Verdacht auf Malware

cosinus · 30.12.2013, 21:59

Hab ich mir schon fast gedacht. Du hast meinen Text zum Fixen nicht komplett kopiert.
Mach den Fix bitte richtig!

lakil · 30.12.2013, 22:35

Zitat:

Zitat von cosinus

Hab ich mir schon fast gedacht. Du hast meinen Text zum Fixen nicht komplett kopiert.
Mach den Fix bitte richtig!

Der Text ist richtig wen du genau hinschaust-EOF- nur habe ich eine erneute Fixlog Datei nicht erstellt.
Soll ich das jetzt erneut durchführen und mit FRST tool fixen?

cosinus · 30.12.2013, 22:38

Das ist doch wieder Blödsinn...du hast den Text nicht komplett kopiert!
Sonst hätte FRST auch die anderen Einträge gefixt die mit systemlook ja wieder gerunden wurden

lakil · 30.12.2013, 22:51

Zitat:

Zitat von cosinus

Das ist doch wieder Blödsinn...du hast den Text nicht komplett kopiert!
Sonst hätte FRST auch die anderen Einträge gefixt die mit systemlook ja wieder gerunden wurden

Ich kann dir zu 100% versichern das ich den ganzent text in die Fixlist.txt datei koopiert habe.
So und nun sind wir bei dem eigentlichem Problem
Die einträge die übrig geblieben sind können nicht entfernt werden zumindest nicht mit FRST.
Also ich weiss was ich tue.
Und wenn du zürück auf die logs schaust dann wirste sehen das die logs komplett übertragen wurden.

cosinus · 30.12.2013, 22:54

Zitat:

Ich kann dir zu 100% versichern das ich den ganzent text in die Fixlist.txt datei koopiert habe.

Mach den Fix einfach nochmal. Neue Dateien erstellen

lakil · 30.12.2013, 23:00

Code:

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 22:59 on 30/12/2013 by 
Administrator - Elevation successful

========== filefind ==========

Searching for "*spigot*"
No files found.

========== folderfind ==========

Searching for "*spigot*"
No folders found.

========== regfind ==========

Searching for "spigot"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://de.search.yahoo.com/?type=198484&fr=spigot-yhp-ie"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}]
"OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml"
[HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://de.search.yahoo.com/?type=198484&fr=spigot-yhp-ie"
[HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}]
"OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml"

-= EOF =-

cosinus · 30.12.2013, 23:04

Den Fix bitte....nicht die Suche mit systemlook

lakil · 30.12.2013, 23:06

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-12-2013 01
Ran by Wolke at 2013-12-30 23:04:40 Run:4
Running from C:\Users\d\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
SystemLook 30.07.11 by jpshortstuff
Log created at 22:59 on 30/12/2013 by 
Administrator - Elevation successful

========== filefind ==========

Searching for "*spigot*"
No files found.

========== folderfind ==========

Searching for "*spigot*"
No folders found.

========== regfind ==========

Searching for "spigot"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://de.search.yahoo.com/?type=198484&fr=spigot-yhp-ie"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}]
"OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml"
[HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://de.search.yahoo.com/?type=198484&fr=spigot-yhp-ie"
[HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}]
"OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml"

-= EOF =-
*****************


========================= "OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml" ========================

""OSDFileURL"="///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml" not found.
====== End Of File: ======

cosinus · 31.12.2013, 15:47

Was machst du denn da schon wieder?

Du kannst doch nicht den Text der für sysemlook bestimmt ist bei FRST einfügen!

Diesen Fix sollst du nochmal machen!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

C:\Program Files (x86)\Common Files\Spigot
reg: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /v "OSDFileURL" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\34B66CF356D744245B0C8EDE24AC03DC" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62F013B2CCF0DEE4EB7CB83D7A21280C" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8740C21CF79D2514E94A247F4DEFE091" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E83F13912F1FBF64390A163E8464B6C7" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /f

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

lakil · 31.12.2013, 16:00

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-12-2013 01
Ran by Wolke at 2013-12-31 15:59:18 Run:5
Running from C:\Users\admin\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Program Files (x86)\Common Files\Spigot
reg: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /v "OSDFileURL" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\34B66CF356D744245B0C8EDE24AC03DC" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62F013B2CCF0DEE4EB7CB83D7A21280C" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8740C21CF79D2514E94A247F4DEFE091" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E83F13912F1FBF64390A163E8464B6C7" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /f
*****************

"C:\Program Files (x86)\Common Files\Spigot" => File/Directory not found.

========= reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /v "OSDFileURL" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\34B66CF356D744245B0C8EDE24AC03DC" /f =========

FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.


