Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Internet Explorer öffnet automatisch Werbefenster (https://www.trojaner-board.de/91312-internet-explorer-oeffnet-automatisch-werbefenster.html)

metalchrigel 30.09.2010 08:31

Internet Explorer öffnet automatisch Werbefenster
 
Guten Morgen zusammen!

Ich habe mir seit Montag 27.9.10 eine Malware/Skript oder sonst was eingefangen. Seitdem öffnen sich Werbefenster in unregelmässigen Abständen mit dem MS Internet Explorer 8, obwohl ich ausschliesslich den Firefox benutze.

Bisherige Schritte meinerseits: Ich habe mehrmals den Avira AntiVir laufen lassen, und der hat mir sshnas21.dll (ich glaube, der hiess so) entdeckt gelöscht sowie 2-3 andere Funde in Installations-Exen (die Logs werde ich heute Abend mal hochladen)

Seitdem hat sich der Internet Explorer immer noch geöffnet, konnte aber die Webseiten nicht öffnen (in der Adress-Bar stand dann sowas wie "res:/ieframe.dll;hxxp://*werbelink*") und versucht es dann in 2s Abständen nochmal. Avira hat dann nochwas gefunden, seitdem funzt der ieframe wieder (glaube ich, jedenfalls werden wieder Werbefenster angezeigt).

Habe dann mal gegoogelt und dieses Board hier gefunden ;)
Anschliessend nochmals Full-Scans mit Avira und SUPERAntiSpyware, die ich dann über Nacht auf heute laufen liess. Die Logs werde ich auch heute Abend noch ergänzen.
Ausserdem habe ich gestern noch HJT laufen lassen, da war noch sshnas21.dll noch drin.

Frage: Welche Scans mit welchen anderen Programmen soll ich noch durchlaufen lassen? Die Neuaufsetzung möchte ich mir erst als Letzte Möglichkeit offen halten und es zuerst mit der Bereinigung versuchen.

Habe mich auch hier herumgeschlagen und werde es mal mit RSIT, GMER, HJT und MalwareBytes versuchen

markusg 30.09.2010 11:59

kein rsit, lieber otl
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
malwarebytes, komplett scan, ebenso log posten, und avira log bitte bzw falls es mehrere sind, die mit den funden.

metalchrigel 30.09.2010 21:36

Guten Abend

Habe mal diverse Logs als Anhang hochgeladen. Einzig den OTL-Log musste ich splitten, da der gerade um ein paar kb zu gross war (und wohl auch für das forum)

Bin gespannt auf die Antwort, aber möglicherweise haben AntiVir, SuperAntispyware und Malwarebytes bereits aufgeräumt.

Zitat:

Trojan.Agent/Gen-FakeAV[Golds]
C:\USERS\****\APPDATA\LOCAL\TEMP\MXH.EXE
C:\USERS\****\APPDATA\LOCAL\TEMP\MXH.EXE
[3FWHZQA3LT] C:\USERS\****\APPDATA\LOCAL\TEMP\MXH.EXE
C:\Windows\Prefetch\MXH.EXE-0E507346.pf

Trojan.Agent/Gen-VTSec
C:\WINDOWS\MRYDUA.EXE
C:\WINDOWS\MRYDUA.EXE
C:\USERS\****\APPDATA\LOCAL\TEMP\MXG.EXE
C:\Windows\Prefetch\MRYDUA.EXE-1D1DBF0F.pf
Besonders diese Dinger machten mir Sorgen

Tut mir Leid für die späte Antwort, die Scans dauerten länger und kam auch spät nach Hause

markusg 01.10.2010 11:54

bitte führe nur die von mir genannten programme aus, schreib das ja nicht umsonst was genutzt werden soll.

toolbars:
toolbars sollten deinstaliert werden, sie machen den browser langsam, stellen ein zusätzliches sicherheitsrisiko dar und können nutzer daten ausspähen.
deinstaliere:
google toolbar
PHPNukeDE Toolbar
softonic-de3 Toolbar
Search-Results Toolbar (ask toolbar)

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Users\Christian\AppData\Local\Temp\Mxh.exe (Alexander Roshal)
PRC - C:\Windows\Mrydua.exe (Alexander Roshal)
O4 - HKU\S-1-5-21-1276076093-980421532-546321140-1001..\Run: [3FWHZQA3LT] C:\Users\Christian\AppData\Local\Temp\Mxh.exe (Alexander Roshal)

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

metalchrigel 01.10.2010 16:41

Hallo!

