|
Log-Analyse und Auswertung: rvzr-a.akamaihd.net im Firefox! Trojaner?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.11.2013, 21:34 | #1 |
| rvzr-a.akamaihd.net im Firefox! Trojaner? Hallo Leute, ich hab schon gelesen, das es sich hierbei um einen Trojaner handelt und das jedes Problem individuell bearbeitet werden soll/wird. Ich hab seit ca. einer Woche dieses Teil auf meinem Rechner und hab bereits 2 Programme drüberlaufen lassen (Avira & Trojan Remover). Da ich meinen Rechner nur zum Arbeiten nutze, jedoch mein Rechner mehr mit mit zu tun hat, bin halt kein Fachmann, hoffe ich auf eure Unterstützung. Jedesmal wenn ich im Firefox unterwegs bin und Links oder Seiten öffne, erscheint ein Werbefenster mit diesem Link. Was kann ich tun um meinen Rechner nicht zu formatieren?? Wenn Ihr was posted versuch ich Schrittzuhalten... Danke euch TomT P.S. es handelt sich um diesen hier! https://rvzr-a.akamaihd.net/sd/wrap-0 Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.11.21.08 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 pctower :: PCTOWER-PC [Administrator] 21.11.2013 21:58:04 mbam-log-2013-11-21 (21-58-04).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 225254 Laufzeit: 5 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 13 HKCR\CLSID\{11111111-1111-1111-1111-110311341140} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKCR\TypeLib\{44444444-4444-4444-4444-440344344440} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKCR\Interface\{55555555-5555-5555-5555-550355345540} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKCR\CrossriderApp0033440.BHO.1 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110311341140} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110311341140} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110311341140} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKCR\CrossriderApp0033440.BHO (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt. HKCR\CrossriderApp0033440.Sandbox (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt. HKCR\CrossriderApp0033440.Sandbox.1 (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt. HKCU\Software\InstalledBrowserExtensions\Plus HD (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Plus-HD-2.6 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Plus-HD-2.6 (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 5 HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=05/05/2013&type=hp1000) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=05/05/2013&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=hp&fr=linkury-tb&installDate=05/05/2013&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=05/05/2013&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=05/05/2013&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 5 C:\Users\pctower\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\6A785740F7124CE194FA068087E7C87F (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C158CBDBA0614838BB0DD62CBADF8CB7 (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C4AE8876CBBB4942BE737D99F44DC120 (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. Infizierte Dateien: 30 C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-bho.dll (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\$Recycle.Bin\S-1-5-21-2729930242-1288926378-1002684693-1000\$R3BHNBL.exe (PUP.Optional.Softonic.A) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Local\Temp\plus-hd-2-6.exe (PUP.Optional.CrossRider) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Local\Temp\CadZOWyj.exe.part (PUP.Optional.Softonic.A) -> Keine Aktion durchgeführt. C:\Users\pctower\Downloads\DAEMONToolsUltra100-0068.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\Downloads\DTLite4471-0333.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Windows\Tasks\Plus-HD-2.6-codedownloader.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Windows\Tasks\Plus-HD-2.6-enabler.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Windows\Tasks\Plus-HD-2.6-firefoxinstaller.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Windows\Tasks\Plus-HD-2.6-updater.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\6A785740F7124CE194FA068087E7C87F\TuneUpUtilities2013-2200217_de-DE.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C158CBDBA0614838BB0DD62CBADF8CB7\TuneUpUtilities2013-2200218_de-DE.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C4AE8876CBBB4942BE737D99F44DC120\4654.ico (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C4AE8876CBBB4942BE737D99F44DC120\EBB77268-338F-4C6A-8590-AD88FED26F4A (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C4AE8876CBBB4942BE737D99F44DC120\Installer.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Users\pctower\AppData\Roaming\OpenCandy\C4AE8876CBBB4942BE737D99F44DC120\OCBrowserHelper_1.0.6.125.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\33440.xpi (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\background.html (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Installer.log (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-bg.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-buttonutil.dll (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-buttonutil.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-codedownloader.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-updater.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-enabler.exe (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-firefoxinstaller.exe (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6-helper.exe (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Plus-HD-2.6\Plus-HD-2.6.ico (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Plus-HD-2.6\Uninstall.exe (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Plus-HD-2.6\utils.exe (PUP.Optional.PlusHD.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Geändert von TomT (21.11.2013 um 22:10 Uhr) Grund: zusatz |
