\system32\drivers\mrxsmb20.sys

2011-04-25 05:33 . 2011-06-14 18:47        1923968        ----a-w-        c:\windows\system32\drivers\tcpip.sys

2011-04-25 02:34 . 2011-06-14 18:47        499200        ----a-w-        c:\windows\system32\drivers\afd.sys

2011-04-22 22:15 . 2011-05-28 19:23        27520        ----a-w-        c:\windows\system32\drivers\Diskdump.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2010-05-26 13:23        1385864        ----a-w-        c:\program files (x86)\Ask.com\GenericAskToolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"NUSB3MON"="c:\program files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-11-20 106496]

"CTxfiHlp"="CTXFIHLP.EXE" [2010-05-05 25600]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbam.exe" [2011-07-06 1047656]

.

c:\users\Alfred\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.0.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

WISO Mein Sparbuch heute.lnk - c:\program files (x86)\WISO\Sparbuch 2009\meinsparbuchheute.exe [2010-12-5 1135912]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2011-07-06 79360]

R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [x]

R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [x]

R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [x]

R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-21 2214504]

S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [x]

S3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [x]

S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]

S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]

.

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

TCP: DhcpNameServer = 192.168.178.1

DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab

FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\e7zmdinw.default\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Creative\Shared Files\CTAudSvc.exe

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-07-20  22:47:16 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-07-20 20:47

.

Vor Suchlauf: 7 Verzeichnis(se), 265.261.969.408 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 265.620.004.864 Bytes frei

.

- - End Of File - - 389FBE103B1C103651D89DE2A548904E

--- --- ---

Gruß
alfa

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Hallo Arne,

das hatten wir doch schon einmal. Ich habe den Scan durchgeführt und in der Anlage ist das Logfile. Übrigens weiterhin :dankeschoen:

Gruß
alfa

Ui, da hab ich mich in meinen Bausteinen verklickt :D :o

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Arne,

oh je, jetzt wurde doch noch etwas gefunden. Das mit dem FreeCommander kann ich aber kaum glauben. Dieses Tool benutze ich schon längere Zeit.:heulen:

Gruß
alfa

Nur Überreste und Cookies, die kannst du löschen.
Rechner ansonsten wieder im Lot?

Hi Arne,

alles im Lot, nur mein Firefox (nur als Benutzer, nicht als Admin) hat noch das unveränderte Verhalten: Firefox stellt sich nach jedem Schließen und Öffnen auf die manuelle Proxy-Konfiguration --> HTTP-Proxy: 127.0.0.1; Port: 60343; egal was ich einstellte (mein Standard: "Proxyeinstellungen des Systems verwenden"). Ich habe viele Tipps aus (Firefox-) Foren und Anleitungen ausprobiert und x-mal die Firefox-Konfiguration verändert. Alles mit negativem Erfolg. Das hat natürlich alles vor der Trojaner-Board-Zeit stattgefunden.

Gruß
alfa

Hm, könnte sein, dass das Verzeichnis vom FF selbst noch ne Macke hat. Deinstallier den FF, lösch danach manuell das Programmverzichnis => c:\program files (x86)\Mozilla Firefox

Und installier dann den FF neu. Hilft das auch nicht, musst du mit einem neuen FF-Profil ran => Profile verwalten | Anleitung | Firefox-Hilfe

Hi Arne,

und Du bist Dir sicher, dass es nicht an diesem Registry-Eintrag liegt: "R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60343".

Gruß
alfa

Zitat:

"R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60343".

Hm hab ich den übersehen? :confused:
Wenn ja, liegt es daran. Beachte mal => http://www.trojaner-board.de/94344-p...n-pruefen.html

Hi Arne,

tata :taenzer: mein Firefox startet wieder einwandfrei. Nach längerer Recherche im Internet fand ich den entscheidenden Hinweis im Chipforum, dass die dauernden Proxyumstellungen durch ein fehlerhaftes Addon verursacht sein könnten. Daher habe ich alle Addons deaktiviert und Firefox funktionierte wieder. Durch schrittweises Wiederaktivieren war der Übeltäter schnell gefunden. Der Password Exporter 1.2.1 hat wohl das Firefoxupdate auf Version 5.0 nicht ganz verkraftet. Nach Deinstallation und Wiederinstallation funktioniert jetzt alles wieder so, wie es sein soll.

Vielen Dank für Deinen Einsatz gegen mein Systemproblem. Kann ich mich jetzt als genesen betrachten oder hast Du noch weitere "Medizin" für mich auf Lager?:)

Gruß
alfa

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi Arne,

beim Entfernen von Combofix gab es keine Fehlermeldungen. Ich werde Deine Tipps und Hinweise beherzigen und umgehend umsetzen.

Für Deine große Hilfe noch ein dreifaches Dankeschön:
:dankeschoen: :dankeschoen: :dankeschoen:

Gruß
alfa