| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner-Problem, automatische Weiterleitung in Firefox (http://nova.rambler.ru)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.12.2016, 17:38
| #1 |
| |  Trojaner-Problem, automatische Weiterleitung in Firefox (http://nova.rambler.ru) Hallo zusammen, Beim Download eines Mods für World of Tanks habe ich mir einiges eingefangen. Folgende Symptome traten auf: - Beliebiges Öffnen von Browserfenstern, auch bei deaktiviertem Browser - weiterleitung aller google-Suchen auf hxxp://nova.rambler.ru - im Browser oft öffnen neuer Fenster - alle Browser -Symbole auf dem Desktop wurden als versteckt gesetzt - Neue Browsersymbole erschienen auf dem Desktop - Installation diverser Programme - Ordner: Internet-Explorer läßt sich nicht löschen, obwohl das Programm deaktiviert ist und deinstalliert wurde - Nach Löschung durch Ashampoo Optimiser erstellt sich der Ordner und einige Inhalte selbst wieder Aus Sicherheitsgründen hab ich derzeit keine Passwörter eingegeben (Online-Spiele, Paypal etc), oder Firefox/Chrome weiter genutzt. Als Browser nutze ich gerade den Avast Save Zone Browser. Hier treten besagte Weiterleitungen nicht auf. Leider habe ich das Board hier etwas zu spät gefunden, und alleine etwas herumgebastelt Avast Antivirus, mbar, und adv adcleaner kamen bisher zum Einsatz. Übriggeblieben sind die fett gedruckten Symtome. Weitere Schritte werde ich mal nicht einleiten, ohne Anleitung von hier. Hier die letzten Protokolle dazu: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v6.041 - Bericht erstellt am 18/12/2016 um 16:52:03
# Aktualisiert am 16/12/2016 von Malwarebytes
# Datenbank : 2016-12-18.1 [Server]
# Betriebssystem : Microsoft Windows XP Service Pack 3 (X86)
# Benutzername : Master - XP
# Gestartet von : C:\Dokumente und Einstellungen\Master\Desktop\AdwCleaner_6.041.exe
# Modus: Löschen
# Unterstützung : https://www.malwarebytes.com/support
***** [ Dienste ] *****
***** [ Ordner ] *****
[-] Ordner gelöscht: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apn
[-] Ordner gelöscht: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BonanzaDealsLive
[-] Ordner gelöscht: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eSafe
[-] Ordner gelöscht: C:\Programme\MyPC Backup
***** [ Dateien ] *****
[-] Datei gelöscht: C:\END
[-] Datei gelöscht: C:\WINDOWS\system32\conduitEngine.tmp
[-] Datei gelöscht: C:\WINDOWS\system32\roboot.exe
***** [ DLL ] *****
***** [ WMI ] *****
***** [ Verknüpfungen ] *****
***** [ Aufgabenplanung ] *****
***** [ Registrierungsdatenbank ] *****
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Toolbar.CT2736476
[-] Schlüssel gelöscht: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WsysSvc
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{41564952-412D-5637-00A7-7A786E7484D7}
[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{41564952-412D-5637-00A7-7A786E7484D7}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{41564952-412D-5637-00A7-7A786E7484D7}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063412-BEA4-4D76-8ED3-183BE6220D17}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{41564952-412D-5637-00A7-7A786E7484D7}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE063412-BEA4-4D76-8ED3-183BE6220D17}
[-] Wert gelöscht: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{41564952-412D-5637-00A7-7A786E7484D7}]
[-] Wert gelöscht: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{41564952-412D-5637-00A7-7A786E7484D7}]
[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\AskPartnerNetwork
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\BonanzaDealsLive
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\Conduit
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\dsiteproducts
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\Headlight
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\InstallCore
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\Yahoo\Companion
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\Yahoo\YFriendsBar
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\YahooPartnerToolbar
[-] Schlüssel gelöscht: HKU\S-1-5-21-1757981266-1284227242-725345543-1003\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DigitalSite
[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-18\Software\AskPartnerNetwork
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\BonanzaDealsLive
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Conduit
