Hallo ihr!

Ich habe das Problem, dass mein Browser nach kurzer Zeit immer abstürzt, also sich selbst beendet. Dies ist sowohl beim IE, also auch bei Opera, als auch bei meinem Standardbrowser Firefox der Fall. Das heißt ich kann das Internet wenige Minuten nutzen, aber dann stürzt es immer ab.

Daneben habe ich auch das Problem (schon ein bisschen länger), dass Google-Links häufiger auf andere Seiten umgeleitet werden. Also wenn ich auf einen Link in den Google-Suchergebnissen klicke, gelange ich häufiger zu Spam-Seiten und erst nach mehrmaligen Klicken auf die gewünschte Seite.
Dieses Problem ist aber schon ein paar Wochen vorhanden – ich hatte mir zuerst nicht viel dabei gedacht, während das erst geschilderte Problem erst seit kurzem aufgetreten ist.

Falls das hilft, ich hatte vor ein paar Wochen den Bundeskriminalamt- Trojaner, den ich mit eigentlich entfernt hatte, in dem ich ewig rumprobiert habe und mit verschiedenen Tools meinen Pc gereignigt habe. Leider weiß ich nicht mehr genau, welche das Waren. Unter anderem habe ich auch manuell, die fragliche Datei in den Temporären Dateien gelöscht.

Nun habe ich bisher schon CC-Cleaner drüberlaufen lassen, dann Mallwarebytes, was zuerst nichts gefunden hat, sowie Spy-Hunter und Anti-Vir. Irgendwie habe ich auch in meiner Verzweiflung die Application-Date gelöscht . Zuerst schien es so, dass durch die vielen Prozeduren (Anti-Vir hatte auch etwas in Quarantäne verschoben), das Problem gelöst wurde. Ich konnte das Internet wieder nutzen, nur der Re-Direct Virus bei google blieb. Nun, ein Tag später, stürzen allerdings wieder alle Browser ab…

Jetzt habe ich nochmals Malwarebytes benutzt, woraufhin folgendes gefunden wurde:
C:\Users\****\AppData\Local\Temp\0.3639963814259194.exe (Exploit.Drop.2) -> Keine Aktion durchgeführt.
C:\Users\****\AppData\Local\Temp\0.5925095704085779.exe (Exploit.Drop.2) -> Keine Aktion durchgeführt.

Beide Dateien habe ich gelöscht.

Anbei der Logfile von Malwarebytes, die Logfiles DDS und Attach.

Sorry, für meine Ahnungslosigkeit!! Wäre super wenn ihr mir helfen könntet! Ich hatte schon überlegt zu formatieren, aber da ich keine zwei Partitionen hätte und nahezu alle Daten, die jetzt auf C sind, auf dann wieder auf C machen würde, bin ich mir nicht sicher, ob das was bringt.

Anbei der Logfile von Malwarebytes, die Logfiles DDS und Attach (beide Logfiles nach dem Löschend er Dateien mit Malwarebytes).

Es scheint zwar jetzt gerade zu funktioniern nach dem Löschen bei Malwarebytes.. aber die Frage ist wie lange noch.. War ja schonmal so.

Vielen herzlichen Dank!! Wünsche euch eine schöne Woche!

Beste Grüße
Hombresito


PS: Ich habe erst jetzt gerade beim Schreiben herausgefunden das Spy-Hunter wohl eine Malware ist, und habe es sofort deinstalliert.

Hi,

die Exploits löschen lassen, dass sind Dropper/Downloader die die eigentliche Malware "nachladen"...

Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

MAM updaten und FULLSCAN, Log posten...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

aswMBR
Folge den Anweisungen hier.
Kurzanleitung:
Von http://filepony.de/download-aswmbr/ die aswMBR.exe runterladen und auf dem Desktop speichern.

• Doppelklick auf die aswMBR.exe.

• Scan-Button anklicken

• Bootsectoren (MBR) etc. werden nun untersucht.....

• Log speichern und im Thread posten

chris

Hey vielen herzlichen Dank!

Anbei schonmal die OTL und Extras Logfiles von OTL.

