| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: URLs im Browser (Firefox) werden umgeleitetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.03.2013, 23:55
| #1 | ||
 |  URLs im Browser (Firefox) werden umgeleitet Hallo Trojanerjäger, ich hab ein bekanntes Problem, das hier schon aufgetaucht ist: ein kleines böses Programm fälscht die URLs in Forefox, leitet also auf andere Websites, nicht auf die in der Adresszeile. Ein erster Qickscan mit Malwarebyts erbrachte zwar 5 Funde, doch löste das Problem nicht. Vorher: - alle tempor. Files gelöscht - und alle Cleaning und Tuning-Programme runtergeschnmissen. - mit dem defogger die Emulatoren ausgeschaltet: Zitat:
dann mit GMER gescannt ---> allerdings konnte ich das Ergebnis nicht sichern, weil nur die Meldung kam, dass es ins "Clipboard" (?) geschrieben oder gesendet wurde!??? Es gab also keine Möglichkeit eine Ergebnisdatei zu erstellen... Möglichweise war etwas von den Einstellungen falsch. Aus irgendwelchen Gründen konnte ich auch den defogger und Malwarebyts nicht von euch laden, sondern musste einen anderen Server suchen. Warum ist mir unklar Anmerken würde ich vielleicht noch, dass es kein Business-Rechner ist trotz XP Professionell (war halt drauf als ich ihn gebraucht gekauft hab) Anyway: hier der Scan von OTL, auch da gabs nur eine Datei namens OTL.txt; keine extra.txt. Vielleicht hat ja jemand von euch eine gute Idee - wär schön! Zitat:
|
|
27.03.2013, 11:57
| #2 |
| /// TB-Ausbilder  | URLs im Browser (Firefox) werden umgeleitet!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstallation von Programmen
Schritt 2: Fix mit OTL
Schritt 3: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 4: Scan mit Combofix
__________________ |
|
27.03.2013, 17:34
| #3 |
| | URLs im Browser (Firefox) werden umgeleitet Hallo Ryder
__________________Danke schon mal im Voraus, dass du dich meiner annimmst. hab OTL gestartet und es fand auch zwei Pferde (gehören die eigentlich in die Kategorie Trojanische Pferde?), doch dann ist es eingefroren; hab eine halbe Stunde oder mehr gewartet aber nichts rührte sich. Der Browser ging kurz noch aber jetzt ist komplett pumpe. Nicht einmal der Prozessmanager oder sowas läuft, also ich kann den Rechner nur hartwaremäßig ausschalten. Soll ichs tun und OTL noch mal starten? |
|
27.03.2013, 17:54
| #4 |
| /// TB-Ausbilder | URLs im Browser (Firefox) werden umgeleitet Bitte im abgesicherten Modus nochmal wiederholen. So funktioniert es:Abgesicherter Modus zur Bereinigung Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind: Abgesicherter ModusWähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
27.03.2013, 19:29
| #5 |
| | URLs im Browser (Firefox) werden umgeleitet .. er bootet im abgesicherten nicht, sondern bleibt hängen, vom BT wird nix geladen. (hab ich auch noch nicht erlebt ;-( Habs dann noch mal im normalen mode versucht --> das gleiche: OTL friert ein!!! |
|
27.03.2013, 19:39
| #6 |
| /// TB-Ausbilder | URLs im Browser (Firefox) werden umgeleitet Dann überspringe das und wir machen das in einem 2. Schritt mit Combo.
__________________ --> URLs im Browser (Firefox) werden umgeleitet |
|
27.03.2013, 20:49
| #7 |
| | URLs im Browser (Firefox) werden umgeleitet fühlt sich schon mal ganz gut an, auch wenn Combofix bei Win-runterfahren steckengeblieben ist, so dass ich das dann doch per Hand/Schalter machen musste. Hier der Logfile: Combofix Logfile: Code:
ATTFilter ComboFix 13-03-27.01 - Toshiba A9 27.03.2013 20:16:18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1382 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Toshiba A9\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Toshiba A9\WINDOWS
c:\programme\Setup.exe
c:\programme\WindowsInstaller-KB893803-x86.exe
c:\winxp\system32\drivers\etc\hosts.ics
c:\winxp\system32\URTTemp
c:\winxp\system32\URTTemp\regtlib.exe
c:\winxp\system32\vrlogon.dll
c:\winxp\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-27 bis 2013-03-27 ))))))))))))))))))))))))))))))
.
