|
Browser Hijack - Trojaner? Hallo, ich habe mir scheinbar einen Trojaner eingefangen, der einen "Browser-Hijack" verursacht: Es fing damit an, dass ich von Google nicht auf die gewünschten Links, sondern auf andere Seiten weitergeleitet wurde, z. B. Werbung für Autovermietungen, Sexseiten, etc., ein bestimmtes System war hier nicht zu erkennen. Dann kam hinzu, dass ich keine Downloads mehr speichern konnte, es wurden nur noch kleine Dateien gespeichert, die sich aber nicht ausführen ließen. Der Aufruf von Bookmarks funktionierte noch. IE8 ist mein Standardbrowser, jedoch sind Opera und Firefox gleichermaßen betroffen. Ich habe dann Hijackthis downgeloadet und die dort als gefährlich eingestuften Prozesse gelöscht und die vorgeschlagenen Einstellungen gefixt, allerdings ohne Erfolg. Danach habe ich die Punkte 1 – 6 von eurer Seite durchgearbeitet. Hierbei gab es folgende Probleme: Nach Ausführung von Schritt 3 und anschließendem Neustart wurde Malwarebytes als Autostart von Windows Vista geblockt. Gmer Scan hat auch nach mehrmaligen Versuchen nicht funktioniert, es erschien jeweils die Windows-Meldung (Vista): „…funktioniert nicht mehr, wird geschlossen…“. Von der Meldung, die Gmer vor dem eigentlichen Scan erstellt, habe ich die Logdatei beigefügt. Nach Durchführung von Punkt 6 und anschließendem Neustart lassen sich nun gar keine Internetseiten mehr aufrufen. Ich poste derzeit über einen anderen Rechner, der jedoch über den gleichen Router ins Netz geht. ***EDIT 1***: Die Seiten lassen sich nun wieder aufrufen, es war hier plötzlich ein Häkchen gesetzt unter "Internetoptionen", "LAN-Einstellungen", "Proxyserver für LAN verwenden". Nachdem ich dieses entfernt habe, kann ich wieder Seiten aufrufen. ***ENDE EDIT 1*** ***EDIT 2*** Die Probleme scheinen derzeit auch bei der Google-Weiterleitung behoben, dennoch wäre es schön, wenn sich jemand die Logfiles anschauen könnte, damit ich nicht in allzuferner Zukunft wieder vor dem gleichen Problem stehe, sondern sicher sein kann, dass alle Schädlinge weg sind. ***ENDE EDIT 2*** Vielen Dank schon mal im voraus und schönen Abend noch! Gruß Thomas |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo, Danke für deine Antwort! Hier die Log-Datei, schaut glaube ich ganz gut aus, oder? Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5988 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19019 08.03.2011 13:04:58 mbam-log-2011-03-08 (13-04-58).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 310858 Laufzeit: 1 Stunde(n), 13 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Gruß Thomas |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes. |
Hallo, nein, ich habe nur das o. g. Log, sowie das im ersten Post in der ZIP-Datei angehängte Log, weitere besitze ich nicht. Gruß Thomas |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo, hier das Logfile: All processes killed ========== OTL ========== HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully! Prefs.js: "127.0.0.1" removed from network.proxy.http Prefs.js: 49434 removed from network.proxy.http_port Prefs.js: 1 removed from network.proxy.type Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. C:\autoexec.bat moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a4b4965-4596-11dc-b3ee-00188b60c1c6}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6a4b4965-4596-11dc-b3ee-00188b60c1c6}\ not found. File L:\InstallTomTomHOME.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ not found. File M:\LaunchU3.exe -a not found. C:\Users\***\AppData\Roaming\1FB6.B1E moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 15026518 bytes ->Temporary Internet Files folder emptied: 157868 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 83 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56585 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: *** ->Temp folder emptied: 267222 bytes ->Temporary Internet Files folder emptied: 47079043 bytes ->Java cache emptied: 75333359 bytes ->FireFox cache emptied: 28055518 bytes ->Flash cache emptied: 58763 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1176 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 158,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 03092011_180502 Files\Folders moved on Reboot... C:\Windows\temp\JET8C95.tmp moved successfully. Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo, hätte da noch eine Zwischenfrage bzgl. der Nutzung von ComboFix: Zitat:
Vielen Dank. Gruß Thomas |
Nein ist kein Sicherheitsrisiko. Die Werbung trichtert dir das ein, aber das ist Unsinn. Durch Magie fliegen keine Schädlinge auf den Scanner und wenn man genügend viele Dinge falsch macht, kann man sich problemlos auch mit Virenscanner die Pest in sein Windows holen. |
Ok, Danke! Also, hier das Logfile: Combofix Logfile: Code: ComboFix 11-03-09.05 - *** 10.03.2011 17:45:23.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Regnull::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Huhu, hier das neue log: Combofix Logfile: Code: ComboFix 11-03-09.05 - *** 10.03.2011 18:29:00.2.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, GMER ist, wie erwartet, mehrfach abgestürzt, das hatte auch schon beim ersten mal damals bei mir nicht funktioniert. Zitat:
Gruß Thomas EDIT: Jetzt funzt der Link! |
Bei mir funktioniert der Link, aber für solche Fälle hab ich noch diesen hier => File-Upload.net - osam.zip ;) |
so, weiter gehts: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE] Zitat:
|
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Guten Morgen, hier die Logs: Zitat:
Zitat:
|
Zitat:
|
Hallo, zunächst mal vielen Dank für Deine Hilfe! Kann ich jetzt davon ausgehen, dass mein System wieder "clean" ist? Bzgl. deiner letzte Antwort: ich -> :confused: Gruß Thomas |
Überleg mal, was ein Keygen ist. Sind die Dinger legal? :pfeiff: |
Zitat:
|
Zitat:
Hätte ich das eher gesehen, gäbe es nur den Hinweis auf format c! Versprich also wenigstens, dass du den Keygen löscht und das Programm umgehend deinstallierst! |
Programm wird heute Nachmittag umgehend gelöscht, sobald ich an betreffendem PC bin, versprochen! |
Ok... :daumenhoc |
So, das Prog. ist jetzt weg auf meinem PC, siehe Hardcopy in Anlage. |
Ok, sei froh, dass ich das Ding erst zum Schluss gesehen habe ;) Rechner soweit wieder ok oder sind noch Probleme offen? |
Läuft derzeit alles bestens! Muss ich noch irgend was machen, oder kann ich die zahlreichen Progs, die du mir empfohlen hast, wieder deinstallieren? |
ja die Programme können runter. Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Jaa, das war ja eine "lange Geburt". Vielen vielen Dank noch mal für die immer schnelle, freundliche und kompetente Hilfe :daumenhoc Schönes WE an alle! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board