Die Toolbars habe ich nirgends gefunden (habe sowieso keine wissentlich installiert, ich finde die doof^^)
Das OTL-Archiv ist im Anhang (log ist auch drin)

Frage: Soll ich ComboFix nach Anleitung von bleepingcomputer (hxxp://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird) ausführen oder nach dieser hier (http://www.trojaner-board.de/53319-d...m-firefox.html) [zweiter eintrag] im zusammenhang mit ccleaner (http://www.trojaner-board.de/51464-a...-ccleaner.html)?

Besten Dank für die Hilfe

PS: Bisher haben sich noch keine blöden fenster geöffnet (ca. 1h läuft der pc schon). ist das ein gutes zeichen oder bloss die ruhe vor dem sturm? :balla:
notfalls kann ich die registry vom 26.10.10 wiederherstellen, habe sie auf der externen platte gespeichert (LaCie, Genie Backup Assistant), sowie die windows einstellungen (das wars dann aber auch)

markusg 01.10.2010 17:06

du kannst den ccleaner natürlich vor combofix nutzen.

markusg 01.10.2010 17:16

wie groß ist der gesammte _OTL ordner? das ist nur ne textdatei nicht die gelöschten dateien, hast du otl script 2 mal ausgeführt? außerdem hatte ich dich gebetn _OTL bzw moved files im upload channel hochzuladen

metalchrigel 01.10.2010 17:23

der otl-ordner ist gerade mal 8 kb gross (hab auch nur die txt-datei gefunden -.-)
wo finde ich script 2? dieses da?
Code:

:OTL
PRC - C:\Users\Christian\AppData\Local\Temp\Mxh.exe (Alexander Roshal)
PRC - C:\Windows\Mrydua.exe (Alexander Roshal)
O4 - HKU\S-1-5-21-1276076093-980421532-546321140-1001..\Run: [3FWHZQA3LT] C:\Users\Christian\AppData\Local\Temp\Mxh.exe (Alexander Roshal)

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

dann ja.

markusg 01.10.2010 17:30

ne ich wollt nur wissen ob du es 2mal ausgeführt hast.
aber mach einfach weiter mit combofix bitte

metalchrigel 01.10.2010 18:00

lol, ich habe "script 2" 'ein'mal ausführen verstanden^^ :stirn:

combofix im anhang - oder im upload-channel?

markusg 01.10.2010 18:10

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

metalchrigel 01.10.2010 23:56

Hallo

Der antivir hat in der oben genannten konfig nichts gefunden. trotzdem hänge ich noch den log dran.

auch hat sich heute der ie nie geöffnet, was ich als gutes zeichen sehe. offenbar hat malwarebytes bzw otl bereits aufgeräumt. trotzdem danke für deine hilfe wie auch zeit und nochmals ein :dankeschoen: an das forum, echt tolle arbeit was ihr da leistet.

kann ich die tools einfach wieder wegkicken oder ist da was spezielles zu beachten?

PS: falls sich in den 2-3 tagen nichts tut, werde ich das thema definitiv als geschlossen markieren, ausser du möchtest, dass ich noch ein paar scans durchführe?

markusg 02.10.2010 11:13

bitte schalte die rootkit suche ein.
dann:
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
rechtsklick arbeitsplatz, eigenschaften, systemeinstellungen, systemwiederherstellung, auf allen laufwerken deaktivieren, ok, übernehmen.
5 min warten, wieder einschalten.

pc absichern:
die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc z
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//

adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
plugin-container.exe
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.

passwörter bitte alle endern.
so bitte ab sofort nur noch in der sandbox surfen, mit klick auf "sandboxed web browser"

metalchrigel 04.10.2010 09:43

Danke für die Tipps. werde sie dann bei gelegenheit einrichten.

die werbefenster haben sich wohl endgültig verabschiedet :singsing:
das thema kann geschlossen werden


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55