Malewarebytes läuft noch und wenn ich dich richtig verstanden habe, soll ich tdss killer und aswMBR erst danach durchlaufen lassen, oder?

Vielen Dank nochmals!

Hi,

ja, bitte nacheinander...
MA sollte das hier beseitigen:
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
, sonst biegen wir es per OTL hin...

Poste die Logs...

chris

Hallo Chris,

vielen Dank! Also ich habe Malewarebytes im vollen Scan drüberlaufen lassen, aber er hat nichts gefunden. Zweimal, weil zuerst kein Bericht kam. Auch beim zweiten Mal leider nicht. Hatte vielleicht nicht eingestellt, dass er einen erstellen soll. Kann es gerne nochmal morgen früh drüber laufen lassen, wenn es gewünscht ist. Sorry!! Hätte gedacht der speichert die direkt…

Anbei die Logfiles von TDSSKIller und AswMBR.
Leider stürzen die Browser wieder ab nach kurzer Zeit, nachdem es ja heute vormittag noch geklappt hatte..

Ist formatieren denn auch einen Möglichkeit? Habe leider nur eine Partition und alle Eigenen Dateinen auf C müssten wieder drauf auf (kA wo der Virus ist).

Vielen Dank nochmals für die Hilfe!! Echt toll!

Beste Grüße
Hombresito

Hi,

formatieren ist natürlich eine Lösung, vorher alle Daten sichern ;o)...
Aber wir probieren noch was:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Marius\Desktop\MBR.dat
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Files
ipconfig /flushdns /c

:Commands
[emptytemp]
[resethosts]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

Hey,

also ich habe MBR.dat überprüfen lassen. Da hat er aber nichts gefunden. Ergebnisse sind:

SHA256: 91f379903f3fd0763bcfbe0ceb99a18dc7d27ff619e1c7d12cf594cd4efb0a86
File name: MBR.dat
Detection ratio: 0 / 42
Analysis date: 2012-03-28 06:50:14 UTC ( 1 Minute ago )

0
0
Antivirus Result Update
AhnLab-V3 - 20120327
AntiVir - 20120327
Antiy-AVL - 20120327
Avast - 20120328
AVG - 20120327
BitDefender - 20120328
ByteHero - 20120327
CAT-QuickHeal - 20120328
ClamAV - 20120328
Commtouch - 20120328
Comodo - 20120328
DrWeb - 20120328
Emsisoft - 20120328
eSafe - 20120326
eTrust-Vet - 20120327
F-Prot - 20120328
F-Secure - 20120328
Fortinet - 20120328
GData - 20120328
Ikarus - 20120328
Jiangmin - 20120327
K7AntiVirus - 20120327
Kaspersky - 20120328
McAfee - 20120328
McAfee-GW-Edition - 20120327
Microsoft - 20120328
NOD32 - 20120328
Norman - 20120327
nProtect - 20120327
Panda - 20120327
PCTools - 20120326
Rising - 20120328
Sophos - 20120328
SUPERAntiSpyware - 20120323
Symantec - 20120328
TheHacker - 20120328
TrendMicro - 20120327
TrendMicro-HouseCall - 20120328
VBA32 - 20120327
VIPRE - 20120328
ViRobot - 20120328
VirusBuster - 20120323


Dann habe ich OTL drüberlaufen lassen. Ergebnisse angehängt.
Genauso bei Combofix. Ergebnisse angehängt

Also ich dann ins Internet gegangen bin, war a) der Re-Direct-Virus noch da.
und b) auf einmal wurde mein PC von diesem Bundespolizei Trojaner gesperrt und ich sollte 100 € zahlen. Ich kann nichts mehr machen. Habe den PC jetzt im abgesicherten Modus gestartet....


Das sieht nicht sehr gut aus, oder?

Vielen Dank nochmals!

Hi,

erstelle ein neues OTL-Log indem Du in den abgesicherten Modus mit Netzwerkunterstützung bootest... poste das Log...

