Hallo zusammen,

ich denke, dieses Problem hatten in den letzten Tagen mehrere Leute. Ich wurde vom browser-forum hierher verwiesen.

Alles fing mit der o. g. Fehlermeldung an, als ich Firefox erneut starten wollte, weil ich keine Internetadresse mehr eingeben konnte (nur noch rückwärts). Es war als hätte sich alles aufgehängt. Im o. g. Forum hatten schon mehrere Leute dasselbe Problem. Ich befolgte die Anweisungen, die schon gegeben wurden. Malware scannen und die Funde löschen. Das habe ich getan. Ich hatte 2 Funde.

Danach konnte ich FF immer noch nicht starten. Es blinkte nur ein Fenster einmal schwarz auf.

Ich frage mich jetzt, was ich weiter tun kann. Ich FF zunächst deinstalliert.
Sind dies nun Trojaner? Greifen sie auch auf Passwörter zu, die nicht gespeichert wurden, nur allein weil sie mal eingegeben wurden? Bin ich überhaupt gesichert, wenn ich jetzt über den Internet Explorer ins Internet gehe?

Ein weitere Scan, den ich heute durchgeführt habe, ergab keine Funde mehr. Dennoch habe ich das Gefühl, dass ungewöhnlich viele Bytes hoch- und runtergeladen werden. Dabei bin ich heute nur in diesem Forum zum Lesen.

Ich nehme an, ich muß noch weitere Scans laufen lassen?

Viele Grüße
Josina


Dies ist der Fundbericht von Malware von gestern abend.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3

21.09.2009 20:15:04
mbam-log-2009-09-21 (20-15-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 86994
Laufzeit: 5 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Steff\Anwendungsdaten\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> Delete on reboot.

Hallo und

Zitat:

Ich frage mich jetzt, was ich weiter tun kann.

Lösche den Ordner c:\programme\mozilla firefox und installiere anschließend den Firefox neu oder weiche auf eine Alternative wie Opera aus.

Zitat:

Sind dies nun Trojaner?

Ja, wenn man allerdings der Bezeichnung von Malwarebytes glaubt, dann waren sie nicht so wirklich gefährlich, sondern sollten dich nur dazu verleiten, Geld für ein nutzloses Programm auszugeben. Allerdings werden diese Art von Programmen gerne von Rootkits nachgeladen. Deshalb gibt es noch keine Entwarnung.

Zitat:

Bin ich überhaupt gesichert, wenn ich jetzt über den Internet Explorer ins Internet gehe?

Solange du nur auf dir bekannten Seiten surfst, dann ja. Der MSIE ist in der aktuellen Version auch deutlich sicherer, als z.B. die Version 6.

Zitat:

Ich nehme an, ich muß noch weitere Scans laufen lassen?

1.) Poste beide Logs von RSIT.

2.) Poste das Log von GMER.

ciao, andreas

Hallo, vielen Dank für die Rüclmeldung. Ich mußte gestern leider weg, deshalb ist da nichts mehr passiert. Aber jetzt kann ich weitermachen und werde auch durchgängig anwesend sein, solange meine Verbindung mitspielt. FF habe ich noch nicht neu installiert.

Anbei die log-files.

Viele Grüße Josina

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-23 14:53:48
Windows 5.1.2600 Service Pack 3
Running: u12260ql.exe; Driver: C:\DOKUME~1\*****\LOKALE~1\Temp\kxtdypob.sys


---- System - GMER 1.0.15 ----

SSDT F7C53966 ZwCreateKey
SSDT F7C5395C ZwCreateThread
SSDT F7C5396B ZwDeleteKey
SSDT F7C53975 ZwDeleteValueKey
SSDT F7C5397A ZwLoadKey
SSDT F7C53948 ZwOpenProcess
SSDT F7C5394D ZwOpenThread
SSDT F7C53984 ZwReplaceKey
SSDT F7C5397F ZwRestoreKey
SSDT F7C53970 ZwSetValueKey
SSDT F7C53957 ZwTerminateProcess

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\intelppm.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\CmBatt.sys[NTOSKRNL.EXE!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\kbdclass.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\mouclass.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\audstub.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndistapi.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\msgpc.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\termdd.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\swenum.sys[NTOSKRNL.EXE!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ks.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\update.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\mssmbios.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\usbhub.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\drivers\portcls.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Fs_Rec.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Null.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Beep.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Msfs.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Npfs.SYS[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\rasacd.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ipsec.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F789B63E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F789BFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F789BFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)

