Hallo erst mal an alle Member des Trojaner-Boards und Danke für euren tollen Service!

Mein System hat grundsätzlich McAfee am laufen und ich führe in unregelmäßigen Abständen immer wieder mal einen Scan per Malwarebytes durch und dennoch scheint sich irgendetwas bei mir eingenistet zu haben, aber ich tappe momentan noch vollkommen im Dunkeln.

Es fing vor circa einer Woche damit an, dass mein Browser Opera zwar schnell wie immer agierte aber bei vielen Seiten in eine wahre Orgie von Shutdowns ausbrach, sodass das surfen eigentlich unmöglich geworden ist. Die ersten Schritte waren Updates von Adobe's und Apple's Playern sowie dem Acrobat Reader, löschen von Cache und Cookies sowie letzten Endes eine Neuinstallation des Browsers. Das brachte keine Verbesserung, daraufhin installierte ich Firefox zum Test und stellte fest, dass dieser zwar nicht abstürzt dafür aber extrem langsam arbeitet. Weiterhin fiel mir auf, dass Google meinen Rechner im uneingeloggten Modus stets um Captcha-Eingabe bittet, da es aus meinem Netzwerk "verdächtige" Aktivitäten feststellt. Inwiefern des relevant ist oder bei allen Leuten gemacht wird ist mir nicht klar, ist mir aber aufgefallen.
Daraufhin führte ich einen erfolglosen Scan mit Malwarebytes durch:

Zitat:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7189

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.07.2011 11:17:19
mbam-log-2011-07-18 (11-17-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 447151
Laufzeit: 2 Stunde(n), 28 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Weiterhin suchte nach Rootkits. Es wurde auch eines gefunden, das aber nicht als hostile sondern nur als suspicious eingestuft wurde. Ich entfernte es nichtdestotrotz und plötzlich nach einem Neustart lief Opera wieder astrein, ein weiterer Malwarebytes-Quickscan gab wieder keine Ergebnisse, bis etwa eine halbe Stunde später wieder die Shutdowns begannen. Leider testete ich in der Zeit nicht die Geschwindigkeit des Firefox-Browsers um festzustellen, ob es nur ein Zufall war oder mit der Entfernung des verdächtigen Rootkits zu tun hatte.

Wiederhole ich nun die Suche nach Rootkits erhalte ich keinen Treffer.

Da meine Downloadgeschwindigkeit in externen Programmen unverändert ist bin ich mir nicht mal sicher, dass ich ein Schadprogramm eingefangen habe. Nur das mit den Browsern erscheint mir doch verdächtig.

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Zitat:

Zitat von Tropf

Weiterhin suchte nach Rootkits. Es wurde auch eines gefunden, das aber nicht als hostile sondern nur als suspicious eingestuft wurde. Ich entfernte es nichtdestotrotz

- wie hast Du es gefunden? den Namen des Programms bitte nennen und eventuell schon vorhandene Protokoll posten! was wurde dabei genau gelöscht?

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Das Rootkit habe ich mit der aktuellen Version von Kaperskys TDSS-Killer beseitigt. Ein Log habe ich leider nicht mehr parat. Ich könnte mir höchstens vorstellen, dass es von einer alten Emulatorsoftware stammt, die ich früher mal benutzt habe.

1. Malwarebytes-Scan: Wie beim letzten Komplettscan kein befund:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7197

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

19.07.2011 12:48:47
mbam-log-2011-07-19 (12-48-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 433247
Laufzeit: 2 Stunde(n), 45 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