Einen seltsamen Job gefunden...
2012-03-28 c:\windows\Tasks\eqqptr.job

Es könnte auch eine neue Variante von TDDS sein:
*NewlyCreated* - WS2IFSL

OTL
Boote in den abgesicherten Modus mit Netzwerkunterstützung (F8 beim Booten).
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Alternativ:
System mit OTL-PE scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

• Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.

• Lege eine leere CD in Deinen Brenner.

• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.

• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".

• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.

• Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.

• Mache einen Doppelklick auf das OTLPE Icon.

• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.

• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.

• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

• OTLpe sollte nun starten.

• Drücke Run Scan, um den Scan zu starten.

• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.

• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.

• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

Was wir noch probieren könnne, ist ein Scan von "aussen" (dauert aber ca. 6-8h):
Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt! —

chris

Hey! Nochmals danke!

Glaubst du denn die Probleme sind mit einer Formatierung gelöst, oder ist es ein Problem dass ich meine alten Daten wieder drauf ziehe dann?

Hi,

nein, wenn Du die Daten gesichert hast, vor dem Einspielen einen Scanner auf die Daten ansetzen dann sollte es keine Probleme geben.
Mit einer vollen Formatierung der Festplatte und Neuaufspielen des Systems sollte alles wieder laufen.

Dazu hier Infos: -> Neuaufsetzen

chris

Hi,

na, wie sieht es aus?

Poste unbedingt ein neues OTL-Log, ich möchte mir den Job genauer ansehen und noch eine Datei... (hi markus ;o)...

Beides sollte dann hier bei uns hochgeladen werden, dazu später mehr...

Poste dann noch den Log von folgendem Tool:
GetInfo
Doppelklicken und den Inhalt der summary-info.txt
posten.

chris

Hey,
also anbei der OTL_Log.

Ja eigentlich wollte ich formatieren, aber ich muss erst die Daten sichern und dann Wiederherstellungsdiscs erstellen. Das Problem ist allerdings, dass mein Pc dauernd abstürzt, weil er überhitzt ist und das mit dem Sichern sich etwas schwierig gestaltet. Kann das auch an dem Virus hängen?

Getinfo öffnet sich leider nicht. Also das Programm. KA warum

Beste Grüße
Hombresito

Hi,

das mit dem Überhitzen ist wohl eher einem nicht laufenden Lüfter anzulasten... befreie auch mal die Kühlkörper (CPU) von Staub etc.

OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [] C:\Users\Marius\AppData\Local\Temp\cgs8h0.exe ()
[2012.03.03 15:47:22 | 000,147,456 | RHS- | M] () -- C:\Windows\SysWow64\psisdecd5.dll

:Commands
[purity]
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Bezüglich des GetInfo, suche einfach mal die Datei summary-info.txt, das Programm öffnet nur kurz eine cmd und erstellt die Datei und beendet sich dann wieder...

Packe die Datei und den Inhalt von C:\_OTL\MovedFiles in ein Zip und lade es wie hier beschrieben hoch:

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code: Alles auswählenAufklappen

ATTFilter

->die beschriebenen Dateien
         

hoch.

chris
chris

Hey Chris!
Habe ich getan! Also hochgeladen.
Nachdem löschen scheint der Bundespolizei-Trojaner weg zu sein, der Browser stürzt nicht mehr ab (zumindestens bis gerade, aber das war ja vorher auch so manchmal) und ich habe auch keine Re-Direct mehr gesehen bei kurzen Stichproben.

Aber ich traue dem noch nicht ganz ;=)

Wie gehts weiter? Vielen Dank!! :=)

Hi,

bitte die Dateien (wei vorher beschrieben) unbedingt hochladen, sie wurden nicht erkannt und sind damit neu... Im Kommentar bitte meinen Nick (chris4you) angeben, dann finde ich sie leichter. Danke!

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Hm sorry, weiß nicht ob ich das richtig verstehe.
Meinst du die OTL Dateien, die ich schon geschickt habe? Oder die neuen Logs mit SUPERAntiSpyware und TDSS-Killer?

Noch eine Frage: Was soll ich mit den Funden von SUPERAntiSpyware machen?

Danke!