Hallo geehrte Helfer,
wie schon so einige hier hat es mich heute auch erwischt. Die oben genannte Meldung erschien plötzlich bildschirmfüllend inkl. Zahlungsaufforderung, ließ sich wie auch bei allen anderen nur durch hartes Ausschalten des Rechners beseitigen. Ich habe den Rechner dann im abgesicherten Modus offline gestartet und den MCAfee scannen lassen. Der hat einiges gefunden und beseitigt - siehe angehängtes Protokoll. Nicht wundern dass das Protokoll mitendrin abgehackt ist, der Scan wurde einmal durch den Reboot abgebrochen, da er lief als ich noch online war und das Malware Fenster hochkam. Alle nachfolgenden Scans haben aber nichts mehr entdeckt. Danach konnte ich wieder regulär starten ohne Meldung. Sobald ich mich aber mit dem INet verbinde kommt die Meldung sofort wieder hoch. Scheinbar hat er irgendwas in die registry geschrieben und zieht sich den oder die Schädlinge wieder sobald man online ist. Ich habe die OTL logs angehängt - alle dateien im zip, hoffe das geht ok, denn die einzelnen txt waren zu groß für das board limit hier.

Über Tipps und Hinweise wie ich hier weiter komme würde ich mich freuen.



und viele Grüße
Mirko

So, einen Kollegen habe ich gerade selber entdeckt: hostrun.exe

Ich hatte das Glück nach mehrfachem Versuch den Taskmanager vor dem Meldungsfenster zu fassen zu bekommen. Nachdem ich die hostrun gekillt habe, ist das Fenster weg und ich habe normal weiterarbeiten können auf dem rechner. Wenn ich wieder online gehe wird er mir die exe wohl wieder starten. Ich will das Prg aber nicht einfach löschen, in der Reg existieren auch zig Einträge dazu. Wäre schon klasse wenn jemand wüsste wie man damit jetzt sauber umgeht. Vielleicht gibt es ja auch noch andere Prgs neben der hostrun, die ich noch nicht entdeckt habe...

Danke!

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



[CODE]
:OTL
O4 - HKCU..\Run: [{328DBE44-F826-11DF-9B29-806E6F6E6963}] C:\Users\msa.IS4NET\AppData\Roaming\Microsoft\hostrun.exe (Mozilla Foundation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Files
C:\Users\msa.IS4NET\AppData\Roaming\Microsoft\hostrun.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]



• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden


öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-anleitung-uploadchannel-trojaner-board.html

Vielen Dank für die schnelle und kompetente Hilfe! Anbei das Ergebnis Log von OTL; die moved files habe ich hochgeladen. Ich gehe davon aus dass ich den Rechner die Tage trotzdem sicherhaltshalber neu aufsetzen lassen muss.

Nochmals herzlichen Dank.
...

All processes killed
Error: Unable to interpret <[CODE]> in the current context!
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{328DBE44-F826-11DF-9B29-806E6F6E6963} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{328DBE44-F826-11DF-9B29-806E6F6E6963}\ not found.
C:\Users\msa.IS4NET\AppData\Roaming\Microsoft\hostrun.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== FILES ==========
File\Folder C:\Users\msa.IS4NET\AppData\Roaming\Microsoft\hostrun.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: AppData

User: Default
->Flash cache emptied: 456 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: msa
->Flash cache emptied: 456 bytes

User: msa.IS4NET
->Flash cache emptied: 3105652 bytes

User: Public

User: Syskoservice
->Flash cache emptied: 456 bytes

Total Flash Files Cleaned = 3,00 mb


[EMPTYTEMP]

User: All Users

User: AppData

User: Default
->Temp folder emptied: 2139 bytes
->Temporary Internet Files folder emptied: 10442582 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: msa
->Temp folder emptied: 20914 bytes
->Temporary Internet Files folder emptied: 10442582 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: msa.IS4NET
->Temp folder emptied: 670960146 bytes
->Temporary Internet Files folder emptied: 292442739 bytes
->Java cache emptied: 2991641 bytes
->FireFox cache emptied: 67890445 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Syskoservice
->Temp folder emptied: 1987008 bytes
->Temporary Internet Files folder emptied: 10686736 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1533389 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 363159699 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 101002 bytes
RecycleBin emptied: 1828522060 bytes

Total Files Cleaned = 3.110,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12102011_220220

Files\Folders moved on Reboot...
File\Folder C:\Users\msa.IS4NET\AppData\Local\Temp\OICE_F7BCA035-0E1D-4D5E-A57C-083AE57E5EB9.0\58EF9E13. not found!
C:\Users\msa.IS4NET\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-3192.log moved successfully.

Registry entries deleted on Reboot...

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo, anbei das Combofix Ergebnis ...

...vermutlich habe ich allerdings einen entscheidenden Fehler gemacht: Als ich mir den Trojaner eingefangen hatte, lief ein externes HDD auf dem auch Firefox installiert ist, mit dem ich zu dem Zeitpunkt gerade unterwegs war. Diese Platte habe ich aber während des OTL und Combofix Laufes nicht angeschlossen gehabt. Sollte ich/muss ich beide Läufe noch einmal mit angeschlossener HD wiederholen??

Danke...

schließe die platte an, folgendes:

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo, folgendes sagt Malwarebytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8357

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

12.12.2011 23:55:43
mbam-log-2011-12-12 (23-55-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|J:\|K:\|)
Durchsuchte Objekte: 502558
Laufzeit: 1 Stunde(n), 22 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
k:\_OTL\movedfiles\12102011_220220\C_Users\msa.is4net\AppData\Roaming\microsoft\hostrun.exe (Trojan.FakeFireFox) -> Quarantined and deleted successfully.


Der einzig gefundene ist also derjenige, den OTL bereits ins "Exil" geschickt hatte. Und dort hat ihn Malwarebytes jetzt wohl eliminiert. Rechner läuft heut schon den ganzen Tag ohne Probleme, ich hoffe mal das war's dann.

Nochmals einen herzlichen Dank für die große Hilfe!!!!

lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hab es auch als Excel und csv anghängt, kann man besser lesen ...

deinstaliere.
eToken
Facebook Video Calling
Google Toolbar toolbars sind ein sicherheitsrisiko, weg damit.
Java alle weg außer update 30
Mozilla Firefox aktuell ist und sollte eingesetzt werden:
Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar
wenn du nen sicheren browser willst rate ich dir zu chrome.
Google Chrome - der schnelle, sichere Browser | Kostenloser Download
ist auch wesendlich schneller und resourcen schonender.
Mozilla Thunderbird
aktuell:
Herunterladen
deinstaliere:
PowerDVD
StarMoney da sollte dringenst nen update her, 8.0 ist aktuell. weis ja nicht ob du das zb auch fürs onlinebanking nutzt da muss man immer aktuell sein.
deinstaliere:
WinMerge
bereinige mit dem ccleaner.