Trojaner-Board - Firefox führt zu falschen Links und erzählt mir ständig ich hätte mehrere Viren

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox führt zu falschen Links und erzählt mir ständig ich hätte mehrere Viren (https://www.trojaner-board.de/72554-firefox-fuehrt-falschen-links-erzaehlt-mir-staendig-haette-mehrere-viren.html)

Search Navipromo version 3.7.6 began on 11.05.2009 at 20:08:38,35

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A08
USER : Hans ( Administrator )
BOOT : Normal boot

Antivirus : PC Tools AntiVirus 6.0.0.19 6.0.0.19 (Activated)

C:\ (Local Disk) - NTFS - Total:142 Go (Free:62 Go)
D:\ (CD or DVD)

Search done in normal mode

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Hans\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Hans\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Hans\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Hans\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Hans\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 11.05.2009 at 20:13:17,31 ***

FoxScan Version 1.1.1
Par Loup blanc - Zebulon.fr
Scan lancé le 11.05.2009 à 20:37

Microsoft Windows XP Professional Service Pack 2 [Version 5.1.2600]

Mozilla Firefox version : 3.0.10 (de)
Dossier d'installation : C:\Programme\Mozilla Firefox

=================================================================================
---------- Compte utilisateur : Hans [Session en cours]
=================================================================================

Profil : default
Dossier du profil : C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\mozilla\firefox\Profiles\rx9m1b5q.default\
Pages de démarrage prefs.js : "www.google.de"

//////////// Configuration \\\\\\\\\\\\\
======= Profil : default =======

Mise à jour Firefox : Activé
Mise à jour des modules complémentaires : Activé
Mise à jour des moteurs de recherche : Activé
Java : Activé
Javascript : Activé
Proxy : Pas de Proxy

//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

La notification d'installation des modules complémentaires est activée

Nom : XUL Cache
Dossier : C:\Programme\Mozilla Firefox\extensions\{3AEB46C1-0EF6-4F50-BB34-829072B9FE5B}\
Etat : actif

Nom : Default
Dossier : C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\
Etat : actif

Nom : Skype extension for Firefox
Dossier : C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\
Etat : actif

####### Traces de Goored trouvées dans : C:\Programme\Mozilla Firefox\extensions\{DC062E5E-1CFF-4A80-B91A-FB3C4B69ECE5}\chrome\content\overlay.xul #######

Nom : Google Toolbar for Firefox
Dossier : C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\mozilla\firefox\Profiles\rx9m1b5q.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\
Etat : actif

Nom : RealPlayer Browser Record Plugin
Dossier : C:\Program Files\Real\RealPlayer\browserrecord\
Etat : actif

//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

Recherche dans "prefs.js" :

browser.search.defaultenginename : "Google"
browser.search.defaulturl : "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
browser.search.selectedEngine : "Google"
keyword.URL :
keyword.enable :

--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur

=================================================================================
---------- Section commune
=================================================================================

//////////// DLL présentes dans C:\Programme\Mozilla Firefox\components \\\\\\\\\\\\\

browserdirprovider.dll
brwsrcmp.dll

------------------------------------------------------

//////////// Plugins de recherche \\\\\\\\\\\\\

--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur

C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
Template : http://www.amazon.de/exec/obidos/external-search/

C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
Template : http://rover.ebay.com/rover/1/707-37276-17702-4/4

C:\Programme\Mozilla Firefox\searchplugins\google.xml
Template : http://www.google.com/search

C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
Template : http://dict.leo.org

C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
Template : http://de.wikipedia.org/wiki/Spezial:Search

C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
Template : http://de.search.yahoo.com/search

------------------------------------------------------

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]
"Description"="Adobe® Flash® Player 10"
"Vendor"="Adobe Systems Incorporated"
"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nppl3260;version=6.0.12.69]
"Description"="RealPlayer(tm) LiveConnect-Enabled Plug-In"
"Vendor"="RealNetworks"
"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nprjplug;version=1.0.3.69]
"Description"="RealJukebox Netscape Plugin"
"Vendor"="RealNetworks"
"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nprpjplug;version=6.0.12.69]
"Description"="6.0.12.69"
"Vendor"="RealNetworks"
"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nsJSRealPlayerPlugin;version=]

------------------------------------------------------

//////////// Recherche additionnelles... \\\\\\\\\\\\\

==== Extension supplémentaire ====

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]
"{ABDE892B-13A8-4d1b-88E6-365A6E755758}"="C:\Program Files\Real\RealPlayer\browserrecord"

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.10\extensions]

=========================== Fin du rapport ===========================

Hi,

FoxScan zeigt, dass du eventuell mit einem Schädling für Firefox infiziert bist:

Lade dir bitte GooredFix.exe herunter und speichere es auf deinem Desktop.
Führe das Programm per Doppelklick aus und wähle die Option 1.
Ein log sollte sich öffnen, poste den Inhalt bitte hier.

lg myrtille

Nabend...

