Trojanse.Agent.H unerwünschte Werbeseiten Firefox
 

Hallo liebe Trojanerjäger,

ich sitze an dem Rechner einer Freundin, welcher beim surfen mit firefox ständig ohne Aufforderung Werbeseiten öffnete. Außerdem war Avira außer Funktion und auch nicht mehr dazu zu bewegen, zu scannen. Desweiteren konnte man bei tadelloser Internetverbindung trotzdem manche Websites nicht mehr ansteuern (WEB,facebook...). Avira ließ sich zunächst auch nicht neu installieren, weil die Installation auf Grund der Fehlermeldung, es könne keine SSL-Verbindung getätigt werden stoppte.
Ich habe daraufhin mbam installiert, scannen und säubern lassen. Außerdem habe ich Highjack einen
Text vorher und nachher erstellen lassen, sowie hier auf dem Board gesucht und einen Beitrag mit sehr ähnlicher Sachlage gefunden( http://www.trojaner-board.de/89363-u...n-firefox.html ). Die Vorgehensweise dort habe ich übernommen und bis auf Gmer habe ich alles hinbekommen, Gmer ist nämlich 2mal abgestürzt nachdem es jeweils mindestens 4 Stunden lief.

Avira konnte ich zwschenzeitlich auch wieder installieren. Seekmo war wohl für die Werbeseiten verantwortlich und zahlreich vorhanden.Nun scheint eigentlich alles wieder gut, aber amn weiß ja nie.Muss Gmer trotzdemnoch?
Ich stelle die Logfiles alle ins file-upload und hoffe damit keinen Mißmut zu erzeugen. Die Threads sind immer so unübersichtlich mit den riesen Textboxen.

hxxp://www.file-upload.net/download-2842261/Extras.Txt.html
hxxp://www.file-upload.net/download-2842263/OTL.Txt.html
hxxp://www.file-upload.net/download-2842290/defogger_disable.log.html
hxxp://www.file-upload.net/download-2842297/hijackthis22sep10.log.html
hxxp://www.file-upload.net/download-2842299/hijackthis.log.html
hxxp://www.file-upload.net/download-2842301/mbam-log-2010-09-22--14-25-02-.txt.html
hxxp://www.file-upload.net/download-2842304/mbam-log-2010-09-22--14-57-15-.txt.html


Ich bin sehr dankbar für Hilfe

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
1.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

2.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

gruß
Coverflow

Ersteinmal tausend dank Coverflow!
Und oh mein Gott was hab ich da fürn Mist geschrieben ... Trojanse ... pfff!

also ich habe alles abgearbeitet:

HJTScanlist:

CCleanerliste:

RootRepeal:

Soweit so gut. Hmm SP2 dürfte muss ich später wohl updaten...

Grüße
Avicenna

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
2.
unter Start->Programme-> Zubehör-> Systemprogramme-> geplante Tasks (Anleitung-> Ändern geplanter Tasks in Windows XP und dort auch einfach löschen:
3.
Windows und die installierten
auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 21 schon fällig!)

4.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

5.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

6.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

7.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

8.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

9.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
hjtscanlist v2.0 - Dateiliste

Hallo Coverflow,

also erst einmal muss ich sagen, dass ich mich sehr gut betreut fühle!!

Leider hat sich etwas geändert. Und zwar war dieser Hijack-Eintrag nicht mehr da. Musste ihn also gar nicht entfernen. Ist das schlimm?

Außerdem braucht der Computer beim Hochfahren seit 2. oder 3. etwas lange. Er muss sich sozusagen erst mal "warm" laufen bis sich dann mal Programme in annhembarer Geschwindigkeit öffnen lassen. Computer anschalten bis mit Firefox ins Netz dauert ca 5min. Auch die Aktualisierung auf SP3 hat 4,5 Stunden gebraucht....

Nun der geforderte SuperAntiSpyware Log, es wurde auch prompt was gefunden...

Entschuldige bitte, dass es etwas gedauert hat. Aber es ist ja der Rechner einer Freundin und ich wohne hier nicht.

Ich arbeite dann noch den Rest ab und poste dann den Highjack-Log... richtig?
Beste Güße
Avicenna

Mann ist das deprimierend. Der Onlinescan hat es beim xten Anlauf bis 68% geschafft. Dann hat er wieder mir nichts dir nichts einfach aufgehört. Kann das damit zu tun haben, dass der Laptop immer in den Sparmodus wechselt. Unter Anzeige Bildschirmschoner habe ich allerding permanent Betrieb eingestellt... :-(

vlt Nod32/Eset läuft schneller:

>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum
Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Das war gut! NOD32 hat es tatsächlich in ca. einer Stunde geschafft :-)
Also jetzt dessen Logfile:

dann Highjackthis:
Und HJTScanlist:


Ich danke weiterhin sehr für die Hilfe ... kann man eigentlich irgendwo was spenden??

P.S.:SuperAntispyware mach ich besser wieder runter, richtig?

Grüße

Hast du jetzt noch irgendwelche Probleme?

Bezüglich der Werbeseiten nicht mehr.
Aber der Rechner fährt so was von langsam hoch. Das war mit Trojaner schneller... klingt paradox ich weiß. Aber das Hochfahren dauert bestimmt 3 Minuten

Grüße

SUPERAntiSpyware - kannst deinstallieren

Empfehlungen/Vorschläge:
1.
BHO`s & Toolbars (im Logfile HijacktHis 02 u. 03 aufgelistet):
Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, ICQ usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers;) Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne...
Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
2.
Wie lange dauert die Startvorgang? Wenn du auf der Stelle ein schnelleres System haben möchtest:
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, manueller Start jederzeit möglich
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:
3.
mit HijackThis fixen:
4.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher ist es empfehlenswert solche Dienste ganz einfach abschalten:
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Deaktiviert, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.
- auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!!

5.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Besteht dein Problem nach wie vor?