Trojaner-Board - Firefox bleibt nicht Standardbrowser

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox bleibt nicht Standardbrowser (https://www.trojaner-board.de/84597-firefox-bleibt-standardbrowser.html)

Firefox bleibt nicht Standardbrowser

Nabend,
ich fürchte, ich hab mir da was eingefangen. Heute gingen plötzlich einige Fenster im Internet Explorer auf, obwohl ich weder was angeklickt habe noch den IE nutze.
Bei jedem Start von Firefox fragt man mich, ob FF der Standardbrowser wäre. Auch wenn ich einen Haken setze, kommt die Frage beim nächsten Mal erneut.
Zudem ist das FF-Symbol oben in der Leiste durch ein Symbol wie bei einer .exe ersetzt.
HJT gibt folgendes Log aus:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:18:25, on 07.04.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\WINDOWS\Logi_MwX.Exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\MICROS~3\wcescomm.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Programme\Sphairon\Sphairon USB Wireless LAN Card\WLanUtility.exe

C:\Programme\Trillian\trillian.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Outlook Express\msimn.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

E:\Downloads\HiJackThis.exe
 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Squall_F\Anwendungsdaten\sdra64.exe,C:\WINDOWS\system32\sdra64.exe,

O2 - BHO: C:\WINDOWS\system32\spw67.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\spw67.dll

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"

O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe

O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe

O4 - HKCU\..\Run: [hf8wefhuaihf8ewfydiujhfdsfdf] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe

O4 - Global Startup: UB801RE WLAN Anwendung.lnk = ?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{25438DF9-3B1C-4D21-A084-9F8D3B171F1B}: NameServer = 192.168.0.1

O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\spw67.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 4853 bytes

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\system32\spw67.dll

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Sehr gefährlich, sollte aber nachher von MAM geschafft werden:

Code:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Squall_F\Anwendungsdaten\sdra64.exe,C:\WINDOWS\system32\sdra64.exe ,

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Files to delete:

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe

C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe
 

Folders to delete:

C:\DOKUME~1\Squall_F\LOKALE~1\Temp

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe

O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe

O4 - HKCU\..\Run: [hf8wefhuaihf8ewfydiujhfdsfdf] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O2 - BHO: C:\WINDOWS\system32\spw67.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\spw67.dll

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt

Poste die Logfiles hier in den Thread

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris