Firefox zögert, Web.de Phishing Filter schlägt an
 

Servus,

heute morgen war ich im Konfigurationsforum auf www.hardwareluxx.de unterwegs, und bin auch einigen der Links zu hardware reviews, Preissuchmaschinen etc. gefolgt. Bei einem der Links kam der Firefox ins Stolpern. Danach sprang bei jedem Aufruf eines weiteren Links die Phishing Warnung des web.de mailcheckers auf, ich sei auf eine bekannte Malware Seite weitergeleitet worden. Nach einem Neustart des Rechners erschien beim ersten Start des Firefox erneut die Phishing Warnung. Ich habe Malwarebytes aktualisiert und drüberlaufen lassen, kein Fund. (wobei ich mir nicht mehr ganz sicher bin, in welcher Reihenfolge genau ich aktualisieren, neu booten, Firefox erneut starten, scannen erledigt habe; ich denke aber, in der genannten).

Ich habe das Trojaner Board geöffnet (dazu musste ich erstmal die Phishing Warnung ignorieren), mir Eure Anleitung durchgelesen, den defogger ausgeführt, OTL runtergeladen und QuickScan ohne Änderung der Einstellungen laufen lassen. Dafür soll man ja alle laufenden Programme stoppen, also auch den Browser. Überraschend: nach dem Durchlauf von OTL erschien beim Neustart von Firefox die Phishing Warnung nicht mehr.

Gmer habe ich natürlich nicht laufen lassen, da 64bit System.

Das Malwarebyte log und die OTL.xt (mit Usernamen durch Sternchen ersetzt) füge ich hier ein, eine Extras.txt wurde meines Wissens von OTL nicht erstellt (jedenfalls finde ich keine).

Einen Avira Scan von vor einigen Wochen hänge ich der Vollständigkeit halber auch noch an. Da war eine versteckte Datei entdeckt worden, ich konnte mich darum nicht gleich kümmern, es geriet in Vergessenheit.

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Ok danke, Das sollte mich den Rest der Woche erst mal beschäftigt halten.

MBAM ist durch, hat nichts gefunden. Hier eine Sammlung der Logs, die ich noch habe, einschließlich des letzten von heute.

Weiter im Text. Der Scan mit ESET dauert etwas länger (ca. 20-30 Stunden), zumindest wenn ich den damit gemachten Erfahrungen noch trauen kann.

Die Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden!
Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hier das ESET Log

und nochmal die OTL log und das letzte MBAM, zum schnellen Nachsehen

OTL Logfile:
--- --- ---

Randnotiz: Das D:/ Laufwerk enthält bei mir eine Installation von Windows XP, der Rechner ist als Dual Boot aufgesetzt. Ich habe die XP Umgebung aber lange nicht mehr benutzt.

Danke, und Gruesse

DP

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Was mich erstaunt: Firefox hat beim Öffnen heute morgen den update auf die 16.0.1 automatisch vorgenommen. AdwCleaner konstatiert aber nach wie vor die 15.0.

Das ist doch völlig irrelevant

Bitte mal den aktuellen adwCleaner v2.005 runterladen, also die alte adwcleaner löschen und neu runterladen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Ich weiß nicht, was relevant ist und was nicht. Woher auch. Also teile ich meine Beobachtungen vorsichtshalber mit, damit nichts Relevantes übersehen wird.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ich habe Vista immer ganz normal gebootet. Einschränkungen hatte ich keine bemerkt.

Ein leerer Ordner ("Tablet PC"), kein Ahnung ob da was drin war, und wenn ja, was.
Autostart ist leer, war es aber wohl auch schon vorher.
Hi-Rez Studios ist leer, da könnten Links zu Diagnoseprogrammen drin gelegen haben. Auch da bin ich mir nicht sicher, ob ich den Inhalt nicht schon selbst gelöscht habe.

Sonst meines Wissens alles da

Mach bitte einen (neuen) CustomScan mit OTL - das Log davon nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---


Das hier dürfte eigentlich nicht mehr sein

@Alternate Data Stream - 16 bytes -> C:\Downloads:Shareaza.GUID

Shareaza war mir nicht geheuer, deswegen habe ich es eigentlich schon vor einiger Zeit versucht, es wieder los zu werden. Wohl wenig erfolgreich.

Warum Business Edition?
Ist das ein Büro-/Firmen-PC?

