Seit einer Woche bin ich auf erfolgloser Jagd nach einer Malware/Trojaner, die mich zur Verzweiflung bringt. Ich hoffe jemand hat außer Format C: einen Rat für mich.

Ich schildere kurz die Symptome.

Am Anfang öffnete Firefox unvermittelt, in zeitlich nicht festlegbaren Abständen Tabs mit mir unbekannten, harmlosen(?) Seiten wie:

h**p://www.titanbet.com/de/
h**p://www.columbia-windows.com/

Ich prüfte ob es ein Fehler bei Firefox war, deaktivierte alle Plugins, startete im Safe Modus, ohne Resultat.

Danach testete ich, ob der Fehler auch beim IE8 auftrat, so war es leider, unabhängig davon welchen Browser ich als Standard-Browser festlegte.

Ich deaktivierte Javascript, installierte Tamperdata um eventuell zu erkennen wie der Aufruf der Tabs vonstatten ging, vielleicht naiv, auf jeden Fall erfolglos.

Die geöffneten Tabs schienen in irgendeinem Zusammenhang mit Google oder der Googlesuche in Firefox zu stehen, denn oft hatten die Adressen in den Tabs als "Anhang" von mir kürzlich zuvor eingegebene Suchbegriffe wie z.B.:
h**p://de.memoletter.com/findx/?id=firefox+opens+randomly+tabs&f=9123&affiliate=85604&sid=23

Nach drei Tagen änderten sich die Adressen, auf die die neu geöffneten Tabs verwiesen. Es wurden leere Seiten geöffnet, die Javascript Code ausführen wollten wie diesen hier:

"<html><head><script type="text/javascript">function f(){var url="h**p://mfeed.in/LZZ4vNuP646JmKC47d69d431d1df036179f843e386198e4217x";try{var x=document.getElementById("_a");x.href=url;x.click()}catch(e){try{var x=document.getElementById("_f");x.action=url;x.submit()}catch(e){}}}</script></head><body onload="f()"><a id="_a"></a><form id="_f" method="get"></form></body></html>

Vor 4 Tagen erhielt ich eine Nachricht von meinem Provider (T-Online), daß von meinem Rechner Schadsoftware verteilt worden sei. Leider enthielt die Nachricht, außer dem Rat Norton 360 zu kaufen keine weiteren Hinweise auf die Art der Schädlinge.

Ich habe als AV-Software (stetig aktualisiert) McAfee Internet Security Suite laufen. Diese Software bemerkte von meinem Problem leider nichts.

Ebenso verhielt es sich mit MBAM, das Programm läuft bei mir schon seit langem ca. 1-2 mal pro Woche (ebenfalls stetig aktualisiert), auch hier keine Erkennung.

Ein Versuch mittels Kaspersky Rescue Disk 10 einen Scan von außen durchzuführen scheiterte, da Kaspersky meine Festplatten im RAID nicht fand.

Einige Male erfolgte, außer dem willkürlichen Aufruf der Tabs mit seltsamem oder auch keinem Inhalt eine Änderung der Links, die Google als Ergebnisseite anzeigt. Auch dies erfolgt nicht immer, zeitlich völlig willkürlich und nicht reproduzierbar.

Ich probierte danach S&D, SuperSpyware, PrevX, Bitdefender OnlineScan u.v.a.m. aus, keiner fand außer dämlichen Tracking-Cookies irgend etwas von Bedeutung.

Schlußendlich rüstete ich den Browser auf und installierte als Addons Browserprotect, Redirect Remover und Antiscript in der Hoffnung etwas als Auslöser zu entdecken, alles wieder ohne Ergebnis.

Meine Suche in diversen Informationsbulletins fand einige ähnlich gelagerte Fälle, aber, falls dort eine Lösung des Übels gefunden wurde, konnte ich sie auf meinem Rechner nicht nachvollziehen.

