|
Problem -> PUM.Hijack.StartMenu Hallo Leute, ich hab ein grosses Problem, seit heute Mitternacht komm ich nicht mehr ins Desktop weil eine Abzocker Meldung nur mit schwarzem Hintergrund kommt, und zwar wird nach dem Windows Product Key verlangt. Man kann gar nichts machen ausser noch "Online einen Product Key erwerben" worauf sich Firefox öffnet. Bisher hatte ich solche Malware immer irgendwie selber behebn können, aber diese hier hat sich als extrem hartnäckig herausgestellt. Sonst hat es meist gereicht wenn ich im abgesichetem Modus rein bin und dann MBAM laufen lassen hab. Und wenn das nicht half hab ich nen Systemwiederherstellungspunkt ausgewählt. Also ging ich heute in den abgesicherten Modus ohne Netzwerktreiber, und MBAM fand sogar die Malware, wie im Threadtitel schon erwähnt handelt es sich um " PUM.Hijack.StartMenu " . Zuerst hab kams in die Quarantäne und als ich dann den neustart versucht habe kam trotzdem noch die Meldung. Danach bin ich wieder in den abgesicherten Modus rein und habs dann komplett gelöscht, jedoch hat es nichts gebracht. Sobald ich in den abgesicherten Modus mit Netzwerktreibern reingehe kommt die Meldung auch, aber dafür (zum glück) nicht im normalem abgesicherten Modus. So, danach habe ich Adwcleaner laufen lassen, jedoch auch ohne Erfolg. Die Malware hats nach dem ersten mal mit MBAM auch nie wieder gefunden. Dazwischen hatte ich PartedMagic verwendet um mich wenigstens im Inet schlau machen zu können. So konnte ich auch Adwcleaner runterladen. Währenddessen habe ich auch ClamAV laufen lassen, was einiges gefunden zu haben schient, aber meiner Meinung nach alles harmlos bzw keine Viren oder so. Die exe datei von einem Spiel hatte es als "Trojan..." bezeichnet. Also habe ich es gelassen und damit nicht weiter mehr gemacht. Von PUM.Hijack.StartMenu war da nichts zu sehen. Darauf bin ich wieder in den abgesicherten Modus und hab das geamacht was bisher eigentlich immer geholfen hat, und zwar die Systemwiederherstellung. Doch diesmal hatte ich ein schlechtes Gefühl dabei, was sich auch darauf bestätigt hat. Schon wieder kam die Meldung, also hat selbst das nichts gebracht. Die ganzen Log Files die dabei rauskamen würde ich ja gerne posten, doch jetzt bin ich grad an einem anderen Rechner (an den ich heute Nacht nicht kam weil er in einem anderen Zimmer ist und jemand dort schlief, falls ihr euch fragt warum ich nicht gleich den benutz habe um mich im Internet drüber schlau zu machen), ich könnte ja die Log Files per USB Stick auf diesen Rechner tun, aber muss ich dann befürchten das die Malware oder sonstiges über den USB Stick auch auf diesen Rechner übergreifen kann? |
Hi, poste bitte die Logs. Den andern Rechner kannste dadurch nicht infizieren :)  So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Code: Malwarebytes Anti-Malware 1.75.0.1300Code: Malwarebytes Anti-Malware 1.75.0.1300Code: # AdwCleaner v3.017 - Bericht erstellt am 28/01/2014 um 01:29:13Code: # AdwCleaner v3.017 - Bericht erstellt am 28/01/2014 um 02:42:18Code: # AdwCleaner v3.017 - Bericht erstellt am 28/01/2014 um 02:46:43Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Ich habe deswegen soviele Logs gepostet da ich zb MBAM mehrere male durchlaufen lassen habe, z.B. als ich die Malware-Datei gelöscht hatte. Ich war mir nicht sicher ob eines reicht oder ob ich die logs von jedem Durchgang posten soll, sicherheitshalber habe ich deswegen alle gepostet, auch wenn offenbar dabei nichts anderes rauskommt. Ich habe nun auch SecurityCheck durchlaufen lassen: Code: Results of screen317's Security Check version 0.99.79 Jetzt wirds kurios. Da mir auffiel das die MBAM Datenbank nicht aktuell ist habe ich die Update Datei runtergeladen und dann auf den Laptop kopiert und installiert. Darauf habe ich nochmal MBAM durchlaufen lassen, und siehe da, die selbe Datei PUM.Hijack.StartMenu wurde jetzt plötzlich wieder gefunden! Ich hatte sie wie schon erzählt definitiv über das MBAM Menü löschen lassen, aber irgendwie scheint dies doch nicht passiert zu sein. Seltsam finde ich das die Datei nachdem sie gelöscht wurde und ich direkt danach noch nen Suchlauf starten liess nicht mehr gefunden wurde. Dazwischen hatte ich ja paar Neustarts gehabt, und nun scheint es sich wieder eingenistet zu haben. Das es nicht ganz weg ging war eh klar, da ich ja auch nach dem Löschen nicht ins Desktop reinkam. Auf jeden fall habe ich es vermeintlicherweise wieder löschen lassen, aber nach dem Neustart kam natürlich wieder die Meldung und wieder komme nicht ins Desktop. Hier ist mal der(/die/das?) neue Log: Code: Malwarebytes Anti-Malware 1.75.0.1300Bevor man mir dazu rät mal folgendes: Der Eset Online Scanner wird nicht funktionieren! Da wie schon erzählt keine Internetverbindung möglich ist, denn sobald ich in den Abgesicherten Modus mit Netzwerktreibern gehe kommt die Meldung und nichts geht mehr! Es ist also nur möglich in den normalen abgesicherten Modus reinzugehen. |
