|
Log-Analyse und Auswertung: Firefox bleibt nicht StandardbrowserWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.04.2010, 23:19 | #1 |
| Firefox bleibt nicht Standardbrowser Nabend, ich fürchte, ich hab mir da was eingefangen. Heute gingen plötzlich einige Fenster im Internet Explorer auf, obwohl ich weder was angeklickt habe noch den IE nutze. Bei jedem Start von Firefox fragt man mich, ob FF der Standardbrowser wäre. Auch wenn ich einen Haken setze, kommt die Frage beim nächsten Mal erneut. Zudem ist das FF-Symbol oben in der Leiste durch ein Symbol wie bei einer .exe ersetzt. HJT gibt folgendes Log aus: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:18:25, on 07.04.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\Logi_MwX.Exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\MICROS~3\wcescomm.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Sphairon\Sphairon USB Wireless LAN Card\WLanUtility.exe C:\Programme\Trillian\trillian.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\system32\wbem\wmiprvse.exe E:\Downloads\HiJackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Squall_F\Anwendungsdaten\sdra64.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: C:\WINDOWS\system32\spw67.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\spw67.dll O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe" O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe O4 - HKCU\..\Run: [hf8wefhuaihf8ewfydiujhfdsfdf] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: UB801RE WLAN Anwendung.lnk = ? O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{25438DF9-3B1C-4D21-A084-9F8D3B171F1B}: NameServer = 192.168.0.1 O22 - SharedTaskScheduler: hasiufhiusdfjdhfudd - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\spw67.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4853 bytes |
07.04.2010, 07:58 | #2 |
| Firefox bleibt nicht Standardbrowser Hi,
__________________Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\spw67.dll C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe
Sehr gefährlich, sollte aber nachher von MAM geschafft werden: Code:
ATTFilter F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Squall_F\Anwendungsdaten\sdra64.exe,C:\WINDOWS\system32\sdra64.exe , Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe Folders to delete: C:\DOKUME~1\Squall_F\LOKALE~1\Temp 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\cmd.exe O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\Vcx.exe O4 - HKCU\..\Run: [hf8wefhuaihf8ewfydiujhfdsfdf] C:\DOKUME~1\Squall_F\LOKALE~1\Temp\nfvhh7243.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O2 - BHO: C:\WINDOWS\system32\spw67.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} - C:\WINDOWS\system32\spw67.dll Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
Themen zu Firefox bleibt nicht Standardbrowser |
.dll, antivir, antivir guard, askbar, avira, bho, cdburnerxp, desktop, einstellungen, excel, explorer, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, logfile, mozilla, outlook express, programme, software, system, temp, usb, userinit.exe, windows, windows xp, wireless lan |