GooredFix v1.92 by jpshortstuff
Log created at 00:06 on 12/05/2009 running Option #1 (Hans)
Firefox version 3.0.10 (de)

=====Suspect Goored Entries=====

C:\Programme\Mozilla Firefox\extensions\{DC062E5E-1CFF-4A80-B91A-FB3C4B69ECE5}

=====Dumping Registry Values=====

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.10\extensions]
"Plugins"="C:\Programme\Mozilla Firefox\plugins"

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.10\extensions]
"Components"="C:\Programme\Mozilla Firefox\components"

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]
"{ABDE892B-13A8-4d1b-88E6-365A6E755758}"="C:\Program Files\Real\RealPlayer\browserrecord"

Hi,

das sieht eigentlich recht verheißungsvoll aus. :D

Lass bitte Option 2 durchlaufen, bestätige die Nachfrage, ob du wirklich weitermachen willst mit "Y" für ja.

lg myrtille

Was auch immer daran verheissungsvoll sein soll... hier noch mehr davon...
:D

GooredFix v1.92 by jpshortstuff
Log created at 18:55 on 12/05/2009 running Option #2 (Hans)
Firefox version 3.0.10 (de)

=====Goored Deletions=====
C:\Programme\Mozilla Firefox\extensions\{DC062E5E-1CFF-4A80-B91A-FB3C4B69ECE5}
->Backing up folder... Done.
->Emptying folder... Done.
->Deleting folder... Done.

=====Dumping Registry Values=====

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.10\extensions]
"Plugins"="C:\Programme\Mozilla Firefox\plugins"

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.10\extensions]
"Components"="C:\Programme\Mozilla Firefox\components"

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]
"{ABDE892B-13A8-4d1b-88E6-365A6E755758}"="C:\Program Files\Real\RealPlayer\browserrecord"

Sehr schön. :D Wie gehts dem Rechner denn jetzt?

Wenn sich verheißungsvoll bestätigen soll, dann sollte es ihm jetzt besser gehen und keine Umleitungen mehr stattfinden. :D

lg myrtille

hmm, ich lass mal bei gelegenheit malwarebytes durchlaufen... bis jetzt kommen keine umleitungen.. aber sie kammen auch vorher nur ab und zu und nicht ständig... falls was melde ich mich :D

Vielen Dank für die Hilfe...

Hi,

ja teste mal 1-2 Tage ob alles in Ordnung ist, wenn ja, dann meld dich bitte nochmal, wir müssen noch den ganzen Ramsch, den wir auf deinen Rechner installiert haben wieder entfernen. :blabla:

Ich hätte nur gerne di Backups solange zur Verfügung, bis sicher steht, dass der Rechner sauber ist. :)

lg myrtille

so, ich merke zwar nix von einem virus oder trojaner, aber malwarebytes findet es immer noch...
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2095
Windows 5.1.2600 Service Pack 2

17.05.2009 12:46:49
mbam-log-2009-05-17 (12-46-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 156809
Laufzeit: 1 hour(s), 50 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Delete on reboot.

Hi,

kannst du bitte mal einen Quickscan machen mit Malwarebytes und schauen ob die Dateien da auch gefundne werden?

Ich glaub langsam nicht mehr wirklich daran, dass die Dateien noch da sind.

Lade dir bitte SystemLook by jpshortstuff von einer dieser Quellen herunter:
Download Mirror #1
Download Mirror #2

Führe SystemLook.exe per Doppelklick aus.
Kopiere bitte folgende Einträge in das Textfeld:

Code:

:filefind ntdll64.exe frmwrk32.exe loader49.exe
Klicke danach auf Look um den Scan zu starten.
Am Schluss öffnet sich notepad mit einem Bericht. Poste den Inhalt bitte in deiner nächsten Antwort.

NB: Das Log lässt sich auch auf deinem Desktop mit dem Namen SystemLook.txt finden

lg myrtille