Trojaner-Board - protected search trojaner startseite

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - protected search trojaner startseite - hijackthis geht nicht (https://www.trojaner-board.de/127467-protected-search-trojaner-startseite-hijackthis-geht.html)

protected search trojaner startseite - hijackthis geht nicht

Hallo,

ich hoffe hier einen guten rat zu bekommen:

Wenn ich firefox starte, kommt beim öffnen eines zweiten fensters als startseite immer "protected search" als startseite. das erste fenster ist wie in firefox hinterlegt die google seite.

das beschriebene problem habe ich im netz bisher auch erst 2 mal gelesen, aber ohne eine lösung zu finden.

ich habe bisher:

(1) hijackthis scan durchgeführt > kann die protected seach einträge nicht löschen, die unten angegebenen einträge sind die von hijackthis auch erkannten

die einträge:

Code:


 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=

(2) malvare bytes > hat auch nicht gefunden
(3) Sytemwiederherstellung früherer Zeitpunkt > geht nicht
(4) in der registry die "protected search" einträge gelöscht > passiert nichts.
(5) ccleaner > durchlaufen lassen inkl. registry cleaner > passiert nichts

info: problem ist nur bei firefox, chrome und ie haben das problem nicht.
OS: ms vista inkl. updates

hat jemand eine idee, wie ich das ändern kann.

besten dank fuer eure tips.

gruss

:hallo:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

anbei die files wie gewünscht.

:dankeschoen:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die Platzhalter wieder in den Benutzernamen zurück!

Code:

:OTL

PRC - C:\Users\f\AppData\Local\Temp\RtkBtMnt.exe (Realtek Semiconductor Corp.) 

O4 - HKLM..\Run: [] File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
 

[2011.02.14 20:05:53 | 000,000,000 | -HSD | M] -- C:\Users\f\AppData\Roaming\.# 

:Files

C:\Users\f\AppData\Local\Temp\RtkBtMnt.exe

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\f\*.tmp

C:\Users\f\AppData\Local\Temp\*.exe

C:\Users\f\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

guten morgen:

der satz hab ich nicht verstanden:

Ersetze die Platzhalter wieder in den Benutzernamen zurück!

ich habe keine platzhalter angewendet.

gruss und danke.

scanner laufen, poste ich sobald ie durch sind.

hi,

alle schritte durchgeführt

im anhang die log files

gruss + danke

:dankeschoen::dankeschoen:

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

hi,

rechner läuft wie vor der behandlung - normal, d.h. keine probleme.

die "h**p://search.protectedsearch.com/?si=41570&home=true&tid=3026" ist aber nach wie vor die suchseite wie oben beschrieben.

lass emsisoft laufen und meld mich wieder.

gruss

so anbei mal das emsisoft scan - hat gedauert ,)
danke

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Zitat:

C:\ACER\awc\AWC.exe

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

anbei virustotal link:

https://www.virustotal.com/file/bb807521881f70075dfc1285e53bdab5763f0279ad3d35daf31f8d8fa4d4896b/analysis/1354178182/

otl scan dauert.

danke.

anbei die otl scans

ich bin gespannt

danke.

Zitat:

MD5: 5c4e25e833e57af607c6ba0b91bda708
SHA1: d02d3c30d1cd0b59b8e5e42ce5e3413d5cb88eb5
Detect: 5 / 44

TROJ_GEN.RCBH1JM (TrendMicro-HouseCall)
Trojan.Win32.Agent.tyqb (Kaspersky)
Trojan.Win32.Agent.tyqb.AMN (A) (Emsisoft)
Trojan.Agent.tyqb (VBA32)
Trojan.Win32.Agent (Ikarus)

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

hi,

folgedes update:

ich war etwa sungeduldig und hab dann selber "hand angelegt", d.h. in der registry alle "protected search" einträge manuell gelöscht. mit dem resultat, dass protected nach wie vor da ist jedoch meien ms vista version als nicht authorisiert angzeigt wurde und ich dann system neu aufsetzen musste. das aufsetzen des systems hab ich eher durch zufall entdeckt.

vielen dank fuer deine tips - da ich bisher einige deine tools/software nicht kannte, hat sich das theater doch gelohnt. verzeih, dass ich mich nicht an die "regeln" gehalten habe und selbtändig was ausprobiert habe.

schoenen abend.