.
2013-03-27 14:59 . 2013-03-27 14:59 -------- d-----w- C:\_OTL
2013-03-27 12:23 . 2013-03-27 12:23 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Malwarebytes
2013-03-27 12:23 . 2013-03-27 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-27 10:58 . 2013-03-27 10:58 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\DriverCure
2013-03-27 10:58 . 2013-03-27 10:58 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\SpeedMaxPc
2013-03-27 10:57 . 2013-03-27 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SpeedMaxPc
2013-03-27 10:42 . 2004-03-08 23:00 662288 ----a-w- c:\winxp\system32\MSCOMCT2.OCX
2013-03-27 10:42 . 2001-10-28 15:42 116224 ----a-w- c:\winxp\system32\pdfcmnnt.dll
2013-03-27 10:42 . 1998-06-23 23:00 137000 ----a-w- c:\winxp\system32\MSMAPI32.OCX
2013-03-27 10:41 . 1998-07-06 16:56 125712 ----a-w- c:\winxp\system32\VB6DE.DLL
2013-03-27 10:41 . 1998-07-06 16:55 64512 ----a-w- c:\winxp\system32\MSCC2DE.DLL
2013-03-27 10:41 . 1998-07-05 23:00 23552 ----a-w- c:\winxp\system32\MSMPIDE.DLL
2013-03-27 10:41 . 2013-03-27 10:42 -------- d-----w- c:\programme\PDFCreator
2013-03-27 10:40 . 2013-03-27 10:40 -------- d-----w- C:\d2c38fc5165e480ea52374
2013-03-27 10:39 . 2013-03-27 13:41 -------- d-----w- C:\9643ccc379beb1839c98225b473558
2013-03-27 10:38 . 2013-03-27 10:46 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\VisualBeeExe
2013-03-27 10:37 . 2013-03-27 10:38 -------- d-----w- c:\dokumente und einstellungen\All Users\VisualBee
2013-03-26 10:23 . 2013-03-26 10:23 159744 --sha-r- c:\winxp\system32\wupdmgrj.dll
2013-03-25 11:08 . 2013-03-25 11:32 -------- d-----w- C:\Mmi_Email_Temp
2013-03-16 12:13 . 2013-03-16 12:13 -------- d-----w- c:\programme\Dropbox
2013-03-16 12:11 . 2013-03-27 18:45 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Dropbox
2013-03-07 12:12 . 2013-03-07 12:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2013-03-07 12:08 . 2013-03-07 12:08 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Logitech® Webcam-Software
2013-03-07 12:02 . 2013-03-07 12:02 53248 ----a-r- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2013-03-07 11:59 . 2013-03-07 11:59 -------- d-----w- C:\Program Files
2013-03-03 01:02 . 2013-03-25 11:14 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Jovian_Archive_Corp
2013-03-02 17:05 . 2013-03-02 17:05 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Jovian Archive
2013-03-02 17:05 . 2013-03-02 17:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Jovian Archive Corp
2013-03-02 17:03 . 2013-03-02 17:03 -------- d-----w- c:\programme\Jovian Archive
2013-03-01 20:19 . 2013-03-01 20:19 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2013-03-01 20:19 . 2013-03-01 20:19 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Apple Computer
2013-03-01 20:19 . 2013-03-01 20:19 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Titanium
2013-03-01 20:18 . 2013-03-02 14:10 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Eye-Fi
2013-03-01 20:18 . 2013-03-01 20:18 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Eye-Fi
2013-03-01 20:16 . 2013-03-01 20:16 -------- d-----w- C:\vcredist-tmp
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-01 21:56 . 2009-08-01 21:56 1925024 ----a-w- c:\programme\install_flash_player.exe
2006-12-18 19:05 . 2006-12-18 19:05 23510720 ----a-w- c:\programme\dotnetfx20.exe
2006-05-17 11:14 . 2006-05-17 11:14 340912 ----a-w- c:\programme\dotnetfx.exe
2012-06-14 22:19 . 2012-07-02 19:32 85472 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
[-] 2008-07-08 21:08 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\winxp\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"IgfxTray"="c:\winxp\system32\igfxtray.exe" [2007-06-05 138008]