Ich wollte möglichst viel Freiheiten bei der Vergabe von Zugriffsrechten (ich will meine Daten da abspeichern, wo ich will, nicht, wo das Betriebssystem sie meint hinschieben zu sollen), daher habe ich damals die Business Edition genommen. Ich schreibe zwar hin und wieder auch einen Brief auf dem Rechner, aber 90% der knapp 2 Terabytes auf den Platten sind Games.

Und was hat das bitte mit der Edititon zu tun? Auch ein HomePremium läuft auf einem NTFS-Dateisystem und es gibt auch keine künstliche Speicherplatzbegrenzung von 2 TB oder so - wo hast du diese Falschinformationen aufgeschnappt? :wtf:

Darum ging es nicht. Ich hatte von vorne herein vor, den Rechner als Dual Boot aufzusetzen (Vista + XP), und dann alle meine Dateien nur auf einer der Platten zu speichern. Ich mag mich getäuscht haben, aber ich hatte damals den Eindruck, die Vista Home Edition legt einen ziemlich fest, welche Daten wo abgespeichert werden (Z.B. in "Eigene Dateien" auf der Bootpartition). Unter XP war man da ja noch recht frei, und diese Freiheit wollte ich auch weiterhin haben.

Ich stelle mir gerade wieder einen neuen Rechner zusammen, auch für den werde ich Win 7 Professional nehmen. In dem Fall geht es mir aber hauptsächlich um die Möglichkeit, alte Betriebssysteme zu emulieren.

Welche alten Betriebssysteme? WinXP? :wtf:
Man kann auch "kostenlos" emulieren indem man eine VM zB mit Oracle VirtualBox aufsetzt
Man sollte dann aber schon etwas mehr Arbeitsspeicher im Rechner haben

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

XP und Win 98. Ich habe einige ältere Kamellen, die ich hin und wieder ganz gern nutze. Die Oracle VirtualBox kannte ich noch nicht, werde sie mir mal ansehen. Danke für den Tip.

Tatsächlich habe ich mir Win7 Pro schon zugelegt (OEM Version von e-bay, € 35)

Shareaza ist offensichtlich eine zähes kleines Ding.

Ich kenn sie seit etwa einem Jahr, hab davor immer mit VMWAre gearbeitet und gespielt, seit etwa zwei Wochen spiele ich mit OracleVirtualBox. Wirt ist ein 64-bittiges Xubuntu 12.04 und meine VMs zum Testen und Rumspielen sind mit NT4/2000/XP/Vista/Win7/Win8 (das ganze Spektrum ab NT4 alles 32-Bit :D )

Bei dem Preis kann man echt nicht meckern! :daumenhoc

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Irgendwelche Erfahrungen mit Win98-Programmen unter VirtualBox?

Nein, aber bisher lief jedes Windows super in VirtualBox

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix Logfile:
--- --- ---

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Oh Mann, ich stelle mich vielleicht dämlich an. Ich habe GMER runtergeladen, alle Programme gestoppt, den Virenscanner augeschaltet, LAN abgezogen, GMER gestartet. Dann war da noch die Frage: welche Laufwerke sollen gescannt werden. Dachte mir, schad nix, lass ich alle scannen. Denken soll man halt bleiben lassen, wenn man von der Sache nix versteht. Jedenfalls blieb GMER bei der Log Erstellung hängen. Dabei war das Log voll mit Einträgen von einer der sekundären Platten (H:/ oder X:/, ich kann's nicht mehr sagen).

Also GMER gekillt, nochmal gestartet. Diesmal nur C:/ und D:/ angehakt (die beiden Bootpartitionen). Ergebnis: GMER berichtete, dass keine veränderten Dateien gefunden wurden. Das Log war komplett leer. An der Stelle fiel mir ein, dass man ja nach jedem Scan einen Neustart machen soll.

Also Neustart, noch einmal C:/ und D:/ gescannt. Wieder fand GMER keine veränderten Einträge. Noch ein Scan, diesmal über die übrigen Platten. Gleiches Ergebnis, nichts gefunden. An der Stelle fiel mir ein, dass ich diesmal vergessen hatte, den Virenscanner auszuschalten. Autsch.

Jetzt mache ich erstmal mit OSAM weiter.