2. OTL.text und Extras.txt im "logs" - Anhang da sonst 100'000 zeichen überschritten würden.

3. hjtscanlist im Anhang

4. Liste der installierten Programme:

Code: Alles auswählenAufklappen

ATTFilter

7-Zip 4.65		18.06.2010		
AC3Filter 1.63b	Alexander Vigovsky	07.08.2010		1.63b
Accelerometer	STMicroelectronics	10.06.2010		1.06.08.17
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	15.04.2011	6,00MB	10.2.159.1
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	11.07.2011	6,00MB	10.3.181.34
Adobe Reader 9.4.5	Adobe Systems Incorporated	14.06.2011	216MB	9.4.5
Advanced Audio FX Engine	Creative Technology Ltd	17.08.2010		1.12.05
Apple Application Support	Apple Inc.	12.07.2011	52,8MB	1.4.1
Apple Software Update	Apple Inc.	12.07.2011	2,16MB	2.1.1.116
ATI Catalyst Control Center		11.06.2010		2.009.1118.1259
ATI Catalyst Install Manager	ATI Technologies, Inc.	18.10.2010	22,3MB	3.0.786.0
Auslogics Disk Defrag	Auslogics Software Pty Ltd	11.11.2010	8,93MB	version 3.1
AVerMedia A850 USB DMB-TH 1.0.64.28	AVerMedia TECHNOLOGIES, Inc.	16.11.2010		1.0.64.28
AVerTV	AVerMedia Technologies, Inc.	16.11.2010	29,9MB	6.0.18
CCleaner	Piriform	18.07.2011		3.08
CoreAVC Professional Edition (remove only)		07.08.2010		
Dell DataSafe Local Backup	Dell	10.06.2010		9.4.45
Dell DataSafe Local Backup - Support Software	Dell	10.06.2010		2.41
Dell DataSafe Online	Dell, Inc.	10.06.2010		1.2.0009
Dell Dock	Stardock Corporation	11.06.2010		
Dell Dock		11.06.2010		
Dell Getting Started Guide	Dell Inc.	11.06.2010		1.00.0000
Dell Support Center (Support Software)	Dell	10.06.2010		2.5.09100
Dell Touchpad	Synaptics Incorporated	11.06.2010		14.0.2.0
Dell Webcam Central	Creative Technology Ltd	11.06.2010		1.40.05
DivX-Setup	DivX, Inc. 	09.07.2010		1.0.2.23
EAX4 Unified Redist	Creative Labs	09.12.2010	0,16MB	4.001
ffdshow [rev 3154] [2009-12-09]		03.09.2010	17,0MB	1.0
Free YouTube Download version 3.0.1.610	DVDVideoSoft Limited.	12.06.2011	36,1MB	
Futuremark SystemInfo	Futuremark Corporation	12.08.2010		3.17.0.1
GoToAssist 8.0.0.514		15.07.2010		
Haali Media Splitter		07.08.2010		
Intel(R) PROSet/Wireless WiFi-Software	Intel Corporation	10.06.2010	136,5MB	13.00.0000
Java(TM) 6 Update 24 (64-bit)	Oracle	17.02.2011	90,8MB	6.0.240
Java(TM) 6 Update 26	Oracle	24.04.2011	96,9MB	6.0.260
Langenscheidt Vokabeltrainer 6.0 Englisch	Langenscheidt	25.12.2010	1.988MB	6.0.0
Live! Cam Avatar Creator	Creative Technology Ltd	10.06.2010		4.6.3009.1
LoJack for Laptops Notifier	Absolute Software	20.06.2010	0,21MB	1.0.0.17
Malwarebytes' Anti-Malware Version 1.51.1.1800	Malwarebytes Corporation	14.07.2011	13,4MB	1.51.1.1800
McAfee Security Center	McAfee, Inc.	11.06.2011		10.5.239
McAfee Virtual Technician	McAfee, Inc.	09.09.2010	14,1MB	5.5.2.0
Microsoft .NET Framework 1.1	Microsoft	26.06.2011	34,8MB	1.1.4322
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	25.06.2010	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	25.06.2010	2,94MB	4.0.30319
Microsoft Games for Windows - LIVE Redistributable	Microsoft Corporation	05.05.2011	31,3MB	3.5.88.0
Microsoft Games for Windows Marketplace	Microsoft Corporation	05.05.2011	6,04MB	3.5.50.0
Microsoft Office 2010	Microsoft Corporation	10.06.2010	6,31MB	14.0.4763.1000
Microsoft Silverlight	Microsoft Corporation	15.06.2011	168,4MB	4.0.60531.0
Microsoft SQL Server 2005 Compact Edition [ENU]	Microsoft Corporation	10.06.2010	1,72MB	3.1.0000
