Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/PCK: Firefox öffnet automatisch neue Fenster (https://www.trojaner-board.de/79998-trojaner-tr-pck-firefox-oeffnet-automatisch-neue-fenster.html)

marzl 03.12.2009 12:10
Trojaner TR/PCK: Firefox öffnet automatisch neue Fenster
 
Hallo,

ich habe mal wieder ein Problem mit meinem Rechner. Und zwar hat sich vor kurzem mein Antivir gemeldet mit: Die Datei *** in C:/Dokumente und Einstellungen/user/Lokale Einstellungen/Temp ist mit dem Trojaner TR/PCK.Tdss.Z.645 infiziert.
Es waren mehrere verschiedene Dateien, die da nacheinander aufgetaucht sind. Ich habe mit Antivirus immer Zugriff verweigern angeklickt.
Nun habe ich das Problem, dass noch ein zweiter Trojaner: Autoit gemeldet wird.
Wenn ich jetzt meinen Firefox aufmache werden automatisch gleich mehrere neue Fenster geöffnet, die dann jeweils 5 Tabs haben:
http://w*w.xn--uda.com/R
file:///C:/Programme/Mozilla%20Firefox/ das hier 3 mal
http://w*w.xn--j-9ja6e3a934a.com/

Die Fenster werden zum Teil schneller geöffnet, als man mit schließen nachkommt ;)

Ich habe jetzt hijackthis verwendet und das Protokoll auch angehängt.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:06:02, on 03.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\PDFDrucker\PDFPrintBackend.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SfWinStartInfo] "C:\Programme\SFirm32\sfWinStartupInfo.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDFPrintBackend.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (file missing) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 4053 bytes
Ich hoffe mal, dass mir geholfen werden kann. Ich hab mir auchschon überlegt zu formatieren und würde das immer noch am ehesten machen, wenn ich mir sicher wäre, dass danach alles weg ist. Ich habe nämlich noch 2 weitere Partitionen, die ich nicht formatieren möchte.

vielen Dank im Vorraus
viele Grüße
Marzl

cosinus 03.12.2009 12:55
Hallo,

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

marzl 03.12.2009 23:40
Hey,

viele Dank für die schnelle Antwort!!

Ich habe die logfiles als ein .rar gepackt und hochgeladen.

hier der link: http://www.file-upload.net/download-2055389/logs.rar.html

das von malewarebytes antimaleware ist doppelt dabei, weil ich es heute mittag schonmal ausgeführt hatte und jetzt nochmal, weil ich mir nicht sicher war ob es schlimm ist, wenn so viel Zeit dazwischen liegt.

Beim zweiten mal gab es allerdings keinen Fund mehr.

viele Grüße
Marzl

cosinus 04.12.2009 09:27
Die info.txt fehlt, bitte nachreichen!

Code:
2009-12-03 11:52:55 ----SD---- C:\ComboFix
2009-12-03 11:52:03 ----D----- C:\Qoobox
Hast Du gestern auf eigene Faust Combofix ausgeführt? Solltest Du nicht tun, sondern nur wenn das hier ein Kompentenzler angewiesen hat! Poste dann wenigstens das Logfile von CF!

Zitat:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCMMKLRM 1.0.1.41\StartService.exe
Diese Datei bitte bei Virustotal.com auswerten lassen und den Ergebnislink posten.

marzl 04.12.2009 09:50
Hey,


nein ich habe Combofix nicht ausgeführt. Ich hatte nur das Programm von einem älteren Problem noch auf dem Rechner und hab es ausversehen aufgemacht (lag in dem gleichen Ordner wie mbam), habe es dann aber gleich wieder abgebrochen. Ich hoffe mal dadurch nichts kaputt gemacht zu haben.

Ich habe nämlich gerade eben versucht den Rechner hochzufahren, er kommt aber nur bis zum Windows Start Screen und fängt dann wieder von vorn an mit Booten.

Ich werde heute mittag einfach mal eine Linux-CD reinschieben und dann die Datei testen lassen. Oder gibt es eine bessere/einfachere Methode?

viele Grüße
Marzl

marzl 07.12.2009 18:21
Hey,

ich wollte nur kurz sagen, dass sich das Problem quasi gelöst hat. Als ich den Rechner wieder starten wollte ging gar nichts mehr, und ich habe dann festgestellt, dass wohl die Partitionstabelle gelöscht war. Ich habe dann unter Linux mit dem Programm testdisk die Daten sogar wieder gefunden und auf eine externe Platte kopiert. Danach mit einem Virenscanner durchgechekt und dann die Platte komplett platt gemacht (mit shred). Danach wieder alle Daten drauf und Windows neu installiert...Jetzt geht wieder alles ohne Virus ;)

trotzdem nochmals vielen Dank
viele Grüße Marzl


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129