"HotKeysCmds"="c:\winxp\system32\hkcmd.exe" [2007-06-05 162584]
"Persistence"="c:\winxp\system32\igfxpers.exe" [2007-06-05 138008]
"00THotkey"="c:\winxp\system32\00THotkey.exe" [2006-08-07 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-04 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-03-06 114688]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"vspdfprsrv.exe"="c:\programme\eXPert PDF 6\vspdfprsrv.exe" [2008-11-18 1199616]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-03 767312]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2516296]
"CanonSolutionMenuEx"="c:\programme\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"LWS"="c:\programme\Logitech\LWS\Webcam Software\LWS.exe" [2011-11-11 205336]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-02 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48 40448 ----a-w- c:\winxp\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Toshiba A9\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Dokumente und Einstellungen\\Toshiba A9\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R1 TMEI3E;TMEI3E;c:\winxp\system32\drivers\TMEI3E.sys [27.09.2008 23:57 5888]
R2 acedrv10;acedrv10;c:\winxp\system32\drivers\ACEDRV10.sys [24.07.2007 08:45 328824]
R2 acehlp10;acehlp10;c:\winxp\system32\drivers\acehlp10.sys [11.07.2007 09:20 201848]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 17:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 16:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 16:33 3456]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [27.09.2008 23:57 114688]
R2 UMVPFSrv;UMVPFSrv;c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe [18.01.2012 07:44 450848]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\winxp\system32\drivers\avmwan.sys [27.06.2009 12:19 37568]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [08.01.2013 12:55 161536]
S3 AbilisT;EyeTV DTT Deluxe Service;c:\winxp\system32\drivers\AbilisBdaTuner.sys [24.02.2011 22:16 118408]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\winxp\system32\drivers\ewusbnet.sys [10.07.2012 13:18 112640]
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;c:\winxp\system32\drivers\fpcmbase.sys [27.06.2009 12:19 441728]
S3 HPFXFAX;HPFXFAX;c:\winxp\system32\drivers\hpfxfax.sys --> c:\winxp\system32\drivers\hpfxfax.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\winxp\system32\drivers\ewusbdev.sys [10.07.2012 13:18 100480]
S3 hwusbfake;Huawei DataCard USB Fake;c:\winxp\system32\DRIVERS\ewusbfake.sys --> c:\winxp\system32\DRIVERS\ewusbfake.sys [?]
S3 sffp_mmc;SFF-Speicherprotokolltreiber für MMC;c:\winxp\system32\drivers\sffp_mmc.sys [14.04.2008 13:00 10240]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [30.11.2008 20:36 685816]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-30 11:59]
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-30 11:59]
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1659004503-1417001333-1003Core.job
- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2013-03-07 20:08]
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1659004503-1417001333-1003UA.job
- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2013-03-07 20:08]
.
2013-03-27 c:\winxp\Tasks\ltpuowfyr.job
- c:\winxp\system32\wupdmgrj.dll [2013-03-26 10:23]
.
2013-03-27 c:\winxp\Tasks\RealUpgradeLogonTaskS-1-5-21-682003330-1659004503-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 11:40]
.
2013-03-21 c:\winxp\Tasks\RealUpgradeScheduledTaskS-1-5-21-682003330-1659004503-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 11:40]
.
