Trojaner-Board - Google öffnet in Firefox falsche/Werbefenster

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google öffnet in Firefox falsche/Werbefenster (https://www.trojaner-board.de/71613-google-oeffnet-firefox-falsche-werbefenster.html)

Hallo

Ich habe so ziemlich/genau das selbe Problem wie Lodda. Auch das GMER-Programm, das ich laufen gelassen habe, zeigt viele dieser UACd...(irgendwas) Dateien/Einträge. Also handelt es sich warscheinlich um das selbe Problem.

Soll/Kann ich die Anleitung von john.doe ebenso gefahrlos befolgen? (einfach die entsprechenden Änderungen für mein System vornehmen, z.b. Benutzername) Und gibt es allenfalls Punkte, die ich weglassen kann?

Ich hoffe ihr könnt mir helfen.
Gruss
black messiah

PS: als Notlösung habe ich die Firefox.exe Datei umbenannt, danach tritt das Problem auch nicht mehr auf. Ist zwar nur eine Notlösung und bekämpft die Ursache nicht, aber dennoch villeicht ein kleiner Tipp für die Zwischenzeit, bis die Ursache gelöst wurde.

@black messia

Bitte eröffne dein eigenes Thema, wie jeder hier. Poste als erstes das Gmer-Log.

ciao, andreas

Hallo,

Zitat:

Zitat von john.doe (Beitrag 425945)

Funktioniert dein Sound noch? Checke das bitte, falls nicht, dann stellen wir den Eintrag wieder her.

Sound funktioniert, ja.

Zitat:

Zitat von john.doe (Beitrag 425945)

Schau mal mit dem Windowsexplorer in den Ordner C:\Windows. Alle Bilder (*.bmp) mit Ausnahme von winnt256.bmp und winnt.bmp können gelöscht werden, falls du sie nicht brauchst.

Hab ich gemacht.

Zitat:

Zitat von john.doe (Beitrag 425945)

Du hast drei verschiedene Anmeldekonten. Wozu?

Du meinst die normale Windows-Anmeldekonten? Davon hab ich zwei, nicht drei. Eines ist für mich, das andere hat meine Mitbewohnerin mal benutzt. Das Letzte Mal ist aber schon länger her.

Zitat:

Zitat von john.doe (Beitrag 425945)

1.) Deinstalliere (falls möglich): ...

Hab ich soweit möglich gemacht, oder zumindest versucht. Ist ja manchmal nicht so einfach die Reste zu finden;)

Auch die beiden Programme zum entfernen der Norton und Java Reste habe ich laufen lassen.

zu 4.) edit: Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte. Das habe ich übersehen. Das folgende Log ist also das des einzelnden Durchlaufs.

http://www.materialordner.de/3E0wxct63hi5xKE7v7ZBbPb8wOYsXxfQ.html

Zitat:

Zitat von john.doe (Beitrag 425945)

5.) Reinige mit CCleaner alle temporären Dateien und die Registry.

Erledigt.

Zitat:

Zitat von john.doe (Beitrag 425945)

6.) Installiere (Toolbars immer abwählen, Haken weg): ...

Hab ich gemacht, bis auf ICQ, das ich eigentlich nicht mehr brauche.

Zitat:

Zitat von john.doe (Beitrag 425945)

8.) SuperAntiSpyware starten und Log posten.

Ich habe erstmal einen schnellen Scan gestartet, für einen kompletten fehlt mir heute die Zeit. Bei Bedarf kann ich dies morgen nachholen.

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 04/03/2009 at 08:01 PM
 

Application Version : 4.26.1000
 

Core Rules Database Version : 3828

Trace Rules Database Version: 1784
 

Scan type       : Quick Scan

Total Scan Time : 00:14:12
 

Memory items scanned      : 585

Memory threats detected   : 0

Registry items scanned    : 435

Registry threats detected : 0

File items scanned        : 7957

File threats detected     : 26
 

Rogue.WinPCDefender

        C:\Dokumente und Einstellungen\Bene\Startmenü\WinPC Defender.LNK
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@banner_tracking[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ad.71i[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ads.heias[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@adsrv.admediate[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@im.banner.t-online[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@apmebf[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@allesklarcomag.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ads.admediate[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.kfz-auskunft[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@atwola[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ice.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@www.etracker[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@www.web-mediaplayer[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@de2.komtrack[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@bwinde.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ad.zanox[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@webmasterplan[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@indextools[2].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.71i[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.easyad[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ottogroup.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@ottotrialpopunders.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Andere\Cookies\andere@web-mediaplayer[2].txt

Ich habe die 26 schädlichen Elemente enfernen und unter Quarantäne stellen lassen. Naja, um ehrlich zu sein, wars ein Versehen, eigentlich wollte ich die Antwort hier abwarten.