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\dsiteproducts
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Headlight
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\InstallCore
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Yahoo\Companion
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Yahoo\YFriendsBar
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\YahooPartnerToolbar
[-] Schlüssel gelöscht: HKLM\SOFTWARE\aartemisSoftware
[-] Schlüssel gelöscht: HKLM\SOFTWARE\DivX\Install\Setup\WizardLayout\ConduitToolbar
[-] Schlüssel gelöscht: HKLM\SOFTWARE\eSafeSecControl
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Uniblue
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Yahoo\Companion
[-] Schlüssel gelöscht: HKLM\SOFTWARE\systweak
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyMemoryPackage
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DigitalSite
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\MyPC Backup
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Directory\Background\shell\Add event reminder
***** [ Browser ] *****
*************************
:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt
:: "Image File Execution Options" Schlüssel gelöscht
:: "Prefetch" Dateien gelöscht
:: Proxy Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht
:: Hosts-Datei wiederhergestellt
*************************
C:\AdwCleaner\AdwCleaner[C0].txt - [5610 Bytes] - [18/12/2016 16:52:03]
C:\AdwCleaner\AdwCleaner[S0].txt - [5375 Bytes] - [18/12/2016 16:51:22]
########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [5756 Bytes] ##########
Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org
Database version:
main: v2016.12.18.02
rootkit: v2016.11.20.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Master :: XP [administrator]
18.12.2016 15:20:25
mbar-log-2016-12-18 (15-20-25).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Kernel memory modifications detected. Deep Anti-Rootkit Scan engaged.
Objects scanned: 350212
Time elapsed: 43 minute(s), 27 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 7
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SSHNAS (Trojan.Renos) -> Delete on reboot. [16b48f59bfdbd5614acfa05222e0d52b]
HKU\S-1-5-18\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Delete on reboot. [5575feea594148ee37b0787fda28d62a]
HKU\S-1-5-18\SOFTWARE\XMZH42I4GI (Trojan.FakeAlert.SA) -> Delete on reboot. [606a7c6ce5b5db5b50c8ae4a3fc3b24e]
HKU\S-1-5-18\SOFTWARE\{9C360EFF-A52D-49c9-8531-456C1A406D3C} (Trojan.Downloader) -> Delete on reboot. [b3175c8c9ffbce683af51ba0768c5da3]
HKU\S-1-5-21-1757981266-1284227242-725345543-1003\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Delete on reboot. [c70340a83466d462747304f325dd13ed]
HKU\S-1-5-21-1757981266-1284227242-725345543-1003\SOFTWARE\XMZH42I4GI (Trojan.FakeAlert.SA) -> Delete on reboot. [bd0d5b8d15851d19ff199068dc26629e]
HKU\S-1-5-21-1757981266-1284227242-725345543-1003\SOFTWARE\{9C360EFF-A52D-49c9-8531-456C1A406D3C} (Trojan.Downloader) -> Delete on reboot. [4783faee653532047eb100bb04fe21df]
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 1
C:\Programme\VVSN (Adware.WhenU) -> Delete on reboot. [4189df093a60c86eb6bed892cc36956b]
Files Detected: 1
C:\WINDOWS\system32\drivers\etc\hosts (Hijack.HostFile) -> Bad: (127.0.0.1 clients2.google.com ) Good: () -> Replace on reboot. [f5d502e66f2b96a06b10fe5455ab17e9]
Physical Sectors Detected: 0
(No malicious items detected)
(end)
Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org
Database version:
main: v2016.12.18.03
rootkit: v2016.11.20.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Master :: XP [administrator]
18.12.2016 16:11:25
mbar-log-2016-12-18 (16-11-25).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Kernel memory modifications detected. Deep Anti-Rootkit Scan engaged.
Objects scanned: 349040
Time elapsed: 35 minute(s), 28 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
Physical Sectors Detected: 0
(No malicious items detected)
(end)
Geändert von Findalskin (18.12.2016 um 17:54 Uhr) |
| Themen zu Trojaner-Problem, automatische Weiterleitung in Firefox (http://nova.rambler.ru) |
| administrator, antivirus, avast, dateien, desktop, dll, download, einstellungen, file, firefox, hosts-datei, installation, internet explorer, log, löschen, microsoft, neustart, ordner, proxy, registry, server, software, windows, windows xp, wmi, yahoo |
Baum-Darstellung