| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Firefox leitet auf exoclick.deWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.11.2009, 19:43
| #1 |
| |  Firefox leitet auf exoclick.de Hallo! Ich bin hier auch ein "neuer" und habe (befürchte ich) das gleiche problem. auch bei mir leitet firefox unheimlich gern auf "exoclick.de" weiter und öffnet einige seiten im netz nicht mehr. ich habe combofix nach o.g. anweisungen durchgeführt, geändert hat sich allerdings noch nichts. hier der combofix-log: ComboFix 09-11-16.01 - Benni 15.11.2009 19:22..2 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1033.18.3549.3170 [GMT 1:00] ausgeführt von:: c:\documents and settings\Benni\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it  wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2009-10-15 bis 2009-11-15 )))))))))))))))))))))))))))))) . 2009-11-15 14:49 . 2009-11-15 14:49 -------- d-----w- c:\documents and settings\All Users\Application Data\ALM 2009-11-15 14:41 . 2009-11-15 14:41 -------- d-----w- c:\program files\Bonjour 2009-11-15 14:35 . 2009-11-15 14:35 -------- d-----w- c:\program files\Common Files\Macrovision Shared 2009-11-15 00:15 . 2009-11-15 18:15 12800 ----a-w- c:\windows\system32\tdlclk.dll 2009-11-07 14:27 . 2009-11-11 16:17 152576 ----a-w- c:\documents and settings\Benni\Application Data\Sun\Java\jre1.6.0_17\lzma.dll 2009-11-01 04:18 . 2009-11-06 18:00 -------- d-----w- c:\documents and settings\Benni\Local Settings\Application Data\Temp 2009-10-27 18:27 . 2009-10-27 18:27 152576 ----a-w- c:\documents and settings\Benni\Application Data\Sun\Java\jre1.6.0_16\lzma.dll 2009-10-27 16:53 . 2009-10-27 16:54 -------- d-----w- c:\documents and settings\Benni\Application Data\Multi File Downloader 2009-10-26 20:58 . 2009-10-26 20:58 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee 2009-10-26 20:41 . 2009-10-26 20:41 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee Security Scan 2009-10-26 20:41 . 2009-10-26 20:41 1925024 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe 2009-10-25 14:44 . 2009-10-25 15:02 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet 2009-10-25 14:24 . 2007-02-20 15:04 190696 ----a-w- c:\windows\system32\NPSWF32_FlashUtil.exe 2009-10-25 14:24 . 2007-02-20 15:04 2463976 ----a-w- c:\windows\system32\NPSWF32.dll 2009-10-19 19:46 . 2009-11-15 13:30 -------- d-----w- C:\FILME . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-15 14:53 . 2009-01-03 21:56 -------- d-----w- c:\program files\Common Files\Adobe 2009-11-15 14:33 . 2008-11-28 19:00 -------- d-----w- c:\program files\The GodFather 2009-11-11 16:17 . 2009-06-03 10:41 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-11-11 15:57 . 2008-11-30 14:46 -------- d-----w- c:\program files\Common Files\DVDVideoSoft 2009-11-07 17:18 . 2009-10-04 17:47 -------- d-----w- c:\documents and settings\Benni\Application Data\Move Networks 2009-11-07 14:28 . 2009-06-03 10:41 -------- d-----w- c:\program files\Java 2009-11-07 12:32 . 2009-07-09 20:05 -------- d-----w- c:\program files\Simplify Media 2009-11-06 15:16 . 2008-12-13 17:26 -------- d-----w- c:\documents and settings\Benni\Application Data\dvdcss 2009-11-01 18:32 . 2009-01-16 16:19 -------- d-----w- c:\documents and settings\Benni\Application Data\uTorrent 2009-10-28 13:24 . 2009-07-05 16:14 -------- d-----w- c:\documents and settings\Benni\Application Data\Winamp 2009-10-27 18:20 . 2008-11-30 16:11 12328 ----a-w- c:\documents and settings\Benni\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-10-26 23:05 . 2009-01-03 21:54 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS 2009-10-18 13:55 . 2008-11-30 16:41 -------- d-----w- c:\program files\TVAnts 2009-09-27 14:59 . 2009-09-27 14:56 5519752 ----a-w- c:\documents and settings\Benni\Application Data\TVU Networks\TVU AutoUpgrade\TVUPlayer2.4.7.2.exe 2009-09-18 15:16 . 