2013-03-26 c:\winxp\Tasks\Sicherung.job
- c:\winxp\system32\ntbackup.exe [2008-04-14 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.zahnkreide.de/
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Settings,ProxyOverride = *.local;<local>
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Internet-Suche - c:\programme\Translator\PRMTIE\search.htm
IE: Seite übersetzen - c:\programme\Translator\PRMTIE\page.htm
IE: Übersetzen - c:\programme\Translator\PRMTIE\translat.htm
IE: Übersetzungsoptionen anpassen - c:\programme\Translator\PRMTIE\options.htm
IE: {{4034D172-4C52-49de-A6A1-E75F8F591FEC} - c:\programme\Translator\PRMTIE\options.htm
IE: {{A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - c:\programme\Translator\PRMTIE\prmtie5.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Mozilla\Firefox\Profiles\m438nzs5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.li/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
HKCU-Run-Eye-Fi - c:\programme\Eye-Fi\Helper\EyeFiHelper.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-27 20:37
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(900)
c:\winxp\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\winxp\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
.
- - - - - - - > 'lsass.exe'(956)
c:\winxp\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
.
- - - - - - - > 'explorer.exe'(760)
c:\programme\TOSHIBA\TME3\TMEEJMD.DLL
c:\winxp\system32\wpdshserviceobj.dll
c:\programme\Protector Suite QL\mysafe.dll
c:\programme\Protector Suite QL\infra.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\winxp\system32\rundll32.exe
c:\winxp\system32\agrsmsvc.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\winxp\system32\WgaTray.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\winxp\RTHDCPL.EXE
c:\winxp\system32\igfxsrvc.exe
c:\programme\TOSHIBA\TME3\TMEEJME.EXE
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-27 20:42:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-03-27 19:42
.
Vor Suchlauf: 6.353.489.920 Bytes frei
Nach Suchlauf: 6.408.327.168 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 99794D223EB1C69669079663C37369BE
...aber irgendwas läuft da noch: unten im Browserrand, also nicht im Webseitenfenster, sondern als Anzeige, kam: "übertragen der Dtaen von de.wrigleys.video...amazon" das wechslte dann zu (jetzt) "Übertragen der Daten von bs.serving-sys.com" und der Browser zeigt auch an, dass er was lädt oder sendet... Sehr merkwürdig! |
|
27.03.2013, 21:02
| #8 |
| /// TB-Ausbilder | URLs im Browser (Firefox) werden umgeleitet Fein, dann weiter: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstallation von Programmen
Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 3: Combofix-Skript
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
27.03.2013, 22:43
| #9 | |
| | URLs im Browser (Firefox) werden umgeleitet Der Cleaner konnte Win nicht runterfahren, ich musste Hand anlegen.... nach dem Neustart öffnet sich eien fenster mit der Mldg: Zitat:
Soll ich stoppen oder fortsetzen oder ignorieren? Hier der Logfile: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.115 - Datei am 27/03/2013 um 22:28:16 erstellt
# Aktualisiert am 17/03/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Toshiba A9 - TOSHIBA-9B366FC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Toshiba A9\desktop\AdwCleaner2115.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
***** [Internet Browser] *****
-\\ Internet Explorer v7.0.6000.16762
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v13.0.1 (de)
Datei : C:\Dokumente und Einstellungen\Toshiba A9\Anwendungsdaten\Mozilla\Firefox\Profiles\m438nzs5.default\prefs.js
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [1954 octets] - [26/03/2013 16:28:29]
AdwCleaner[R2].txt - [2014 octets] - [26/03/2013 17:43:24]
AdwCleaner[R3].txt - [3746 octets] - [27/03/2013 17:58:39]
AdwCleaner[R4].txt - [3865 octets] - [27/03/2013 18:00:27]
AdwCleaner[R5].txt - [1338 octets] - [27/03/2013 22:25:39]
AdwCleaner[S1].txt - [370 octets] - [26/03/2013 17:43:48]
AdwCleaner[S2].txt - [374 octets] - [27/03/2013 17:59:22]
AdwCleaner[S3].txt - [3892 octets] - [27/03/2013 18:00:39]
AdwCleaner[S4].txt - [374 octets] - [27/03/2013 22:26:25]
AdwCleaner[S5].txt - [1330 octets] - [27/03/2013 22:28:16]
########## EOF - C:\AdwCleaner[S5].txt - [1390 octets] ##########
Die Sache oben mit der Skriptmeldung hat sich wohl erledigt. Hier der Logfile von der letzten Combofix-Aktion: Combofix Logfile: Code:
ATTFilter ComboFix 13-03-27.01 - Toshiba A9 27.03.2013 23:01:50.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1554 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Toshiba A9\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Toshiba A9\Desktop\CFScript.txt
.