----- (Später) -----------

Tja, das war jetzt auch nicht der ganz große Erfolg. Ich habe alles so nachvollzogen, wie unter http://www.trojaner-board.de/84180-a...n-manager.html beschrieben. Jedoch kam nach dem letzten "Next" eine Nachricht, nciht alle Dateien seien schon im Labor überprüft worden, ob ich die noch nicht geprüften einsenden will. Habe ich natürlich auf ja geklickt. Danach ging das Fenster zu. Wenn ich dann aber auf "SaveLog" Klicke, passiert rein gar nichts. Jedenfalls kann ich kein SaveLog finden. Ich habe den Vorgang wiederholt, gleicher Verlauf.

Weiter mit aswMBR

Beobachtungen: Beim Starten heute morgen wollte Windows Update einen Definition Update for Windows Defender machen (Definition Update for Windows Defender - KB915597, Definition 1.139.124.0; Größe ist etwas ungewöhnlich, ca. 10 MB angezeigt). Der Update schlug fehl, Fehlercode 80070670 Unbekannter Fehler bei Windows Update. Das habe ich noch nie erlebt. Eine Opttion, die Installation erneut zu versuchen, gibt es nicht.

Rufe ich dann "Hilfe zu diesem Fehler" auf wird u.a. auch ein Link zum Windows Security Center angezeigt (Computer and Internet Security | Microsoft Safety & Security Center). Klicke ich darauf, öffnet sich IE9, aber die Adressleiste bleibt leer, der Zugriff erfolgt nicht. Ich muss die Adresse manuell einkopieren, dann lande ich aber auf der Haupseite des Windows Security Centers.

Wie gesagt, eine Beobachtung. Keine Ahnung ob signifikant, aber für alle Fälle

Wieso landet alles was ich jetzt schreibe eigentlich dauernd in meinem letzten Post?

Besonders übersichtlich ist das nicht

----------- 20.10.2012, 21:33

Ich nehme alles zurück, das passt schon so.

Ich habe gerade GMER nochmal nach allen Regeln der Kunst nur das C:/-Laufwerk scannen lassen, Ergebnis: Keine Modifikationen gefunden

Du hast ein 64-Bit Vista, sry das hätte ich eigentlich vorher sehen müssen, da läuft GMER und OSAM nicht immer. Das aswMBR Log sieht aber gut aus.

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Der Berg kreißte für 24 h und gebar - na, wenigstens nicht nur eine, sondern 305 Mäuse.

Jetzt also MBAM. Wieder 16 h. Ich muss unbedingt mal meinen Datenwust aufräumen. Die XP Partition benutze ich eh kaum noch.

Ach ja, hast Du denn eigentlich bisher eine Spur einer echten Malware entdeckt? Ich wäre ja froh, wenn das Ganze nur falscher Alarm gewesen wäre.

Die von SAS gefundenen cookies habe ich im Übrigen noch nicht gelöscht. Kann ich das Programm trotzdem schließen?

Hie also MBAM

Doch nur 6 h. Ich hab's mit dem ESET Scan verwechselt.

Ich müsste einige Überweisungen machen. Meinst Du, ich kann das schon wieder gefahsrlos unternehmen? Dann wäre es wohl auch ein günstiger Zeitpunkt, um eine Datensicherung und Notfall-CD zu erstellen.

Hmm. Da nun alle weiteren Einträge mit in meinem letzten landen, wir der Thread jetzt auch nicht mehr in der Liste nach oben befördert, wenn ich was hinzufüge. Wie kann ich jetzt die Aufmerksamkeit daraiuf lenken, dass es weitergehen kann?

Wie hast du sasw gestartet? Einfach per Doppelklick?

Bitte so wie es in der Anleitung steht auch ausführen!

So hatte ich es vor. Sollte ich es nicht so gemacht haben, geschah es versehentlich.

Und was jetzt? 24 Sunden Scan nochmal von vorne? Oder erstmal die 305 identifizierten Cookies rausschmeißen? Damit wäre mir jedenfalls schon wohler.

Wenn du sagst du hast es als Admin gestartet dann wird es so sein - ich hab schon mehrere Fälle gehabt wo sasw trotz mehrfacher Wiederholungen und direktem darauf Achten es als Admin auszuführen über einen Rechtsklick im Log immer noch limited - ignorieren wir es also ;)

Sieht ok aus, da wurden nur Cookies gefunden, die können alle weg.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Alle von SAS identifizierten Cookies sind gelöscht bzw. sie wurden in Quarantäne verschoben. Wozu aber eigentlich die Quarantäne? Der Quarantäne-Ordner behält die Dinger auch nur 30 TAge, da könnte ich sie doch auch gleich löschen?

