Firefox: 'Googeln' verweigert - Trojaner installiert??

milchkeks · 15.08.2008, 09:45

Hallo TB-Team!

Ich bitte um Hilfe bei folgendem Problem:

Vor kurzem konnte ich plötzlich nicht mehr mit Firefox 'Googeln' (wurde mit Spam-Verweis abgelehnt). Mit Ubuntu ging's ohne Probleme. Darauf hin habe ich erst realisiert, dass FF seit geraumer Zeit nicht upgedated wurde (noch version 2.0.0.12), da ich zwar Autoupdate aktivert hatte, jedoch im eingeschränkten Benutzerkonto surfe.

Daraufhin habe ich FF komplett deinstalliert, alle Benutzerprofile vollständig gelöscht und neu installiert (v3.1) - jetzt funktioniert Google wieder. Natürlich habe ich jetzt bedenken, was denn nun der Grund war... Avira fand einige Schädlinge, ich bin mir aber nicht ganz sicher, ob es sich nicht um Fehlalarme handelt:

Zitat:

C:\Dokumente und Einstellungen\######1\Desktop\....\DATA\KAP_13.HTM
[FUND] Enthält verdächtigen Code: HEUR/Worm.Outlook.VBS
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\######2\Desktop\Systools\xpy-0.9.8-bin\xpy.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gampass.GP
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\######3\Desktop\Systools\xpy-0.9.8-bin\xpy.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gampass.GP
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <Volume>
D:\System Volume Information\_restore{FB#####E-13E9-436B-A922-C9D2FB67E1F0}\RP224\A0066543.exe
[FUND] Ist das Trojanische Pferd TR/Generic.98821
[WARNUNG] Die Datei wurde ignoriert.

Besonders bei 'xpy' bin ich etwas skeptisch, 'System Volume' finde ich eher seltsam und auch das .doc file... ich bin aber kein Fachmann für Viren.
Ein Scan mit 'ClamAV' und Linux ergab etliche Funde, wobei viele davon 'oversized Zipfiles' sind und ich habe keine Ahnung, inwiefern das Aussagekraft bezüglich einer Infektion hat:

Zitat:

#StartTime=1218709470
#Duration=5899
#NScanned=140554
#NInfected=19
#NProblems=2
#Total=140554
#BlocksScanned=24194144
#Location=/media/C
#Status=19 Viruses Found 2 Problems Found Duration: 1:38:19
LibClamAV Warning: ***********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
"/media/C/AddOn/DirectX-Panel/Feb2005_d3dx9_24_x86.cab" Input/Output error
!"/media/C/Dokumente und Einstellungen/#####1/.eclipse/net.sf.wascana.ui.ide_1.0.0.qualifier_1208943328/configuration/eclipse/plugins/org.eclipse.jdt.core_3.3.3.v_793_R33x.jar" Oversized.Zip
!"/media/C/Dokumente und Einstellungen/#####1/Desktop/.../C++.doc" WM.Psycho
!"/media/C/Dokumente und Einstellungen/#####2/Dokumente/RemoveWGA_1-2.exe" Trojan.RemovWGA
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
LibClamAV Warning: RAR code not compiled-in
!"/media/C/Dokumente und Einstellungen/#####3/Anwendungsdaten/Sun/Java/jdk1.6.0_06/sb160060.cab" Oversized.Zip
!"/media/C/Dokumente und Einstellungen/#####3/Anwendungsdaten/Sun/Java/jdk1.6.0_07/sb160070.cab" Oversized.Zip
!"/media/C/Dokumente und Einstellungen/#####3/Desktop/slipstreamer/slipstreamer.exe" Trojan.DNSChanger-3887
!"/media/C/Dokumente und Einstellungen/#####3/Desktop/Unzip/sam2_patch_2_068_62787.exe" Oversized.Zip
"/media/C/Programme/DirectX9c/Feb2005_d3dx9_24_x86.cab" Input/Output error
!"/media/C/Programme/Gemeinsame Dateien/Java/Update/Base Images/jdk1.6.0.b105/patch-jdk1.6.0_07.b06/javadb.msi" Oversized.Zip
!"/media/C/Programme/Gemeinsame Dateien/Java/Update/Base Images/jdk1.6.0.b105/tools.zip" Oversized.Zip
!"/media/C/Programme/Wascana/eclipse/plugins/org.apache.jasper_5.5.17.v200706111724.jar" Oversized.Zip
!"/media/C/Programme/Java/jdk1.6.0_07/db/demo/databases/toursdb.jar" Oversized.Zip
!"/media/C/RECYCLER/S-1-5-21-1220945662-688789844-725345543-1004/Dc9.exe" Oversized.Zip
!"/media/C/RECYCLER/S-1-5-21-1220945662-688789844-725345543-1004/Dc15/plugins/org.apache.jasper_5.5.17.v200706111724.jar" Oversized.Zip
!"/media/C/RECYCLER/S-1-5-21-1220945662-688789844-725345543-1004/Dc16/plugins/org.apache.jasper_5.5.17.v200706111724.jar" Oversized.Zip
LibClamAV Warning: RAR code not compiled-in
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP208/A0048319.msi" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP208/A0048320.msi" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP209/A0048714.rbf" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP212/A0048876.msi" Oversized.Zip
!"/media/C/System Volume Information/_restore{FB12039E-13E9-436B-A922-C9D2FB67E1F0}/RP212/A0048877.msi" Oversized.Zip

An sich scheinen einige Funde, sofern es keine Fehlalarme sind, doch bedenklich zu sein - vielleicht könnt ihr dazu auch etwas sagen? Nebenbei, in der 'System Volume Information' auf D: fand sich auch so etwas ähnliches wie ein 'Trojan.gen', ich habe das komplette File gelöscht.

HijackThis ergab folgendes:

Zitat:

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\DeltaIITray.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
D:\Downloads\WinFiles\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: RMClock.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll (file missing)
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 5268 bytes

Firefox: 'Googeln' verweigert - Trojaner installiert??

Log-Analyse und Auswertung: Firefox: 'Googeln' verweigert - Trojaner installiert??

Firefox: 'Googeln' verweigert - Trojaner installiert??

Ähnliche Themen: Firefox: 'Googeln' verweigert - Trojaner installiert??