Zitat:

Zitat von john.doe (Beitrag 425945)

7.) MalwareBytes starten und Log posten.

Auch hier habe ich nur den schnellen Scan durchgeführt:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1938

Windows 5.1.2600 Service Pack 2
 

03.04.2009 20:22:50

mbam-log-2009-04-03 (20-22-38).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 81349

Laufzeit: 4 minute(s), 25 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\147793193612.CPX (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\147793193631.CPX (Trojan.Agent) -> No action taken.

Hier habe ich dann tatsächlich ignoriert, und warte erst einmal auf Antwort.

Zitat:

Zitat von john.doe (Beitrag 425945)

9.) Neues HJT-Log posten.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:26:33, on 03.04.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Programme\Synaptics\SynTP\Toshiba.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe

C:\Programme\TOSHIBA\Tvs\TvsTray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Programme\Windows Desktop Search\WindowsSearch.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\Dokumente und Einstellungen\Bene\Desktop\HiJackThis.exe

C:\WINDOWS\system32\SearchProtocolHost.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: (no name) -  - (no file)

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 9115 bytes

Eine letzte Anmerkung, die mir aufgefallen ist: Beim Herunterfahren des Rechners, bekomme ich manchmal die Meldung das das folgende Programm beendet wird: ZcfgSvc.exe
Im Task-Manager wird diese Datei auch als Prozess, nicht als Programm angzeigt. Keine Ahnung, ob das von Bedeutung ist, aber der Vollständigkeit halber möchte ich es erwähnen.

Viele Grüße

Zitat:

Sound funktioniert, ja.

:daumenhoc

Zitat:

Davon hab ich zwei, nicht drei.

Zitat:

02.04.2009 14:21 <DIR> Bene
29.03.2009 22:42 <DIR> Administrator
29.03.2009 22:42 <DIR> Andere

Zitat:

Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte.

Nein. Zuerst ziehst du das Script drauf, dann startest du einmal.

Zitat:

Hab ich gemacht, bis auf ICQ, das ich eigentlich nicht mehr brauche.

Dann brauchst du es natürlich nicht zu installieren.

Zitat:

Bei Bedarf kann ich dies morgen nachholen.

Ja, Bedarf besteht. :)
Klicke vor dem erneuten vollständigen Scan von MalwareBytes auf die Karte Update und dann auf Suche nach Aktualisierungen. Du hast eine uralte Datenbank.

Zitat:

das das folgende Programm beendet wird: ZcfgSvc.exe

File Information - ZCfgSvc.exe Fehler deinstallieren
Lies es dir durch, auch die Userbewertungen und entscheide selbst, ob du es brauchst oder nicht. Die Toshiba-Software ist mir auch ein Dorn im Auge, genau wie Desktop Search von MS. Ich würde alles nicht Notwendige deinstallieren.

Die AVG-Ordner können eigentlich auch noch weg.

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

ciao, andreas

Guten abend,

alles arbeite ich jetzt nicht mehr ab, aber einen Teil kann ich ja noch angehen.

- Zu den drei Konten:

Zitat:

02.04.2009 14:21 <DIR> Bene
29.03.2009 22:42 <DIR> Administrator
29.03.2009 22:42 <DIR> Andere

Tja, wenn ich starte, habe ich definitiv nur zwei Konten. Ich würde dem ganzen aber auch nicht so eine besondere Bedeutung schenken, weil ich im Zuge der Viren/Trojanergeschichte die Adminrechte überhaupt erst neu zugeteilt habe. Vielleicht hängt es schlicht damit zusammen. Vorher waren die Konten jeweils ohne besondere Rechte eingerichtet, das habe ich erst die Tage jetzt geändert.

Zitat:

Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte.
ANTWORT: Nein. Zuerst ziehst du das Script drauf, dann startest du einmal.

Gut, dann habe ich das ja richtig gemacht, und das log pass dann auch.

Zitat:

Zitat:
Bei Bedarf kann ich dies morgen nachholen.
ANTWORT: Ja, Bedarf besteht.
Klicke vor dem erneuten vollständigen Scan von Malwarebytes auf die Karte Update und dann auf Suche nach Aktualisierungen. Du hast eine uralte Datenbank.

Hm, ich hab die vor dem Scan schon aktualisiert. Ich hab das grade nochmal überprüft und versucht. Malware bestätigt mir, das die verwendete Version [Datenbank-Version 1938] die aktuelle ist.

