Trojaner eingefangen, Firefox öffnet sich nur mit searchqu
 

Hi!

Habe bereits gegooglet und sorgfältig Eure Regeln gelesen.
Obwohl ich mir sicher bin, dass ich einen Trojaner habe, poste ich hier, da ich bereits beim Erstellen des ersten logfiles mit defogger Probleme hatte. Ich wurde nach dem Scan nicht zum Neustart aufgefordert, habe dann aber dennoch einen Neustart durchgeführt. Auch danach ist kein logfile auf meinem Desktop gespeichert worden. Sorry.

Mein eigentliches Problem: Firefox zeigt als 'Home' Seite plötzlich immer hxxp://www.searchqu.com/406 an statt Google und lässt sich auch nicht ändern.

Ich hoffe, Ihr könnt mit helfen.

Danke und Grüße
agh

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.



Für gewöhnlich befindet sich das Logfile schon auf dem Desktop.

Wenn es sich nicht auf dem Desktop des angemeldeten Benutzers befindet, dann wahrscheinlich auf einem anderen Konto (z. B. auf dem des Administrators). :)



Bitte lies dir folgende Themen sorgfältig durch:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstelle anschließend die gewünschten Logfiles von Defogger, OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis. :)

Hi,

danke für die schnelle Antwort.

Ich habe jetzt noch mal defogger versucht und es besteht immer noch das gleiche Problem, also keine Aufforderung zum Neustart und auch kein logfile auf dem Desktop. Da der Administrator ich selbst bin, kann es auch auf keinem anderen Desktop liegen oder? Und wenn doch, wie komme ich da ran (ich habe meines Wissens keine anderen Accounts auf meinem Rechner).
Wie soll ich jetzt vorgehen?

Merci

Hall agh,


Poste bitte die Logfiles von OTL und GMER. :)

Na dann hoffe ich mal, ich mach das alles hier richtig ...
Heisst GMER, sind aber alle drei Dateien drin ... ;-)

Hallo agh,



Fast alles...


Hast du meine Einführungsworte überlesen? ;)

Du solltest OTL auf dem Desktop abspeichern und von dort starten. Lies dir bitte die Anleitungen genau durch, das ist wichtig!


Du hast heute MBAM installiert, vermutlich auch einen Suchlauf gestartet. Wieso postest du dann nicht gleich das Logfile (zu finden unter dem Tab Logdateien)? Das verstehe ich nicht... so könnten wir uns jede Menge Arbeit ersparen. :)





Schritt # 1: Mehrere Anti-Virus-Programme

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.





Schritt # 2: Deinstallation von Programmen

• Folge folgendem Pfad: Start -> Systemsteuerung -> Software
• Suche in der Liste Software mit dem folgenden Namen
  • Windows iLivid Toolbar
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 3: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung, für welches AV-Programm du dich entschieden hast,
• eventuell auftretenden Probleme bei der Deinstallation von Windows iLivid Toolbar und
• das Logfile von ComboFix.

Hey,

sorry für die Fehler, die ich gemacht habe. Ich glaub, Du musst ein bißchen geduldig mit mir sein, bin echt kein Computerheld und schon froh, dass ich das alles irgendwie geschafft habe bis hierhin.

OTL hab ich nicht auf den Desktop bekommen, weil ich nicht gefragt wurde, wo es gespeichert werden soll. Wie gesagt, bin kein Held.

Wegen MBAM...das hatte ich schon wieder vergessen, weil mein Problem davon nicht gelöst wurde. :-(

Zu den Codeboxen: Ich klicke auf das Symbol und füge dann den gesamten Inhalt der MBAM log zwischen den Klammern ein? Wenn das so richtig ist, dann schicke ich sie Dir noch hinterher.

Außerdem kümmere ich mich jetzt um Deine nächsten Schritte und melde mich dann wieder.
Danke!

ahg

Alle Schritte befolgt. Habe mich für Avira AntiVir enschieden.
Bestätigst Du mir bitte noch meine vorherige Frage zu den Codboxen, damit ich nichts flasch mache. Dann kann ich die logs schicken.
Danke.
agh

Hallo agh,



Schon in Ordnung. :)


In jedem Browser kann man einstellen, wo eine Datei gespeichert werden soll. ;) Wenn du mal Zeit hast, kannst du dich damit ja mal beschäftigen.
Zudem kannst du jede Datei von einem Ordner ganz einfach auf den Desktop verschieben. :)


Davon hätte ich gerne alle Logfiles. ;)


Korrekt!
Es gibt hier auch einen "Vorschau"-Button, damit kannst du dir deinen Post nochmal ansehen, bevor du ihn postest. ;)


Vielen Dank für die Rückmeldung. :daumenhoc



Ich warte auf deine Antwort.

So bitteschön! Unten hängen die Logfiles an. Von MBAM gabs nur eine.

Hab ich doch schon längst, um Deine Geduld nicht überzustrapazieren! ;-)

Grüße
agh

Hallo agh,



Kennst du alle diese Internetseiten?
Hast du diese Adressen zu den "vertrauenswürdigen Seiten" im Internet Explorer hinzugefügt? Was kannst du mir darüber sagen?






Schritt # 2: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen und
• das neue Logfile von ComboFix.

Avira meldet mir TR/Trash.Gen. Nur zur Info. Darf ich löschen?

Grüße
agh

Hallo agh,


In Quarantäne verschieben und den Bericht dazu bitte posten.

Anschließend bitte die Anweisungen befolgen

Vielen Dank.

Hey,

zu Deiner Frage: Mit Ausnahme von Bing.com kenne ich keine der Seiten. Benutze aber auch nur Firefox (da ging immer Bing.com auf, was ich auch nicht brauche). Muss dazu sagen, dass ich das Netbook im Januar gebraucht gekauft habe... wer weiß, was da vorher so eingestellt wurde.


Zwei Virusmeldungen bekommen, hier die Reports:
DANKE!

Schönen Abend
agh

Hallo agh,



Danke für die Rückmeldung. Das hab ich mir schon gedacht. :)


Von wem hast du das Netbook? Von einem Verwandten, einem guten Freund oder ledigleich einem Bekannten?
Grundsätzlich ist es bei einem gebrauchten Gerät ratsam, neu aufzusetzen. Man weiß nie, was der Vorbesitzer mit dem Computer alles gemacht hat.
Das Netbook wird andererseits kein DVD-Laufwerk besitzen, oder? Ohne Windows DVD und Laufwerk wird das sowieso schwierig...
Ich schlage vor, wir führen die Bereinigung zu Ende.


Dabei handelt es sich um zwei Einträge in der Systemwiederherstellung. Solange du den Computer nicht zu einem dieser früheren Punkte wiederherstellst, besteht dadurch keine Gefahr.
Am Ende der Bereinigung kümmern wir uns darum. ;)

Ich hätte gerne einen kleinen Zwischenbericht:
Wie läuft dein Rechner derzeit?
Öffnet Firefox immer noch ungewollte Seiten? Gibt es sonst noch Probleme?


Aufgrund privater Feierlichkeiten bin ich voraussichtlich ab Sonntag Nachmittag wieder online. Bitte poste alle gewünschten Informationen bis dahin. Ich werde mich sofort um dein Thema kümmern, wenn ich wieder da bin. :)





Schritt # 1: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).