========= End of Reg: =========

cosinus · 31.12.2013, 16:15

Neuer Fix bitte:

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62F013B2CCF0DEE4EB7CB83D7A21280C" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8740C21CF79D2514E94A247F4DEFE091" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E83F13912F1FBF64390A163E8464B6C7" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /f

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

lakil · 31.12.2013, 16:33

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-12-2013 01
Ran by Wolke at 2013-12-31 16:32:41 Run:6
Running from C:\Users\admin\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62F013B2CCF0DEE4EB7CB83D7A21280C" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8740C21CF79D2514E94A247F4DEFE091" /f
reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E83F13912F1FBF64390A163E8464B6C7" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /f
*****************


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62F013B2CCF0DEE4EB7CB83D7A21280C" /f =========

FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.


========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8740C21CF79D2514E94A247F4DEFE091" /f =========

FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.


========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E83F13912F1FBF64390A163E8464B6C7" /f =========

FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.


========= End of Reg: =========


========= reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========

cosinus · 31.12.2013, 16:34

Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:filefind
*spigot*

:folderfind
*spigot*

:regfind
spigot
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Der Suchlauf kann einige Zeit dauern.
Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

lakil · 31.12.2013, 16:44

Über browser Hijacker
Unter kriminellen Programmierern ist das „Entführen“ des Browsers auf fremde Web-Seiten populär. Der erste Fall eines solchen Browser-Hijackings wurde 2003 bekannt. Besonders gefährlich ist die Kombination mit Phishing (Passwort fischen). Dabei werden Daten so gestohlen: Sie geben die Original-URL Ihrer Bank ein, Ihr Browser wird aber unbemerkt auf eine gefälschte Site umgeleitet. Dort werden Sie aufgefordert, Ihre Zugangsdaten fürs Online-Banking einzugeben.

Manipulierter Internet Explorer: Beim Browser-Hijacking werden Einstellungen des Internet Explorers (IE) so verändert, dass der Browser beim Start unerwünschte Seiten anzeigt und eingegebene Adressen auf falsche Seiten umleitet. Zusätzlich ergänzt oder verändert das Hijacker-Programm die Favoriten. Meistens kommt es auch vor, dass bestimmte Seiten nicht mehr zu erreichen sind, wie im obigen Beispiel die echten Internet-Seiten der Bank.
Vorwiegend nutzt Hijacking Sicherheitslücken im Internet Explorer aus, insbesondere Active-X-Komponenten. Viele kriminellen Programmierer manipulieren nicht nur den IE, sondern schleusen auch einen Trojaner ins System ein. Der bewirkt, dass Sie als Benutzer die Änderungen im IE nicht löschen oder korrigieren können. Manche Hijacker platzieren auch Werbemodule im IE.

quelle:PcWelt

Code:

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 16:41 on 31/12/2013 by
Administrator - Elevation successful

========== filefind ==========

Searching for "*spigot*"
No files found.

========== folderfind ==========

Searching for "*spigot*"
No folders found.

========== regfind ==========

Searching for "spigot"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://de.search.yahoo.com/?type=198484&fr=spigot-yhp-ie"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}]
"OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml"
[HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://de.search.yahoo.com/?type=198484&fr=spigot-yhp-ie"
[HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}]
"OSDFileURL"="file:///C:/Program%20Files%20(x86)/Common%20Files/Spigot/Search%20Settings/yahoo_ie.xml"

-= EOF =-

cosinus · 31.12.2013, 16:53

Hm, irgendwie will er die letzten Reste noch nicht richtig löschen. Nochn Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

reg: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
reg: reg delete "HKEY_USERS\S-1-5-21-3583547410-2317155067-1929240655-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /v "OSDFileURL" /f
reg: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5DAA9480-0CE9-4C6A-8044-5D63972C8BD9}" /v "OSDFileURL" /f

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

30.12.2013, 21:59	#91
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Malware Hab ich mir schon fast gedacht. Du hast meinen Text zum Fixen nicht komplett kopiert. Mach den Fix bitte richtig! __________________ Logfiles bitte immer in CODE-Tags posten

30.12.2013, 22:38	#93
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Malware Das ist doch wieder Blödsinn...du hast den Text nicht komplett kopiert! Sonst hätte FRST auch die anderen Einträge gefixt die mit systemlook ja wieder gerunden wurden __________________ __________________

30.12.2013, 23:04	#97
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Malware Den Fix bitte....nicht die Suche mit systemlook __________________ Logfiles bitte immer in CODE-Tags posten

Verdacht auf Malware

Log-Analyse und Auswertung: Verdacht auf Malware