FILE ::
"c:\winxp\system32\wupdmgrj.dll"
"c:\winxp\Tasks\ltpuowfyr.job"
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\winxp\system32\wupdmgrj.dll
c:\winxp\Tasks\ltpuowfyr.job
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-27 bis 2013-03-27 ))))))))))))))))))))))))))))))
.
.
2013-03-27 14:59 . 2013-03-27 14:59 -------- d-----w- C:\_OTL
2013-03-27 12:23 . 2013-03-27 12:23 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Malwarebytes
2013-03-27 12:23 . 2013-03-27 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-27 10:58 . 2013-03-27 10:58 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\DriverCure
2013-03-27 10:58 . 2013-03-27 10:58 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\SpeedMaxPc
2013-03-27 10:57 . 2013-03-27 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SpeedMaxPc
2013-03-27 10:42 . 2004-03-08 23:00 662288 ----a-w- c:\winxp\system32\MSCOMCT2.OCX
2013-03-27 10:42 . 2001-10-28 15:42 116224 ----a-w- c:\winxp\system32\pdfcmnnt.dll
2013-03-27 10:42 . 1998-06-23 23:00 137000 ----a-w- c:\winxp\system32\MSMAPI32.OCX
2013-03-27 10:41 . 1998-07-06 16:56 125712 ----a-w- c:\winxp\system32\VB6DE.DLL
2013-03-27 10:41 . 1998-07-06 16:55 64512 ----a-w- c:\winxp\system32\MSCC2DE.DLL
2013-03-27 10:41 . 1998-07-05 23:00 23552 ----a-w- c:\winxp\system32\MSMPIDE.DLL
2013-03-27 10:41 . 2013-03-27 10:42 -------- d-----w- c:\programme\PDFCreator
2013-03-27 10:40 . 2013-03-27 10:40 -------- d-----w- C:\d2c38fc5165e480ea52374
2013-03-27 10:39 . 2013-03-27 13:41 -------- d-----w- C:\9643ccc379beb1839c98225b473558
2013-03-27 10:38 . 2013-03-27 10:46 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\VisualBeeExe
2013-03-27 10:37 . 2013-03-27 10:38 -------- d-----w- c:\dokumente und einstellungen\All Users\VisualBee
2013-03-25 11:08 . 2013-03-25 11:32 -------- d-----w- C:\Mmi_Email_Temp
2013-03-16 12:13 . 2013-03-16 12:13 -------- d-----w- c:\programme\Dropbox
2013-03-16 12:11 . 2013-03-27 18:45 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Dropbox
2013-03-07 12:12 . 2013-03-07 12:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2013-03-07 12:08 . 2013-03-07 12:08 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Logitech® Webcam-Software
2013-03-07 12:02 . 2013-03-07 12:02 53248 ----a-r- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2013-03-07 11:59 . 2013-03-07 11:59 -------- d-----w- C:\Program Files
2013-03-03 01:02 . 2013-03-25 11:14 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Jovian_Archive_Corp
2013-03-02 17:05 . 2013-03-02 17:05 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Jovian Archive
2013-03-02 17:05 . 2013-03-02 17:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Jovian Archive Corp
2013-03-02 17:03 . 2013-03-02 17:03 -------- d-----w- c:\programme\Jovian Archive
2013-03-01 20:19 . 2013-03-01 20:19 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2013-03-01 20:19 . 2013-03-01 20:19 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Apple Computer
2013-03-01 20:19 . 2013-03-01 20:19 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Titanium
2013-03-01 20:18 . 2013-03-02 14:10 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Eye-Fi
2013-03-01 20:18 . 2013-03-01 20:18 -------- d-----w- c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Eye-Fi
2013-03-01 20:16 . 2013-03-01 20:16 -------- d-----w- C:\vcredist-tmp
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-01 21:56 . 2009-08-01 21:56 1925024 ----a-w- c:\programme\install_flash_player.exe
2006-12-18 19:05 . 2006-12-18 19:05 23510720 ----a-w- c:\programme\dotnetfx20.exe
