Hallo Forum,

folgendes Problem: Ich benutze den Firefox. Bei einer Websuche wird der erste aufgerufene Link aus dieser Suche auf eine der folgenden Seiten (Liste unvollständig) umgeleitet:
ahomeemployment1.info, www1.12finder.de/start, g.vuwl.com

Im HijackThis Logfile ist mir die conhost.exe aufgefallen.
virustotal.com: hxxp://www.virustotal.com/file-scan/report.html?id=6dd4d02710f699dee14aa2b891f48be97ad7d5f3db2a814bec073d3fd29bbc0c-1316703030
Außerdem ist eine dwm.exe gestartet. Eine csrss.exe ist aus einem Temp Verzeichnis heraus mit hoher Priorität gestartet. Abschießen über den Explorer -> Die Dinger sind innerhalb von Sekunden wieder da. csrss.exe läßt sich gar nicht abschießen.
Über die SuFu bin ich auf diesen Thread gestoßen: http://www.trojaner-board.de/96596-c...er-wieder.html

Was ich zuletzt installiert habe? Keine Ahnung wo ich mir die Sache geholt habe. Habe letztens die Win-Freigabe wieder aktiviert und vergessen zu deaktivieren. Bin aber eigentlich immer hinter einem Router mit dem Inet verbunden. Höchstens das einer im Intranet...

Habe mit defogger.exe die Cd Emus ausgeschaltet. Der OTL Scann siehe Anhang.

Ich habe einige Zeit als C, VB, .net Programmierer gearbeitet. Ein Stichwortliste oder Schubser in die richtige Richtung würde mir weiterhelfen. Wenn ich zu hause bin werd ich mir eine Knoppix brennen und mal versuchen die Dateien von außen heraus zu entfernen.


Viele Grüße

Peter

PS: Warum sind die Möglichkeiten im Web zu verlinken bei Euch so sehr eingeschränkt?

Oha!
Mit Sysinternals Process Explorer kann man sie abschießen. Die Dateien können jetzt auch gelöscht werden. Nun geht aber das Internet nicht mehr! Ein Blick auf die Proxy Settings des FF offenbart: 127.0.0.1:61980
Gleiches gilt für den IE und Iron (benutzt die IE Settings.) So haben sie also den Seitenzugriff umgeleitet... mal schauen ob der Mist nach einem Neustart wieder kommt. Ansonsten ist das Prob gelöst...

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Die Reg Keys unter HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\load mussten noch nach dem Neustart entfernt werden. Der ESET Scanner hat keine Threads gefunden. Das Malwarebytes Logfile habe ich angefügt.
Im Temporary Internet files Ordner gibt es Malware. Habe den IE aber seit Monaten nicht mehr benutzt. Habe ihn gelöscht...
Beim PUM Eintrag geht es wohl darum das Eigene Dateien nicht auf dem Desktop angezeigt werden sollen. Beim anderen Eintrag geht es wohl um irgendwelche Control Channel Einstellungen. Hab mal was mit Tweak UI gemacht...

Ich denke der Rechner ist wieder in einem halbwegs akzeptablen Zustand.

ESET hat wirklich garnichts gefunden? Wundert mich, weil es doch sehr empfindlich ist IMHO und zumindest eine toolbargetränkte Setupdatei finden müsste

Du hast leider keinen CustomScan mit OTL gemacht, hol das bitte nach:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hm, ich achte schon darauf dass meine Maschine nichtzusuppt.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.29 14:46:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011.09.23 21:22:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Babylon
[2011.09.23 21:22:24 | 000,000,000 | ---D | C] -- C:\Program Files\Babylon
[2011.09.23 21:22:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Der Sinn Deines letzten OTL "Skriptes" war einige Sachen zu fixen. Ich habe es mal laufen gelassen. Das meine individuelle hosts Datei durch die std Datei ersetzt wurde empfinde ich jetzt nicht als Fortschritt*g* Hab sie aus dem Backup Ordner zurück kopiert. Ansonsten Danke

Die hosts setzt ich normalerweise immer zurück, weil viele Schädlinge die hosts manipulieren. Musst du dann auch slebst mal checken ob alle Einträge darin noch so richtig und gewollt sind.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!