22.11.2013, 01:39 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | rvzr-a.akamaihd.net im Firefox! Trojaner? Hallo und
__________________Adware/Junkware/Toolbars entfernen 1. Schritt: adwCleaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
__________________ |
25.11.2013, 23:10 | #3 |
| rvzr-a.akamaihd.net im Firefox! Trojaner? Hallo Cosinus,
__________________danke für deine Rückmeldung. Ich werde mich morgen ransetzen, da ich noch etwas arbeiten muss - btw, jetzt hab ich folgenden Link der sich als Fenster öffnet (hxxp://static.icmapp.com) und dazu noch skyscapers und ads auf unterschiedlichen Seiten von "Ads by PlusHD.6" Ich hoffe den Trojaner werd ich bald los - ich meld mich sobald ich deine Ratschläge umgesetzt habe. VG TomT |
28.11.2013, 09:50 | #4 | ||
| rvzr-a.akamaihd.net im Firefox! Trojaner? Hier nun die Resultate der Scans JRT Zitat:
AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v3.013 - Bericht erstellt am 28/11/2013 um 09:54:08 # Updated 24/11/2013 von Xplode # Betriebssystem : Windows Vista (TM) Home Basic Service Pack 2 (32 bits) # Benutzername : pctower - PCTOWER-PC # Gestartet von : C:\Users\pctower\Downloads\adwcleaner.exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** Ordner Gelöscht : C:\Users\pctower\AppData\Local\PackageAware ***** [ Verknüpfungen ] ***** ***** [ Registrierungsdatenbank ] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113} Schlüssel Gelöscht : HKCU\Software\Myfree Codec Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Plus-HD-2.6 Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08121C32A9C319F4CB0C11FF059552A4 ***** [ Browser ] ***** -\\ Internet Explorer v9.0.8112.16520 Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default] Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default] -\\ Mozilla Firefox v25.0.1 (en-US) [ Datei : C:\Users\pctower\AppData\Roaming\Mozilla\Firefox\Profiles\se2035fw.default\prefs.js ] Zeile gelöscht : user_pref("browser.startup.homepage", "hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=hp&fr=linkury-tb&installDate=05/05/2013&ty[...] Zeile gelöscht : user_pref("extensions.helperbar.Country", "Germany"); Zeile gelöscht : user_pref("extensions.helperbar.DockingPositionDown", false); Zeile gelöscht : user_pref("extensions.helperbar.LastHiddenTime", 22817483); Zeile gelöscht : user_pref("extensions.helperbar.UserID", "db4560aa-1775-4b0c-984b-a4aff95a936a"); Zeile gelöscht : user_pref("extensions.helperbar.Visibility", true); Zeile gelöscht : user_pref("extensions.helperbar.countryiso", "de"); Zeile gelöscht : user_pref("extensions.helperbar.downloadprovider", "yahoooc"); Zeile gelöscht : user_pref("extensions.helperbar.installationid", "db4560aa-1775-4b0c-984b-a4aff95a936a"); Zeile gelöscht : user_pref("extensions.helperbar.installdate", "05/05/2013"); Zeile gelöscht : user_pref("extensions.helperbar.publisher", "yahoooc"); Zeile gelöscht : user_pref("extensions.helperbar.type", "hp1000"); Zeile gelöscht : user_pref("keyword.URL", "hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=db4560aa-1775-4b0c-984b-a4aff95a936a&searchtype=ds&fr=linkury-tb&installDate=05/05/2013&type=hp1000&p="[...] ************************* AdwCleaner[R0].txt - [3322 octets] - [28/11/2013 09:52:17] AdwCleaner[S0].txt - [2885 octets] - [28/11/2013 09:54:08] ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2945 octets] ########## FRST: Zitat:
bringen dich die Infos weiter? VG Geändert von TomT (28.11.2013 um 10:08 Uhr) |
28.11.2013, 11:06 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | rvzr-a.akamaihd.net im Firefox! Trojaner? FRST neu runterladen und nochmal probieren, sichergehen, dass bei additions.txt ein Haken gesetzt ist. Sonst keine Haken bitte verändern.
__________________ Logfiles bitte immer in CODE-Tags posten |
28.11.2013, 11:36 | #6 |
| rvzr-a.akamaihd.net im Firefox! Trojaner? hab ich mehrfach versucht und auch der download von anderen Webseiten funktioniert nicht. Das Programm steig nach 5-10sek Suchlauf aus. |
28.11.2013, 12:17 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | rvzr-a.akamaihd.net im Firefox! Trojaner? Per Rechtsklick => als Admin ausführen?
__________________ Logfiles bitte immer in CODE-Tags posten |
01.12.2013, 22:26 | #8 |
| rvzr-a.akamaihd.net im Firefox! Trojaner? leider auch dann nicht! |
01.12.2013, 23:54 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | rvzr-a.akamaihd.net im Firefox! Trojaner? Dann bitte jetzt Combofix ausführen: Scan mit Combofix
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu rvzr-a.akamaihd.net im Firefox! Trojaner? |
arbeiten, avira, erscheint, firefox, formatieren, formatieren?, install.exe, problem, pup.optional.crossrider, pup.optional.crossrider.a, pup.optional.helperbar.a, pup.optional.opencandy, pup.optional.plushd.a, pup.optional.softonic.a, rechner, remover, rvzr-a.akamaihd.net, trojaner, trojaner?, unterwegs, werbefenster |