Microsoft Sync Framework Runtime Native v1.0 (x86)	Microsoft Corporation	10.06.2010	0,61MB	1.0.1215.0
Microsoft Sync Framework Services Native v1.0 (x86)	Microsoft Corporation	10.06.2010	1,45MB	1.0.1215.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	11.08.2010	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	15.06.2011	0,29MB	8.0.58299
Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148	Microsoft Corporation	11.08.2010	0,21MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022	Microsoft Corporation	18.06.2010	2,52MB	9.0.21022
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148	Microsoft Corporation	11.08.2010	0,77MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161	Microsoft Corporation	15.06.2011	0,77MB	9.0.30729.6161
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022	Microsoft Corporation	26.03.2011	1,70MB	9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	02.07.2011	0,23MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	17.02.2011	0,58MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	15.06.2011	0,59MB	9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319	Microsoft Corporation	06.07.2011	11,0MB	10.0.30319
Mozilla Firefox 5.0 (x86 de)	Mozilla	28.06.2011	32,3MB	5.0
NVIDIA PhysX	NVIDIA Corporation	16.06.2011	120,1MB	9.09.0814
OpenOffice.org 3.3	OpenOffice.org	17.02.2011	415MB	3.3.9567
Opera 11.50	Opera Software ASA	02.07.2011		11.50.1074
PhotoScape		24.07.2010		
Quickset64	Dell Inc.	10.06.2010		9.6.11
QuickTime	Apple Inc.	12.07.2011	73,7MB	7.69.80.9
Recuva	Piriform	05.08.2010		1.38
Roxio Burn	Roxio	11.06.2010	36,1MB	1.01
Secunia PSI (2.0.0.3001)		12.01.2011		
Songbird 1.8.0 (Build 1800)		17.11.2010		
Stanza		20.03.2011		
TrueCrypt	TrueCrypt Foundation	07.08.2010		7.0
Unlocker 1.8.9	Cedrick Collomb	18.06.2010		1.8.9
Veetle TV 0.9.18	Veetle, Inc	09.06.2011		0.9.18
VLC media player 1.1.11	VideoLAN	17.07.2011		1.1.11
Windows Live Essentials	Microsoft Corporation	11.06.2010		14.0.8089.0726
Windows Live ID Sign-in Assistant	Microsoft Corporation	15.11.2010	10,0MB	6.500.3165.0
Windows Live Sync	Microsoft Corporation	10.06.2010	2,79MB	14.0.8089.726
Windows Live-Uploadtool	Microsoft Corporation	10.06.2010	0,22MB	14.0.8014.1029
Windows Media Player Firefox Plugin	Microsoft Corp	26.08.2010	0,29MB	1.0.0.8
WinRAR		19.06.2010		
World of Logs Client	Digibites Technology	15.06.2011		
Überwachungstool für die Intel® Turbo-Boost-Technik	Intel	10.06.2010		1.0.186.6
         

Alle Angaben erfolgten nach bestem Wissen und Gewissen.

Grüße und Danke für die Bemühungen im voraus.

Im Firefox: dir bekannte Eintragungen unter Proxy?
im Firefox: Proxyeinstellungen fr Mozilla Firefox
über das Menü Extras-> Einstellungen-> klicke auf den Reiter "Erweitert"-> Netzwerk-> bei "Verbindung" schauen

Zitat:

FF - prefs.js..network.proxy.backup.ftp: "187.6.85.33"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.socks: "187.6.85.33"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "187.6.85.33"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "187.72.167.59"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "187.72.167.59"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "187.72.167.59"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "187.72.167.59"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 1

wenn du keinen Proxyserver lokal installiert hast, nimm die Proxyeinstellungen aus den Interneteinstellungen raus
Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.