Zitat:

Erwischt. Immer noch Umleitungen?

Sehr gut!!! Aber Umleitungen sind leider immernoch da.
Helfen die URL's weiter, die im Browser bei der Umleitung angezeigt werden weiter? Das ist oft "v1.adwarefeed.c*m" und "clickfraumanager.c*m".

Zitat:

Eieiei.

Ja, da könnte vor langer Zeit mal was gewesen sein.
Was mach ich jetzt damit? Löschen, nix, oder...?

Und hier jetzt die Scans:
Mbam

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1736
Windows 5.1.2600 Service Pack 3

07.02.2009 21:39:49
mbam-log-2009-02-07 (21-39-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 160918
Laufzeit: 1 hour(s), 26 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

SAS

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 02/07/2009 bei 11:14 PM

Version der Applikation : 4.25.1012

Version der Kern-Datenbank : 3746
Version der Spur-Datenbank : 1714

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:26:21

Gescannte Speicherelemente  : 450
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 6334
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 115126
Erfasste Datei-Elemente   : 0
         

HJT

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:59:10, on 07.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
C:\Programme\Hotkey Management\FuncKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\marc01\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Logitech SetPoint.lnk.disabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233417182937
O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6708 bytes
         

Sieht schlecht aus, oder?

ciao Marc

Lade dir testweise Opera Web Browser herunter und teste, ob es Umleitungen gibt.

ciao, andreas

Also im Internet Explorer und im Opera gibt es keine Umleitungen!
Liegt das dann am Firefox, ist der eventuell infiziert?

ciao Marc

Jo.

1.) Sichere deine Einstellungen MozBackup - Backup-Tool für Firefox und Thunderbird
2.) Deinstalliere Firefox.
3.) Lösche alle Reste (sry, ich benutze Opera)
4.) Lade dir den Regseeker

• Klick auf Clean the registry
• Klick auf OK
• Warte bis er fertig gesucht hat
• Klick auf Select => markiere nur die Grünen
• Klick auf Action => Delete

Wiederhole die Aktion, bis nichts (Grünes) mehr gefunden wird.
5.) Wiederhole das gleiche mit dem CCleaner.
6.) Installiere Firefox
7.) Spiel deine Einstellungen zurück und berichte.

ciao, andreas

So, Punkt 1-3 abgearbeitet!
-->Ist Opera denn besser, bzw. sicherer?

zu Punkt 4, es kommen immer wieder die selben 2 grünen Einträge!?!?



CCleaner auch ausgeführt!

Soll ich jetzt wieder Firefox draufspielen? Wegen den 2 Einträgen?

ciao Marc

Zitat:

Zitat von fresh569

-->Ist Opera denn besser, bzw. sicherer?

Ja. Es gibt Schädlinge die gezielt Firefox befallen. Für Opera ist mir nichts derartiges bekannt. Nutze immer Software, die nicht viele benutzen. Wenn du z.B. Linux nutzt, bist du so gut wie sicher.

Zitat:

zu Punkt 4, es kommen immer wieder die selben 2 grünen Einträge!?!?

Weitermachen. Einige Einträge werden vom BS immer wieder hergestellt, auch wenn sie nutzlos sind. Kann man nichts machen.

Zitat:

Soll ich jetzt wieder Firefox draufspielen?

Jo, wenn es dir gefällt.

ciao, andreas

So, Firefox wieder installiert, Einstellungen draufgespielt, Umleitungen sind weg!:aplaus:

Heißt das jetzt, dass ich wieder sauber bin und ohne die normalen Bedenken
Online Banking wieder tätigen kann?

Ist Linux auch als zweites BS zu empfehlen, oder nur als einziges?
Kann man sich mit Linux auch Windowsviren einfangen die dann beim nächsten start von Windows aktiv werden?

ciao Marc

Zitat:

Zitat von fresh569

So, Firefox wieder installiert, Einstellungen draufgespielt, Umleitungen sind weg!:aplaus:

Heißt das jetzt, dass ich wieder sauber bin und ohne die normalen Bedenken
Online Banking wieder tätigen kann?

Vertrauen kannst du dem Rechner nicht mehr. Backdoor ist Backdoor und du hattest gleich 2. Neuaufsetzen ist angesagt. Das war von Anfang an nur eine zeitweise Reparatur. Lies noch einmal den ganzen Thread durch.

Zitat:

Ist Linux auch als zweites BS zu empfehlen, oder nur als einziges?

Auf meinem Rechner laufen 5 BS. Linux ist völlig problemlos.

Zitat:

Kann man sich mit Linux auch Windowsviren einfangen die dann beim nächsten start von Windows aktiv werden?

Bei Linux gibt es (so gut wie) keine Viren. Da ohne Emulator keine Windowsprogramme laufen, sind die Windowsviren wirkungslos.

ciao, andreas

Zitat:

Vertrauen kannst du dem Rechner nicht mehr. Backdoor ist Backdoor und du hattest gleich 2. Neuaufsetzen ist angesagt. Das war von Anfang an nur eine zeitweise Reparatur. Lies noch einmal den ganzen Thread durch.

Ja, das ist mir klar dass das alles nur zeitweise gedacht war! Hatte nur gehofft wieder Online-Banking machen zu können. Aber OK.

Zitat:

Vertrauen kannst du dem Rechner nicht mehr. Backdoor ist Backdoor und du hattest gleich 2. Neuaufsetzen ist angesagt. Das war von Anfang an nur eine zeitweise Reparatur. Lies noch einmal den ganzen Thread durch.

Aber sonst ist er doch wieder sauber?
OK, dann werde ich demnächst alles neu aufsetzen mit Linux und Windows

Wie ist das dann mit den alten Daten, wie geh ich sicher, dass die noch OK sind? Und wie kann ich eine Externe Festplatte überprüfen?

Hast du mir noch ein paar Anleitungen zu dem Thema und zur Datensicherung?

Zitat:

Aber sonst ist er doch wieder sauber?

Mh, das kann ich dir nicht wirklich sagen. Schau selbst: Homepage von Malte J. Wetz

Zitat:

OK, dann werde ich demnächst alles neu aufsetzen mit Linux und Windows

:aplaus:

Zitat:

Wie ist das dann mit den alten Daten, wie geh ich sicher, dass die noch OK sind? Und wie kann ich eine Externe Festplatte überprüfen?

Als sicher gelten alle Daten, die nicht ausführbar sind. Das Risiko kannst du minimieren, wenn du die Daten mit mehreren aktuellen Scannern testest.

Zitat:

Hast du mir noch ein paar Anleitungen zu dem Thema und zur Datensicherung?

Da schau doch mal hier vorbei: Anleitungen, FAQs & Links - Trojaner-Board
Dort findest du alles. Thema Datensicherung ist mehrfach zu finden.

ciao, andreas

Hallo nochmal,

ich habe jetzt soweit alle Daten gesichert.
Aber ich habe leider keine Recovery CD.

Was kann ich denn da jetzt machen?
Ein Image von meinem System kommt wohl nicht in Frage!
Kann man sich so eine Recovery CD irgendwo Downloaden? Bei Microsoft oder so?

Weil einen Product-Key habe ich ja auf dem Rechner kleben!

Hoffe du kannst mir noch behilflich sein!

ciao Marc

Zitat:

Hoffe du kannst mir noch behilflich sein!

Jein, aber der Support von Microsoft kann ganz sicher helfen. Dafür sind die Jungs und Mädels da.

Microsoft Hilfe und Support

ciao, andreas