2006-05-17 11:14 . 2006-05-17 11:14 340912 ----a-w- c:\programme\dotnetfx.exe
2012-06-14 22:19 . 2012-07-02 19:32 85472 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
[-] 2008-07-08 21:08 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\winxp\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"IgfxTray"="c:\winxp\system32\igfxtray.exe" [2007-06-05 138008]
"HotKeysCmds"="c:\winxp\system32\hkcmd.exe" [2007-06-05 162584]
"Persistence"="c:\winxp\system32\igfxpers.exe" [2007-06-05 138008]
"00THotkey"="c:\winxp\system32\00THotkey.exe" [2006-08-07 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-04 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-03-06 114688]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"vspdfprsrv.exe"="c:\programme\eXPert PDF 6\vspdfprsrv.exe" [2008-11-18 1199616]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-03 767312]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2516296]
"CanonSolutionMenuEx"="c:\programme\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"LWS"="c:\programme\Logitech\LWS\Webcam Software\LWS.exe" [2011-11-11 205336]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-02 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48 40448 ----a-w- c:\winxp\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Toshiba A9\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Dokumente und Einstellungen\\Toshiba A9\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R1 TMEI3E;TMEI3E;c:\winxp\system32\drivers\TMEI3E.sys [27.09.2008 23:57 5888]
R2 acedrv10;acedrv10;c:\winxp\system32\drivers\ACEDRV10.sys [24.07.2007 08:45 328824]
R2 acehlp10;acehlp10;c:\winxp\system32\drivers\acehlp10.sys [11.07.2007 09:20 201848]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 17:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 16:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 16:33 3456]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [27.09.2008 23:57 114688]
R2 UMVPFSrv;UMVPFSrv;c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe [18.01.2012 07:44 450848]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\winxp\system32\drivers\avmwan.sys [27.06.2009 12:19 37568]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [08.01.2013 12:55 161536]
S3 AbilisT;EyeTV DTT Deluxe Service;c:\winxp\system32\drivers\AbilisBdaTuner.sys [24.02.2011 22:16 118408]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\winxp\system32\drivers\ewusbnet.sys [10.07.2012 13:18 112640]
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;c:\winxp\system32\drivers\fpcmbase.sys [27.06.2009 12:19 441728]
S3 HPFXFAX;HPFXFAX;c:\winxp\system32\drivers\hpfxfax.sys --> c:\winxp\system32\drivers\hpfxfax.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\winxp\system32\drivers\ewusbdev.sys [10.07.2012 13:18 100480]
S3 hwusbfake;Huawei DataCard USB Fake;c:\winxp\system32\DRIVERS\ewusbfake.sys --> c:\winxp\system32\DRIVERS\ewusbfake.sys [?]
S3 sffp_mmc;SFF-Speicherprotokolltreiber für MMC;c:\winxp\system32\drivers\sffp_mmc.sys [14.04.2008 13:00 10240]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [30.11.2008 20:36 685816]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-30 11:59]
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-30 11:59]
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1659004503-1417001333-1003Core.job
- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2013-03-07 20:08]
.
2013-03-27 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1659004503-1417001333-1003UA.job
- c:\dokumente und einstellungen\Toshiba A9\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2013-03-07 20:08]
.