Das Hosts File habe ich installiert, den DNS client service will ich allerdings eigentlich erst mal nicht auf Manual stellen. Erst mal sehen wie stark das große HostFile die Dinge verlangsamt. Das betriufft aber ja wohl zunächst mal nur den IE. Oder sieht Firefox ebenfalls dort nach? Die Webseite schweigt sich hierzu aus (ode ich habe es jedenfalls nicht gesehen)
Im Firefox habe ich meine Einstellungen so geändert, dass Cookies nicht länger automatisch akzeptiert werden. Ich nehme an, dann wird FF mich demnächst vorher fragen. Und wenn ich sie akzeptiere, werden sie jedenfalls hinterher wieder gelöscht. Meine Passwörter habe ich aber ohnehin nie abspeichern lassen. Ich logge mich immer bei allen benutzten Webseiten frisch ein.

Nein, das mit dem Popup der Phishing Warnung bei Web.de war mein einziges "Problem" (ist eigentlich ja nur ein Indiz für ein Problem). Seit dem ersten OTL-Scan trat das schon nicht mehr auf. Ich wollte mir aber natürlich sicher sein, den Rechner wieder sauber zu haben. Vielen, vielen Dank für Deine Hilfe dabei!
(**saikeirei**)http://dl.dropbox.com/u/5117968/Saikeirei.jpg

Das wäre doch jetzt ein guter Moment, um eine Notfall CD zu erstellen. Ich habe das jetzt mal begonnen wie unter dem Link in Deiner Signatur beschrieben.

Eine sehr sichere Variante zum Surfen ist ja sicherlich das Booten von einer CD, wobei dem so erstellten Benutzer nur Schreibrechte in einem isolierten Verzeichnis eingeräumt werden, das man dann anschließend vor jeder weiteren Verwendung der heruntergeladenen Dateien scannen kann. Kennst Du eine Beschreibung, wie man sowas implementieren könnte?

Im ersten Anlauf war jetzt mal die Xubuntu *.iso Datei größer als gefordert (682 statt 680,3 MB, Hash Werte nicht übereinstimmend mit den unter hxxp://forum.chip.de/viren-trojaner-wuermer/notfall-live-system-datenrettung-webzugang-etc-1453431.html genannten) Also noch ein Versuch.

Zweiter Anlauf, gleiches Ergebnis: Die von TU Chemnitz: URZ: Anwendungen und Dienste...: FTP-Archivbrowser heruntergeladene *.iso ist zu groß (wieder 682 MB). Was tut man da?

Ok, passt (siehe hxxp://forum.chip.de/viren-trojaner-wuermer/rueckmeldungen-faq-threads-vtw-forum-1547562-page5.html#post10413208; #43 und #44)

Xubuntu Disk wurde erstellt

Gleich direkt löschen ist aber nun doch was anderes als es für 30 Tage isoliert aufzubewahren
Was machst du denn, wenn du ein paar Tage später feststellst, "oh die Datei wurde durch einen Fehlalarm gelöscht" - ist die gleich gelöscht hast du keine Chance mehr, ist sie noch in Quarantäne kommst du an sie ran.

Was genau stört dich daran, dass die Malware entfernt ist aber in Q isoliert steckt?

Die Hostsdatei ist programmunabhängig - das Betriebssystem selbst macht damit eine lokale Namensauflösung. Was da drinsteht wirkt sich also auf das komplette System aus und ist nicht nur auf den IE beschränkt!

Wo soll dieses Verzeichnis liegen, was schwebt dir da vor?
Wo sollen die Daten verwendet werden, unter Windows?!
Wenn du eh nur in dem Live-Betriebssystem arbeitest gibt es nichts zu scannen

Lieber C.,

danke, dass Du Dir die Zeit genommen hast, diese Fragen noch zu beantworten!

Ich wollte eigentlich SAS wieder deinstallieren (was ja auch gar nicht so einfach ist). Es startet bei jedem Systemstart mit, und das verstehe ich nicht so ganz. Vermutlich bräuchte ich ja auch nur den Quarantäne Ordner zu löschen.