---- EOF - GMER 1.0.15 ----

und hier die RSIT log-files

Das HJT-Log fehlt, dass normalerweise automatisch von RSIT erzeugt wird. Bitte versuche manuell HJT runterzuladen und das Log zu posten => http://www.trojaner-board.de/51130-a...ijackthis.html

Lade die Datei

Zitat:

C:\WINDOWS\system32\MEMIO.SYS

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2). Die Datei ist nicht sichtbar (Rootkit)! Markiere die Zeile in der Box, kopiere sie und füge sie im Uploadchannel ein.

ciao, andreas

Dann hoffe ich mal, dass ich das hinkriege. Josina

hier ist das log file von HJT und jetzt lade ich noch die angeforderte Datei hoch

Hallo Andreas,

die Datei habe ich jetzt hochgeladen. Aber mir macht noch etwas anderes Sorgen. Ich wollte eigentlich einen Screenshot schicken, der ist aber zu groß. Je länger ich draufschaue, desto mehr denke ich, es handelt sich um Windows Updates, die noch nicht installiert sind.

Hier ist mal nur ein Beispiel, weil ich nicht weiß, wie ich das sonst machen sollte.

C/Windows/$NTUninstallKB898461$

Darüber muß ich mir keine Gedanken machen, wenn ich die Updates installiere, richtig?

FF kann ich doch auch schon wieder aufspielen oder lieber noch warten?

Viele Grüße Josina

Zitat:

die Datei habe ich jetzt hochgeladen.

Die ist zum Glück sauber. Es gibt einen Schädling mit dem gleichen Namen.

Zitat:

Ich wollte eigentlich einen Screenshot schicken, der ist aber zu groß.

Du kannst ihn bei einem Imagehoster hochladen (z.B. saved.im) und hier den Link posten.

Zitat:

C/Windows/$NTUninstallKB898461$
Darüber muß ich mir keine Gedanken machen, wenn ich die Updates installiere, richtig?

Dort werden die alten Dateien gespeichert, die sonst von den Windowsupdates überschrieben würden. Die dienen ausschließlich dazu, die Updates wieder deinstallieren zu können, um den alten Zustand wiederherzustellen. Falls du Platz sparen möchtest, kannst du alle diese Ordner gefahrlos löschen.

Zitat:

FF kann ich doch auch schon wieder aufspielen oder lieber noch warten?

Anzeichen für Schädlinge habe ich nicht gesehen, nur deine Softwareliste müssen wir aufräumen. Du hast da einige veraltete Programmversionen. Firefox kannst du installieren und testen, ob es jetzt funktioniert.

ciao, andreas

Ich glaube, da brauche ich dann keinen Screenshot mehr hochladen.

Die veraltete Software ist aber komisch. Ich habe meinen Laptop erst seit Mai. Was genau ist denn veraltet? Und wie kann das kommen?

Tut mir leid für die Fragen. Ich mußte mich bis vor kurzem um solche Dinge nicht kümmern und so ist bei mir irgendwann eine Wissenslücke entstanden, die immer größer wurde.

Du hast da Software installiert, wie z.B. Ad-Aware, das schlicht nichts taugt und nur deinen Rechner ausbremst. Dann ist da eine uralte Javaversion, die sicherheitskritisch ist und über die sich schon mehrfach Schädlinge verbreitet haben.

1.) Deinstalliere:

• Ad-Aware
• Adobe Reader 8.1.2
• J2SE Runtime Environment 5.0
• Spybot - Search & Destroy

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Adobe Reader oder besser FoxIt Reader
• Java-Downloads für alle Betriebssysteme - Sun Microsystems
• Downloaddetails: Windows Internet Explorer 8 für Windows XP

3.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

Alle O2, O8 und O9-Einträge
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
         

=> Fix checked

ciao, andreas

Dann mach ich mich mal an die Arbeit. Bis morgen dann.

Josina.

OK.

ciao, andreas

Hallo,

den ersten Schritt habe ich erledigt. Die Programme sind deinstalliert. Nun muß ich nochmal einen 2. Anlauf für den 2. Punkt nehmen. Es hat sich irgendwas aufgehängt. D. h. das mach ich jetzt mal solange ich weg bin.

Allerdings hat mir Avira heute zum ersten Mal seit ich den Laptop habe, mitgeteilt, dass ich 3 Viren habe. Ich habe es dann reparieren lassen. Aber anbei trotzdem die log-Datei, ob sich was eingeschlichen hat.

FF habe ich inzwischen installiert - Version 3.5.

Dann bis später. Josina

So, jetzt ist fast alles erledigt. Den Internetexplorer konnte ich nicht herunterladen. Da gab es immer eine Fehlermeldung.

Geht es jetzt noch weiter?

Josina