2009-08-12 12:13 -------- d-----w- c:\program files\Google 2009-09-18 15:02 . 2009-09-18 14:48 -------- d-----w- c:\documents and settings\Benni\Application Data\Orbit . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-17 150040] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-17 178712] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-17 150040] "HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-05-14 29831168] "AVMWlanClient"="c:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136] "NapsterShell"="c:\program files\Napster\napster.exe" [2008-12-18 323216] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-11 149280] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Mozilla Firefox\\firefox.exe"= "c:\\Program Files\\ICQ6.5\\ICQ.exe"= "c:\\Program Files\\SopCast\\adv\\SopAdver.exe"= "c:\\Program Files\\SopCast\\SopCast.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [12.07.2009 11:10 108289] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.11.2008 20:01 265088] R3 SndTAudio;SndTAudio;c:\windows\system32\drivers\SndTAudio.sys [07.01.2009 17:43 23096] R3 SndTVideo;SndTVideo;c:\windows\system32\drivers\SndTVideo.sys [07.01.2009 17:43 3768] R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [24.11.2008 19:14 238080] S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [12.08.2009 13:13 133104] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [25.11.2008 20:02 4352] S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [07.01.2009 17:43 200704] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MBR *Deregistered* - mbr *Deregistered* - PROCEXP113 . Inhalt des "geplante Tasks" Ordners 2009-11-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-12 12:13] 2009-11-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-12 12:13] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.gmx.de/ uInternet Settings,ProxyOverride = local;*.local FF - ProfilePath - c:\documents and settings\Benni\Application Data\Mozilla\Firefox\Profiles\irysedet.default\ FF - prefs.js: browser.startup.homepage - gmx.de FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll ---- FIREFOX Richtlinien ---- c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-fsm - (no file) Was ist noch zu tun? Oder ist eine komplette Win-Neuinstallation notwendig? Schon jetzt vielen Dank! |
|
16.11.2009, 13:14
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Firefox leitet auf exoclick.de Hallo und
__________________ Combofix sollte erst auf Anweisung hin ausgeführt werden, da es bei falscher Anwendung nachhaltig das System beschädigen kann! Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
|
16.11.2009, 19:56
| #3 |
| | Firefox leitet auf exoclick.de Erstmal herzlichen Dank für die schnellen Antworten und Hilfestellungen!
__________________Habe mich gestern durch einige der älteren posts anderer Mitbefallenen gearbeitet. Da mein rechner genau die gleichen "Symptome" wie mein Vorposter aufwies hab ich mich mit combofix probiert. hat auch alles geklappt. danach habe ich aus der "sys32" alle "java" dateien entfernt. Jetzt funktioniert alles wieder. Keine Weiterleitungen, keine nicht-mehr-ladbaren seiten mehr. Ich hoffe das haut hin so? Vielen Dank - Benni Und sagt bescheid wenn ihr für eine board-party mal ne band benötigt!  |
|
16.11.2009, 20:36
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Firefox leitet auf exoclick.de Was ist mit der Liste, willst Du die nicht abarbeiten? Combofix ist nicht alles!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.11.2009, 20:53
| #5 |
| | Firefox leitet auf exoclick.de Werd ich noch machen. Nur nicht jetzt gerade. Bin froh dieses board gefunden zu haben - hab noch nie so viele schnelle und gezielte antworten gesehen! |
|
| Themen zu Firefox leitet auf exoclick.de |
| atapi.sys, avgnt, avgnt.exe, firefox.exe, gupdate, jusched.exe, richtlinie, suchlauf |
Linear-Darstellung