Zitat:

Zitat:das das folgende Programm beendet wird: ZcfgSvc.exe
Antwort: File Information - ZCfgSvc.exe Fehler deinstallieren
Lies es dir durch, auch die Userbewertungen und entscheide selbst, ob du es brauchst oder nicht.

Gut. Ich hab´s mir durchgelesen; und dann zunächst mal nach dem Programm gesucht, und es hier gefunden:

Code:

ZCFGSVC.EXE-1FEE3EEE.pf   in   C:\Windows\Prefetch

ZCfgSvc.exe                in    C:\Programme\Intel\Wireless\Bin

Diese beiden Dateien habe ich dann bei Virustotal.com überprüfen lassen, ohne Ergebnis.
Wenn ich dich dich richtig verstehe, kann ich sie aber trotzdem löschen, weil sie unnötig sind. (?)

Zitat:

Die Toshiba-Software ist mir auch ein Dorn im Auge, genau wie Desktop Search von MS. Ich würde alles nicht Notwendige deinstallieren.

Die AVG-Ordner können eigentlich auch noch weg.

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

Dies, sowie die beiden Komplett Scans, mache ich dann morgen, wird mir jetzt zu spät.

Bis dahin, und ein herzliches Dankschön
:party:

Zweiter Teil der Antwort ;)

1. Komplettscan durch Malware, heute aktualisiert:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1939

Windows 5.1.2600 Service Pack 2
 

04.04.2009 12:32:49

mbam-log-2009-04-04 (12-32-49).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 158803

Laufzeit: 48 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

2. Komplettscan durch Superantispyware -> 1 Ergebnis, in Quarantäne verschoben

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 04/04/2009 at 01:35 PM
 

Application Version : 4.26.1000
 

Core Rules Database Version : 3829

Trace Rules Database Version: 1785
 

Scan type       : Complete Scan

Total Scan Time : 00:34:57
 

Memory items scanned      : 571

Memory threats detected   : 0

Registry items scanned    : 6290

Registry threats detected : 0

File items scanned        : 19302

File threats detected     : 1
 

Adware.Vundo/Variant-MSFake

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{391197E0-8C57-4C06-9C98-32E013C26E86}\RP119\A0044170.EXE

Zitat:

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

http://www.materialordner.de/VHyh10RxSvYW43ce4qLIf8dbVOFqTia.html
http://www.materialordner.de/JMTo4H3EjBJQZt8lT5euWRTSiTVI9BZI.html

Da ich über diese [Zahl].cpx Dateien in den letzten Tagen immer wieder gestolpert bin, habe ich alle 6 [Zahl].cpx Dateien im system32 Ordner auch nochmal bei virustotal.com überprüfen lassen; es gab aber keine Befunde mehr.

Zitat:

Tja, wenn ich starte, habe ich definitiv nur zwei Konten.

Hast du die Home-Edition? Da ist das Administratorkonto nur im abgesicherten Modus zu erreichen.

Zitat:

Wenn ich dich dich richtig verstehe, kann ich sie aber trotzdem löschen, weil sie unnötig sind. (?)

Nein, unnötig ist die nicht, aber bekannt dafür, dass sie Probleme verursacht. Falls sie weiterhin Probleme verursacht, dann melde dich nochmal. Dann können wir sie vorübergehend deaktivieren und du checkst dann, ob noch alles funktioniert und ob sich danach eine Besserung einstellt.

Zitat:

es gab aber keine Befunde mehr.

Nur die Art, wie sie installiert waren, kam mir merkwürdig vor. So installiert sich auch der Silent Banker. Aber die Dateien sind zu alt und zu klein, dazu noch nicht einmal Programme, also ungefährlich. KA, warum MbAM die angequengelt hat.

Gibt es noch irgendwelche Probleme? Oder tut der Rechner wieder, was er soll?

ciao, andreas

Hi,

der Rechner tut, was er soll, keine Probleme mehr.

Aber ein paar abschließende Fragen hätte ich noch:

1. Mich wundert, dass die kleinen Spezialprogramme, die man hier unter Anleitung laufen lässt, so viele Sachen mehr finden, als die "normalen" Antivirusprogramme. Heißt das, das die normalen Programme unzureichend sind?

2. Was mache ich mit den Spezialprogrammen? Soll ich sie deinstallieren? (zumindest bei Programmen wie combofix erscheint es mir ratsam, sie weingstens vom Desktop zu entfernen)
Oder soll ich Superantispyware und Malware behalten, und ab und an laufen lassen?

3. Die Logs zeigen ja, das ich nur SP2 von Windows auf dem Rechner habe. Soll ich SP3 laden und installieren?

4. Kann ich jetzt wieder Online- Banking nutzen? Besser Passwörter ändern, oder?

Ich glaub das wärs fürs erste :)

Zitat:

der Rechner tut, was er soll, keine Probleme mehr.

