hallo ihr profis,
mein Problem: kann mich in Foren meist nicht anmelden. "Vielen Dank für die Anmeldung, falls Ihr Browser keine autom. Weiterleitung unterstützt, klicken Sie hier"
Dann warte ich und prompt bin ich dann doch nicht angemeldet. Bei Trojaner-Board kam auch mehmals eine weisse Seite nach der Anmeldung u dann war ich doch nicht angemeldet.

rootkit revealer hat etwas entdeckt, dass ich nicht einordnen kann, ebenso GMER. Ich weiss allerdings nicht, ob es tatsächlich einen Hinweis auf Malware gibt oder nicht.

AVAST läuft ständig, alles sauber, Malwarebytes = nix gefunden. MRT = nix gefunden (auch im abgesicherten modus nicht).

die ergebnisse vom rootkit revealer lassen sich nicht speichern daher screenshot im Anhang.

Sollte sich der Verdacht erhärten, dass mein System kompromittiert ist, poste ich gerne auch OTL und weitere Systeminfos.

GMER:
GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-17 17:37:01
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.PC4O 465,76GB
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fwtdypob.sys


---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00037a8917de
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00037a8917de@001cd682c507 0x54 0x7B 0x7C 0x0A ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00037a8917de (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00037a8917de@001cd682c507 0x54 0x7B 0x7C 0x0A ...


vielen dank im voraus an alle, die mir helfen können und wollen.

hi
tritt das Problem mit allen browsern auf, auch dem ie. wenn du firefox oder Chrome nutzt, hast du da nen Script blocker (noscript) zb instaliert?

es ist auch bei chrome so.
jetzt bspw. hab ich mich eingeloggt und es steht nicht da, dass ich eingeloggt bin. wenn ich auf antworten klicke, dann steht erst oben rechts: willkommen, fredel.

Ich wüsste auch noch gerne, ob die fehlermeldungen von GMER u rootkit revealer Aufschluss über Kompromittierung geben oder nicht.

Danke.



oder wenn ich mein kennwort ändern möchte kommt diese seite:
http://www.trojaner-board.de/profile...o=editpassword

ich gebe dann alle daten ein und anschließend kommt wieder die oben genannte seite ohne bestätigung dass ich eingeloggt bin.

wenn ich dann in einem neuen Tab eine forumsseite öffne, steht oben rechts: willkommen, fredel.

ich kapiers nicht.

Mit MAXTHON passiert es grad nicht bei zwei Testlogins in 2 versch. foren. Aber mit chrome und FF.

Any Ideas?

beantworte die frage von oben, nach verwendeten adons wie noscript.
tritt das problem auch im internet explorer auf?

nein benutze ich nicht. und wie ich schon schrieb tritt es mit maxthon nicht auf (basiert auf inet explorer-engine).

du hast den ie instaliert, also hättest du es testen können.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

danke dir noch mal, markus, für deine mühe.


zur info, ich benutze:
MWCONN zur einwahl ins internet
firefox portable
chrome portable

wenn ich firefox portable frisch runterlade und out of the box benutze, ist das problem trotzdem da.

ich hab mir mal erlaubt, einen OTL SCAN (nicht quickscan) zu machen, da sich deine anweisung "quick scan" mit deiner aufforderung widersprochen hat, "extra.txt" zu posten.

ausserdem hab ich die dateien nicht nach alter selektieren lassen, sondern alle gescannt, da mein problem wahrschl. schon länger als 30 tage existiert.

vg, fredel

wenn das Problem schon mehr als 30 tage besteht hast du dann schon mal das naheliegenste, ein neu aufsetzen des Systems probiert?

da ich mir dieser möglichkeit durchaus bewusst bin, mich aber trotzdem an dieses forum gewendet habe, kannst du dir sicherlich vorstellen, das triftige gründe gegen ein neues aufsetzen sprechen. es ist daher nicht das naheliegendste, sondern die entfernteste lösung, denn dieses system ist eins was über jahre stetig optimiert wurde.
ich dachte es gäbe hier profis, die die von mir geposteten befunde der sehr guten rootkit tools deuten können. stattdessen habe ich den eindruck, dass hier nach schema f diagnostiziert werden muss und es scheint so, als ob dieses schema bei meinem problem eben nicht greift.
die interpretation der von mir geposteten logfiles von OTL und den rootkit scannern steht immer noch aus. wenn es jemanden gibt, der sich damit auskennt, bitte ich sehr darum, dass er sich an dieser stelle mit einschalten möge.

vielleicht ist es ja auch dir möglich, markus.

herzlichen dank dafür im voraus,

fredel

hi
wenn man so ein optimiertes System hatt, warum macht man denn da kein Backup?
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

es gibt keine backups, sondern images (acronis lässt grüßen).

was aber wenn dir der fehler erst irgendwann auffällt oder sich das system schleichend verschlechtert? welches image (backup) ist dann zurück zu spielen? das von 2011 oder 2008? soll ich alle durchprobieren? ich weiss doch nicht einmal nach welcher malware ich suche, geschweige denn, wie ich sie finde.

mit dem zurückspielen gehen auch alle relevanten änderungen am system verloren und da ich jeden tag ca. 12 stunden am und mit dem pc arbeite, wäre es für mich ein massiver zeitaufwand, einn altes system auf den stand von heute zu bringen, wenn es mir überhaupt gelingen würde.

als letzte konsequenz eines gescheiterten rettungsversuchs würde ich diese option allerdings wählen.

TDSS ergebnis folgt später. danke dafür.

hi,
das ein Problem schleichend über 2 jahre auftritt ist unwarscheinlich. aber schaun wir erst mal.

hier der tdlfs log wie von dir angefordert

nein erst hier kommt der anhang

sieht ok aus.
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.