Klasse! Ich hab's auch schon bermerkt, das ganze Werbegerümpel auf Arcor.de wird gründlich und erfreulich komplett ausgebremst. Man sieht noch den Zugriff, aber er führt zu nichts mehr. Insgesamt ist der Firefox nicht langsamer, sondern deutlich schneller als vorher, trotz großer Hosts Datei und laufendem DNS client service.

Auf einer der Festplatten (nicht gerade der Bootpartition). Oder auch auf einem Stick, das ist ja prinzipiell egal.

Ja, unter Windows. Es sind ja selten .exe oder .bat Dateien, aber hin und wieder zieh ich mir schon mal eine .doc oder .xls mit irgendwelchen Informationen zu einem Spiel u.Ä. (z.B. Technologiebäume für Strategietitel, Lösungen zu RPGs, etc.). Da auf Nummer sicher gehen kann nicht schaden.

Die Xubuntu Disk könnte ja zum Beispiel nicht infiziert werden, aber darunter hat das System sicher (Schreib-)Zugriff auf alle vorhandenen Festplatten. Gibt es denn eigentlich Schädlinge, die in so einem Szenario gefährlich werden können, ohne dass eine ausführbare Datei geöffnet wird (die sich also z.B. beim Zugriff auf eine Webseite auf einen lokalen Datenträger schreiben)? Klingt eigentlich unwahrscheinlich.

Was soll daran problematisch sein? Was hat das damit zu tun, dass es beim Systemstart startet?

Dass du "einfach so" ein Linux egal ob Livesystem oder nicht infizierst ist schon mehr als unwahrscheinlich!

Und? Die Windows-Dateisystem bzw. Volumes müssen erstmal gemountet sein, damit sie im Dateisystem vom Linux erscheinen bzw. erreichbar sind.

Die beiden Dinge haben an sich nichts miteinander zu tun. Der Start von SAS beim Systemstart war von mir nicht gewollt, ich habe bei der Installation die Möglichkeit, dies vorzusehen, entweder übersehen, oder die Frage wurde so nicht gestellt. Das finde ich immer ein klein bisschen irritierend, und es macht mich mittlerweilen auch misstrauisch. Inzwischen habe ich aber gefunden, wie's geht, und den automatischen Start unterbunden.

Die Deinstallation von SAS ist aber jedenfalls nicht so einfach wie bei vielen anderen Programmen, wo im Startmenü ein extra Unterpunkt "XYZ deinstallieren" vorgesehen ist, den ich nur anklicken muss. Schwierig ist es allemal nicht, insbesondere wenn man die Seite hxxp://www.superantispyware.com/supportfaqdisplay.html?faq=47 gefunden hat, aber eben auch nicht intuitiv.

Das war mir neu, und ist erfreulich. Wenn ich es richtig verstehe, kann also weder Gott noch die Welt oder ich selbst noch ein Trojaner irgendwas auf eine der lokalen Platten schreiben, bevor ich sie am System mittels mount anmelde. Ich kann also zunächst ohne irgendein Speichermedium booten und gefahrlos durch die Niederungen des world wide web surfen?

Ich muss mich aber wohl doch mit den Details nochmal befassen, denn das Booten von der Xubuntu Disk funktioniert nicht. Das BIOS sagt "Boot von CD", dann zweimal Zeilenwechsel, und dann startet der Bootloader von der Festplatte. Ich werde mich mal an das Forum zu der Xubuntu Disk wenden.

Superantispyware sollte nach dem Kontrollscan eh wieder deinstalliert werden
Hinweise zur Deinstallation von sasw hatten wir auch extra ganz unten in unsere Anleitung gebaut

Richtig! Das war, was ich gelesen hatte. Daher meine Bemerkung, die Deinstallation sei nicht so ganz problemlos. Pardon, auch schon wieder ein paar Tage her.

Gut, deinstalliere ich SAS. Was bleibt eigentlich sonst noch zu tun? Ich hatte Dich ja so verstanden, dass wir durch sind. Defogger wieder rückgängig zu machen ist an sich nicht notwendig, da der eh nichts bewirken konnte. Oder doch?

defogger ist nur relevant wenn du Software für virtuelle CD/DVD Laufwerke verwendest

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Danke für die Tips! Dazu folgende Kommentare, der Vollständigkeit halber:

Windows Update habe ich auf Setting: bei Updates benachrichtigen. Die installiere ich eigentlich immer. Nur das Defender update, das neulich schiefging (siehe oben) dürfte ich irgendwie verpasst haben.