2013-03-27 c:\winxp\Tasks\RealUpgradeLogonTaskS-1-5-21-682003330-1659004503-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 11:40]
.
2013-03-21 c:\winxp\Tasks\RealUpgradeScheduledTaskS-1-5-21-682003330-1659004503-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 11:40]
.
2013-03-26 c:\winxp\Tasks\Sicherung.job
- c:\winxp\system32\ntbackup.exe [2008-04-14 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.zahnkreide.de/
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Settings,ProxyOverride = *.local;<local>
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Internet-Suche - c:\programme\Translator\PRMTIE\search.htm
IE: Seite übersetzen - c:\programme\Translator\PRMTIE\page.htm
IE: Übersetzen - c:\programme\Translator\PRMTIE\translat.htm
IE: Übersetzungsoptionen anpassen - c:\programme\Translator\PRMTIE\options.htm
IE: {{4034D172-4C52-49de-A6A1-E75F8F591FEC} - c:\programme\Translator\PRMTIE\options.htm
IE: {{A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - c:\programme\Translator\PRMTIE\prmtie5.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Toshiba A9\Anwendungsdaten\Mozilla\Firefox\Profiles\m438nzs5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.li/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2013-03-27 23:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(896)
c:\winxp\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\winxp\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
.
- - - - - - - > 'lsass.exe'(952)
c:\winxp\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
.
Zeit der Fertigstellung: 2013-03-27 23:11:47
ComboFix-quarantined-files.txt 2013-03-27 22:11
ComboFix2.txt 2013-03-27 19:42
.
Vor Suchlauf: 6.411.853.824 Bytes frei
Nach Suchlauf: 6.399.078.400 Bytes frei
.
- - End Of File - - E619C445E1D6379155773F17514B9B44
|
|
28.03.2013, 09:30
| #10 |
| /// TB-Ausbilder | URLs im Browser (Firefox) werden umgeleitet Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Downloade Dir bitteSchritt 2: Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!  Schritt 3: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
28.03.2013, 14:15
| #11 | |||
| | URLs im Browser (Firefox) werden umgeleitet 1. Malwarebyts Zitat:
Hinterher gelöscht Zitat:
Zitat:
|
|
28.03.2013, 15:42
| #12 |
| /// TB-Ausbilder | URLs im Browser (Firefox) werden umgeleitet Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Schritt 3: Update: Internetexplorer Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!
Schritt 2: Entferne FLash 10 Schritt 3: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Schritt 5: Update: Firefox, Addons und Plugins
Abschließend noch Tipps zu folgenden Themen:
Lesestoff:Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff:Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff:Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
 Lesestoff:Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
28.03.2013, 18:35
| #13 |
| | URLs im Browser (Firefox) werden umgeleitet Danke für den Support und Danke für die guten Tipps (hab mir gleich Maxthon und Foxit installiert) ---> kleine Spende ist auch abgeschickt. Eine Frage allerdings noch: WIN lässt sich nicht mehr runterfahren, sondern bleibt hängen und ich muss den Schalter nehmen. Kann man sowas reparieren? |
|
28.03.2013, 18:37
| #14 |
| /// TB-Ausbilder | URLs im Browser (Firefox) werden umgeleitet Bestimmt. Lesestoff:So geht es weiter: Wir haben jetzt deinen Rechner bereinigt. Da dein Problem aber so nicht gelöst worden ist möchte ich dich gerne an unsere Kollegen weiterreichen.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
28.03.2013, 19:30
| #15 |
| | URLs im Browser (Firefox) werden umgeleitet Yes - für mich auch. Guter Job! |
|
| Themen zu URLs im Browser (Firefox) werden umgeleitet |
| adobe, bho, bonjour, browser, canon, cdburnerxp, continue, downloader, einstellungen, email, expert pdf, explorer, firefox, fontcache, format, ftp, gebraucht, helper, home, logfile, lws.exe, mozilla, object, pdf, problem, programm, realtek, registry, required, rundll, server, software, umleitung bei google-suche auf andere seiten, warum |
Textbox.
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