hi, Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
und danach bitte nix mehr auf eigene Faust machen :) |
Hatte ich gestern schon gemacht :lach: Schrauber, ich teile es auf zwei Beiträge auf da es zu lange ist. Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 28-01-2014 03 |
Code: ==================== One Month Modified Files and Folders =======Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 28-01-2014 03 |
Zitat:
Zitat:
Downloade dir bitte  Farbar Service Scanner
Poste bitte den Inhalt hier. |
Was meinst du genau mit Proxy? Wüsste jetzt nicht das ich da jemals in der Hinsicht was geändert bzw gesetzt hätte E: Ach, jetzt fällt mir ein das ich letztens im IE paar Proxy´s verwendet hatte, aber habs sie danach auch gleich wieder rausgemacht. Den IE benutze ich zb überhaupt nicht (nur das eine mal zum testen von den Proxy´s), also kann das doch kein Risiko sein eine ältere Version davon zu haben wenn mans eh nich benutzt, oder? Kenne mich darin zwar überhaupt nicht aus, aber kann es sein dass das ganze durch die Verwedung von Proxys ausgelöst werden konnte? Code: Farbar Service Scanner Version: 08-01-2014 |
Das ist aber ein Firefox Proxy ;) Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: FF NetworkProxy: "http", "110.208.25.121"Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Geht immer noch nichts. Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 28-01-2014 03 |
Geht das ein wenig genauer? Was geht nicht? |
Ich habs doch schon ein paar mal beschrieben, ich komme nicht ins Desktop. Sobald normalerweise das Desktop erscheinen sollte kommt ein schwarzer Hintergund mit der Meldung welches das Windows Serial verlangt. Und genau das meinte ich auch mit "Geht immer noch nichts", was denn auch sonst. Darauf hättest du aber eigentlich kommen können. Ich kenne mich zwar kaum aus, aber denke kaum dass das Problem einfach dadurch behoben wird wenn man die Proxys zurücksetzt. Denn irgendwo muss die Malware sich ja noch befinden. Ich hab doch jetzt die Logs gepostet, was nun? Nochmal: Ausser ins normale abgesicherte Modus komme ich nirgends rein ohne das die Meldung kommt. Auch nicht im abgesichertem Modus mit Netzwerktreibern. Achja, ich hab danach abermals MBAM, Adwcleaner und auch SuperAntiSpyware laufen lassen, ohne Erfolg. |
Downloade dir bitte Windows Repair (All In One) von hier.
Gibt es mehrere Benutzerkonten? Wenn nein im Safe Mode ein neues anlegen mit ADminrechten, in dieses normal booten. Geht das? |
Hab nun alles genauso gemacht wie von dir gezeigt, aber es hat nichts gebracht. Auch habe ich ein anderes Benutzerkonto mit Adminrechten angelegt, aber ausser das jetzt der Hintergund blau geworden ist hat sich nichts geändert, diese Meldung kommt immernoch. Hier mal zwei Bilder damit du dir ein besseres Bild davon machen kannst. http://s7.directupload.net/images/140201/q5tachuy.jpg http://s7.directupload.net/images/140201/2b3gyrt2.jpg Wenn ich auf "Zugriff auf den Computer mit reduzierter Funktionalität" gehe öffnet sich der IE mit der Micrsofot Webseite. Ausser den IE geht aber gar nichts, kein Desktop oder sonstwas ist vorhanden, als wäre eine Blockade dazwischen. Schliesse ich den IE fährt der Rechner automatisch herunter. Wenn ich auf Abbrechen gehe fährt der PC auch automatisch herunter. Und sonst kann ich nurnoch den Product Key eingeben. Aber das kann doch niemals was offizielles sein. In den ganzen Jahren ist mir das noch nie passiert, obwohl ich Vista auf diesem Laptop mit der selben originalen Vista DVD schon paar mal installiert habe. Auch bei der Installation musste ich soweit ich mich erinnere nie einen Product Key eingeben. Das letzte mal habe ich Vista vor einem Monat installiert, und jetzt aus heiterem Himmel heraus wird nach dem Product Key verlangt, wobei ja kurz danach wie ich ja schon davon berichtet habe diese Malware Datei namens PUM.Hijack.StartMenu gefunden und angeblich gelöscht wurde (und wieder auftauchte und wieder gelöscht wurde, aber seit dem nicht mehr aufgetaucht), also muss es da doch einen Zusammenhang geben. So ein hartnäckiger Mist ist mir noch nie untergekommen. Jede andere Malware konnte ich bisher selber entfernen. Ich hoffe das denjenigen die sowas entwickeln die Hände abfallen. |
Hast Du den Key? Legitim ist das schon, es gibt diverse Malware die auch gerne mal WIndows verbiegt, Dienste und Co, und dann ist die Registrierung weg. Biste nicht der Erste. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board