Java und Flash Player habe ich vor einiger Zeit rausgeschmissen, eine Empfehlung der c't. LDas Fehlen von Java bedeutet zwar ein bisschen extra Sicherheit, aber auch, dass ich PSI nicht nutzen kann. Oder gibt es evtl. eine Möglichkeit, PSI auch ohne Java scannen zu lassen?

Adobe Reader ist ebenfalls nicht auf meinem Rechner, ich nutze einen anderen Reader (wenn auch keinen der genannten). Firefox hält sich mittlerweilen selber aktuell, den IE nutze ich wegen der Anfälligkeit nicht mehr. Chrome und Safari habe ich drauf, werden aber nicht genutzt.

Aber jetzt nochmal was Anderes: Firefox war nach Ersatz der HOSTS-Datei ja anfangs mindestens gefühlt schneller. Inzwischen kriecht der Browser aber nur noch. Insbesondere das Abrufen von e-mail (wobei immer Tonnen von Adware im Hintergrund geladen werden wollen, f**k Arcor/Vodafone) und das Tippen in Eingabemasken (wie z.B. hier und jetzt) ist schmerzhaft lahm. Kann ich das durch Deaktivieren des DNS client service wieder beschleunigen, oder liegt es evtl. eher nicht daran?

----------

Update, 5.11., 9:45: Heute morgen bot Avira einen update auf die neue Version 2013 an. Die habe ich eingespielt. Jetzt ist Firefox wieder gewohnt schnell, insbesodere keinerlei Verzögerungen mehr bei der Eingabe von Text. Ein kausaler Zusammenhang muss deswegen noch nicht gegeben sein, ist aber natürlich immerhin möglich.

Warum denn gleich rauschmeißen?
Man kommt nicht immer ohne Flash aus, wenn du nicht willst, dass sofort Flashanimationen auf einer Website starten, dann nimmst du eben NoScript oder Flashblock

http://www.trojaner-board.de/83959-s...tml#post510373

Wie gesagt, eine Empfehlung in der c't.

Das stimmt leider. YouTube ist ein Verlust, wie auch die Möglichkeit, die Filmchen auf hxxp://www.wdrmaus.de/sachgeschichten/sachgeschichten/ ansehen zu können. Wobei letzteres eher mein Sohn beweint.

Darum geht es mir nicht (stört mich nicht so), als vielmehr das Vermeiden der mit Flash und Java mitgelieferten Malware-Einfallstore. Und in punkto Flash auf dem neuesten Stand halten: einen richtig lästigen Trojaner habe ich mir vor einiger Zeit mit einem gefakten Flash-update eingefangen. Das würde mir vielleicht so nicht mehr so leicht passieren, aber laut einigen Berichten, die mir in letzter Zeit unterkamen, sind eine Reihe Schwachpunkte in Java und Flash teilweise seit Monaten bekannt und immer noch nicht behoben. Vorsicht ist die Mutter der Porzellankiste, dachte ich mir.

Ich bin ja grade dabei, einen neuen Rechner auzusetzen. Da will ich mir einen extra Gast account für's surfen aufsetzen, mit Schreibrechten nur auf einem kleinen virtuellen Laufwerk. Wie findest Du die Idee? Was sollte man dabei beachten? Ich mache das erst mal unter Win7 Pro 64, werde aber wohl vor dem Ende des Sonderangebots im Januar auf Win 8 umstellen.



Danke, den Link hatte ich wohl übersehen. Der Link auf den ich klickte, hat mich zu einer Site geführt, auf der man den PSI Scan online machen konnte. Ging aber nur mit aktuellem Java.

Das Booten von der Xubuntu CD ist nicht möglich, die Experten im Chip-Forum wussten keinen Rat. Inzwischen habe ich festgestellt, dass ich auch nicht von der Vista Installations CD booten kann, obwohl ich (laut meinem lokalen Hardware-Experten) alle dafür nötigen Einstellungen vorgenommen habe. Gibt es Viren/Trojaner etc, die das Booten von CD verhindern? Wie kann ich das überprüfen?
[Anmerkung: Auf Anraten des genannten Experten habe ich gerade von Avira Free Version auf Microsoft Security Essentials umgestellt, und heute einen kompletten Scan damit gemacht. Keine Funde)

Laufwerk defekt? Anderes optisches Laufwerk testen
Mehr kann man bei so wenig Infos nicht sagen