Mein Rechner läuft, bis auf die geschilderten Probleme mit dem Browser ohne größere Auffälligkeiten. Als Hinweis könnte ich noch angeben,
daß ich vor ca. 2 Monaten zwei oder dreimal einen Bluescreen hatte mit der Ursache Atapi.sys. Rootkit Suche (wie ergoogelt blieb ohne Befund).
Ansonsten gibt es keine seltsamen Verhaltensänderungen oder Fehlfunktionen zu berichten.

Daher wende ich mich an das Trojanerboard. Ich hoffe jemand hat einen Rat. Vielen Dank!

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

Danke für die schnelle Antwort!

OTL-Scan habe ich gemacht. Die Ergebnisdateien habe ich gepackt, da zu groß zum Upload gewesen.

Ich will ungern im Forum Fehler machen, habe ich noch etwas vergessen?

o nein, sorry ich hab dein thread nur überlesen.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Vielen Dank für die schnelle Antwort, ich wollte mich nur vergewissern.

Ich habe ComboFix installiert, alles nach der Anweisung durchgeführt, ComboFix startete, sicherte die Registry, begann den Scan. Die Meldung über die Änderung des Zeitformats kam schon nicht mehr, dafür ein Bluescreen mit den Angaben:

Bad_Pool_Caller
Stop: 0x000000c2
mfehidk.sys Adress B9E077E8

Ich habe es zweimal probiert, jedesmal dasselbe Ergebnis. Was tun?

kannst du es mal im abgesicherten modus versuchen, beim pc start die f8-taste drücken und abges modus auswählen, aber heute is erst mal fußball. bin morgen wieder da

Im abgesicherten Modus hat es geklappt. Ich poste ComboFix.txt als Anhang.

CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da
diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits
verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren
laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren.
Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der
Bereinigung rückgängig machen.

Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.
führe dann noch mal combofix aus, poste das log.

Ich habe die CD-Emulationssoftware der Einfachheit halber deinstalliert und Combofix erneut laufen lassen.

Es hat wieder nur im abgesicherten Modus funktioniert. Beim ersten Lauf brach ComboFix mit der Meldung "Rootkit-Aktivität festgestellt" ab und startete Windows neu, danach Bluescreen, dann (wieder im abgesicherten Modus) lief das Programm durch.

Ich habe die Log-Datei angehängt.

ok dann erstelle und poste mal nen GMER report.
GMER Rootkitscanner - Paules-PC-Forum.de

Gmer habe ich nach Anleitung ausgeführt. Der erste Lauf endete nach ca. 5 Sekunden mit der Anzeige der Mcafee- und Prevx-Komponenten in dem Programmfenster danach hängte sich Gmer (& der Rest des Systems auf). Der zweite Lauf war zuerst erfolgreicher, das System wurde gescannt, nach ca. 2 Stunden kam eine Art Bluescreen, den ich bisher in dieser Form nicht gesehen habe, der nur die Angaben:

Stop: d0000144 Unknown Hard Error
Kontaktieren Sie den Support oder Administrator

ausgab.

Soll ich GMER noch einmal im abgesicherten Modus starten?

versuche mal radix:
Radix Antirootkit - Download - CHIP Online
auf der registerkarte 1-klick-wartung alles aktiviren, alle laufenden programme und antivirus wächter aus + internet. dann scan starten. log bitte hochladen:
File-Upload.net
downloadlink posten.

Klappt leider auch nicht.

Radix bleibt bei dem Punkt "Hidden processes" hängen -habe es lange genug laufen lassen- und läßt sich nur mit dem Taskmanager beenden. Ich habe es zwei mal probiert, an dem Punkt war Feierabend. Ich habe testweise den Punkt deaktiviert, danach kam es beim Punkt "Selftest" zu einem Ausnahmefehler, den Radix selbst angezeigt hat und von einer Weiterarbeit mit sich abriet. Knifflig...

da irgendwas im argen mit dem pc ist, würde ich kurzen prozess vorschlagen, format c: dnn win neu aufspielen, passwörter endern.