:daumenhoc

Zitat:

Aber ein paar abschließende Fragen hätte ich noch:

Wer sagt dir, dass wir fertig sind? Ganz unten geht es weiter. :)

Zitat:

Heißt das, das die normalen Programme unzureichend sind?

Ja, besser hätte ich es nicht formulieren können. "Sicherheitsprogramme", egal ob Antivirenprogramm, Antispywareprogramm, Antibotprogramm, Personal Firewall oder was sich sonst noch so unter dem Namen "Sicherheitsprogrammen" tummelt, sind in meinen Augen nichts weiter als Abzocke.

Verkauft wird dir ein Gefühl, das Gefühl du seist damit sicher. Du hattest ein Antivirenprogramm, hat es dich beschützt? Du hattest ein Antispywareprogramm, hat es dich beschützt?

Schutz heißt selber aktiv zu werden. Klicke auf die letzten beiden Links in meiner Signatur. Die Ratschläge, die dort zu lesen sind, sind uralt aber immer noch aktuell. Vielleicht heute mehr als damals. Du musst einfach nur die Regeln befolgen, die dort stehen, dann bist du sicher.

Ich persönlich habe kein Antivirenprogramm, kein Antispywareprogramm, keine Personal Firewall und ich weigere mich auch konsequent bei Bekannten soetwas zu installieren.

Das ist in etwa vergleichbar mit der Risikokompensation bei Autos. Mir kann ja nichts passieren, mein Auto hat ABS, ESP, Airbags, ... also mit Tempo 200 in die Kurve.

Alle Experten warnen davor, Software per P2P zu saugen, aber die User sagen sich, ich habe ja ein Antivirenprogramm, mir kann nichts passieren. Tja. Was soll man noch schreiben?

Zitat:

Was mache ich mit den Spezialprogrammen? Soll ich sie deinstallieren?

1.) Start => Ausführen => combofix /u => OK
2.) Alle anderen Programme (mit Ausnahme von Avira/MalwareBytes) deinstallieren/löschen.

Zitat:

Soll ich SP3 laden und installieren?

Äh, klicke nochmal auf die letzten beiden Links in meiner Signatur und lese alles nochmal. Dann hat sich diese Frage erübrigt. Schaue gleich anschliessend mit dem MSIE bei Microsoft Windows Update vorbei und installiere alle Updates.

Zitat:

Besser Passwörter ändern, oder?

Besser ist das.

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kaspersky Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Java muss installiert, aktiv und erlaubt sein.
- Bebilderte Anleitung von sundavis.
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

Guten abend,

Zitat:

Du hattest ein Antivirenprogramm, hat es dich beschützt? Du hattest ein Antispywareprogramm, hat es dich beschützt?

Öhem, nein und nein ;)

Um in deinem Bild zu bleiben:
Mein Auto hatte keinABS, ESP, Airbags, ... aber trotzdem mit Tempo 200 in die Kurve. xD

Okay, zu den Aufagen. Gut das ich heute mittag angefangen habe, das hat mal wieder Stunden gedauert^^

1. combofix und SuperAntispyware habe ich deinstalliert. HiJackthis kommt weg, wenn wir hier fertig sind. Den CCleaner behalte ich erstmal, gefällt mir gut das Tool.

2.Windows,IE und SP hab ich solange upgedatet, bis nix mehr ging. (Stunden später.... ;)

3. Der Online Scan von Kaspersky hat dann auch nur 3h gedauert. Keine Ergebnisse, hier das Log:

Code:

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

 Sunday, April 5, 2009

 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

 Kaspersky Online Scanner 7 version: 7.0.25.0

 Program database last update: Sunday, April 05, 2009 15:56:33

 Records in database: 2015080

--------------------------------------------------------------------------------
 

Scan settings:

        Scan using the following database: extended

        Scan archives: yes

        Scan mail databases: yes
 

Scan area - My Computer:

        C:\

        D:\
 

Scan statistics:

        Files scanned: 71062

        Threat name: 0

        Infected objects: 0

        Suspicious objects: 0

        Duration of the scan: 03:05:39
 

No malware has been detected. The scan area is clean.
 

The selected area was scanned.

Falls es dem Rechner wieder gut geht, dann bist du entlassen.

Immer vorsichtig im Internet in der Zukunft, sonst bist du bald wieder hier. :)

ciao, andreas

Super.

Dann nochmal vielen herzlichen Dank für die Hilfe, und ein großes Lob für die Arbeit, die ihr euch macht!

Danke & byebye :party: