Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Browser Hijack - Trojaner?

Browser Hijack - Trojaner?


Plagegeister aller Art und deren Bekämpfung: Browser Hijack - Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 07.03.2011, 22:04   #1
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Hallo,

ich habe mir scheinbar einen Trojaner eingefangen, der einen "Browser-Hijack" verursacht:

Es fing damit an, dass ich von Google nicht auf die gewünschten Links, sondern auf andere Seiten weitergeleitet wurde, z. B. Werbung für Autovermietungen, Sexseiten, etc., ein bestimmtes System war hier nicht zu erkennen.

Dann kam hinzu, dass ich keine Downloads mehr speichern konnte, es wurden nur noch kleine Dateien gespeichert, die sich aber nicht ausführen ließen.

Der Aufruf von Bookmarks funktionierte noch.

IE8 ist mein Standardbrowser, jedoch sind Opera und Firefox gleichermaßen betroffen.

Ich habe dann HijackThis downgeloadet und die dort als gefährlich eingestuften Prozesse gelöscht und die vorgeschlagenen Einstellungen gefixt, allerdings ohne Erfolg.

Danach habe ich die Punkte 1 – 6 von eurer Seite durchgearbeitet. Hierbei gab es folgende Probleme:

Nach Ausführung von Schritt 3 und anschließendem Neustart wurde Malwarebytes als Autostart von Windows Vista geblockt.

Gmer Scan hat auch nach mehrmaligen Versuchen nicht funktioniert, es erschien jeweils die Windows-Meldung (Vista): „…funktioniert nicht mehr, wird geschlossen…“. Von der Meldung, die GMER vor dem eigentlichen Scan erstellt, habe ich die Logdatei beigefügt.

Nach Durchführung von Punkt 6 und anschließendem Neustart lassen sich nun gar keine Internetseiten mehr aufrufen. Ich poste derzeit über einen anderen Rechner, der jedoch über den gleichen Router ins Netz geht.

***EDIT 1***:
Die Seiten lassen sich nun wieder aufrufen, es war hier plötzlich ein Häkchen gesetzt unter "Internetoptionen", "LAN-Einstellungen", "Proxyserver für LAN verwenden". Nachdem ich dieses entfernt habe, kann ich wieder Seiten aufrufen.
***ENDE EDIT 1***

***EDIT 2***
Die Probleme scheinen derzeit auch bei der Google-Weiterleitung behoben, dennoch wäre es schön, wenn sich jemand die Logfiles anschauen könnte, damit ich nicht in allzuferner Zukunft wieder vor dem gleichen Problem stehe, sondern sicher sein kann, dass alle Schädlinge weg sind.
***ENDE EDIT 2***

Vielen Dank schon mal im voraus und schönen Abend noch!

Gruß Thomas
Geändert von thomasN (07.03.2011 um 22:27 Uhr)

Alt 08.03.2011, 11:31   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________
Alt 08.03.2011, 13:10   #3
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Hallo,

Danke für deine Antwort!

Hier die Log-Datei, schaut glaube ich ganz gut aus, oder?

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5988

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

08.03.2011 13:04:58
mbam-log-2011-03-08 (13-04-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 310858
Laufzeit: 1 Stunde(n), 13 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß Thomas
__________________
Alt 08.03.2011, 16:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.03.2011, 14:03   #5
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Hallo,

nein, ich habe nur das o. g. Log, sowie das im ersten Post in der ZIP-Datei angehängte Log, weitere besitze ich nicht.

Gruß Thomas


Alt 09.03.2011, 15:16   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49434
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 49434
FF - prefs.js..network.proxy.type: 1
O4 - HKLM..\Run: []  File not found
2 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{6a4b4965-4596-11dc-b3ee-00188b60c1c6}\Shell\AutoRun\command - "" = L:\InstallTomTomHOME.exe
O33 - MountPoints2\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\Shell - "" = AutoRun
O33 - MountPoints2\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\Shell\AutoRun\command - "" = M:\LaunchU3.exe -a
[2011.03.07 08:46:21 | 000,024,069 | ---- | C] () -- C:\Users\***\AppData\Roaming\1FB6.B1E
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
--> Browser Hijack - Trojaner?

Alt 09.03.2011, 18:10   #7
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Hallo,

hier das Logfile:

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 49434 removed from network.proxy.http_port
Prefs.js: 1 removed from network.proxy.type
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a4b4965-4596-11dc-b3ee-00188b60c1c6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6a4b4965-4596-11dc-b3ee-00188b60c1c6}\ not found.
File L:\InstallTomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ad17ffe-f2e0-11dd-a3a4-d08af8a8ff8c}\ not found.
File M:\LaunchU3.exe -a not found.
C:\Users\***\AppData\Roaming\1FB6.B1E moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 15026518 bytes
->Temporary Internet Files folder emptied: 157868 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 83 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56585 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: ***
->Temp folder emptied: 267222 bytes
->Temporary Internet Files folder emptied: 47079043 bytes
->Java cache emptied: 75333359 bytes
->FireFox cache emptied: 28055518 bytes
->Flash cache emptied: 58763 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1176 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 158,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03092011_180502

Files\Folders moved on Reboot...
C:\Windows\temp\JET8C95.tmp moved successfully.

Registry entries deleted on Reboot...

Alt 10.03.2011, 11:24   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.03.2011, 14:43   #9
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Hallo,

hätte da noch eine Zwischenfrage bzgl. der Nutzung von ComboFix:

Zitat:
Schließe oder deaktviere alle laufenden Anti-Virus-, Anti-Spyware und Firewall-Programme, da diese eventuell eine vernünftige Ausführung von ComboFix behindern.
Stellt dies nicht ein enormes Sicherheitsrisiko dar, da ich ja zur Installation der Wiederherstellungskonsole eine Internetverbindung brauche? Der Rechner wäre somit ja dann komplett ungeschützt online?!

Vielen Dank.

Gruß Thomas

Alt 10.03.2011, 17:20   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Nein ist kein Sicherheitsrisiko. Die Werbung trichtert dir das ein, aber das ist Unsinn. Durch Magie fliegen keine Schädlinge auf den Scanner und wenn man genügend viele Dinge falsch macht, kann man sich problemlos auch mit Virenscanner die Pest in sein Windows holen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.03.2011, 18:07   #11
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Ok, Danke!

Also, hier das Logfile:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-03-09.05 - *** 10.03.2011  17:45:23.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1170 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\confi.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\***\AppData\Roaming\inst.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Boonty Games
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-10 bis 2011-03-10  ))))))))))))))))))))))))))))))
.
.
2011-03-09 17:05 . 2011-03-09 17:05	--------	d-----w-	C:\_OTL
2011-03-09 13:08 . 2010-12-29 18:28	429056	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 13:08 . 2010-12-29 18:28	322560	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 13:08 . 2010-12-29 18:28	153088	----a-w-	c:\windows\system32\sbeio.dll
2011-03-09 13:08 . 2010-12-29 18:26	177664	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 13:08 . 2010-12-17 15:45	2067968	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 13:08 . 2010-12-17 13:54	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-03-08 10:57 . 2011-02-11 06:54	5943120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B6F5ADE0-1F03-49B4-827C-0DD103F0684E}\mpengine.dll
2011-03-07 19:02 . 2011-03-07 19:03	--------	d-----w-	c:\program files\ERUNT
2011-03-07 18:47 . 2011-03-07 18:47	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2011-03-07 18:47 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-07 18:47 . 2011-03-07 18:47	--------	d-----w-	c:\programdata\Malwarebytes
2011-03-07 18:47 . 2011-03-07 18:47	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-07 18:47 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-07 18:02 . 2011-03-07 18:02	388096	----a-r-	c:\users\***\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-03-07 14:30 . 2011-03-07 14:30	--------	d-----w-	c:\users\Administrator\AppData\Roaming\Avira
2011-03-07 14:24 . 2011-03-07 14:26	--------	d-----w-	c:\users\Administrator\AppData\Roaming\HTC
2011-03-07 14:18 . 2011-03-07 17:38	--------	dc----w-	c:\windows\system32\DRVSTORE
2011-03-07 14:18 . 2011-03-07 14:18	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-03-07 14:14 . 2011-03-07 14:14	--------	d-----w-	c:\users\***\AppData\Local\Sunbelt Software
2011-03-07 14:13 . 2011-03-07 14:14	--------	d-----w-	c:\programdata\Lavasoft
2011-03-07 13:55 . 2011-03-07 13:55	--------	d-----w-	c:\program files\Trend Micro
2011-03-07 13:27 . 2011-03-07 13:27	--------	d-----w-	c:\users\***\AppData\Roaming\Avira
2011-03-05 11:36 . 2011-03-05 11:52	--------	d-----w-	c:\users\***\AppData\Roaming\dvdcss
2011-03-05 11:36 . 2011-03-05 11:41	--------	d-----w-	c:\users\***\AppData\Roaming\vlc
2011-03-05 11:36 . 2011-03-05 11:36	--------	d-----w-	c:\program files\VideoLAN
2011-02-09 11:32 . 2010-12-31 13:57	2039808	----a-w-	c:\windows\system32\win32k.sys
2011-02-09 11:31 . 2011-01-08 08:47	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-02-09 11:31 . 2011-01-08 06:28	292352	----a-w-	c:\windows\system32\atmfd.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 20:40 . 2010-04-24 14:21	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 16:11 . 2009-10-02 19:15	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-12-28 15:55 . 2011-01-11 19:28	413696	----a-w-	c:\windows\system32\odbc32.dll
2010-12-20 17:43 . 2009-08-13 19:02	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-14 14:49 . 2011-01-11 19:28	1169408	----a-w-	c:\windows\system32\sdclt.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-21 68856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-04-01 240640]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"SigmatelSysTrayApp"="sttray.exe" [2007-02-08 303104]
"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-10-28 294912]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08	963976	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-01 133104]
R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-06-09 24576]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [x]
R3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
R3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-03 135336]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
S3 AVMNgBasM779;AVerMedia M779 Base Driver;c:\windows\system32\DRIVERS\AVerBas.sys [2006-12-01 49152]
S3 AVMNgCapM779;AVerMedia M779 Audio/Video Capture Driver;c:\windows\system32\DRIVERS\AVerCap.sys [2006-12-01 219520]
S3 AVMNgTunM779;AVerMedia M779 TVTuner Driver;c:\windows\system32\DRIVERS\AVerTun.sys [2006-12-01 147456]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-01 20:15]
.
2011-03-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-01 20:15]
.
2011-03-10 c:\windows\Tasks\User_Feed_Synchronization-{48F006BC-BA22-4B20-9CE8-5C5A1AE75F1A}.job
- c:\windows\system32\msfeedssync.exe [2011-02-09 04:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://alice.aol.de
IE: Free YouTube to MP3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\b89m5wby.default\
FF - prefs.js: browser.startup.homepage - hxxps://millionenklick.web.de/spielen?sid=___MILLIONENKLICK_NICHT_ANGEMELDET____
FF - prefs.js: network.proxy.http - 
FF - prefs.js: network.proxy.http_port - 
FF - prefs.js: network.proxy.type - 
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-03-10 17:57
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-4195755184-3459988518-3671941960-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1C5946FC-E053-085A-6B00-27BDA9C4B0E0}*]
"hankdhkifeidmhfn"=hex:6a,61,69,68,66,68,6f,62,68,64,6f,6d,67,6b,68,70,6d,6f,
   69,6f,00,9d
"iahcnflckbiblbcngj"=hex:6a,61,69,68,66,68,6f,62,68,64,6f,6d,67,6b,68,70,6d,6f,
   69,6f,00,03
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\windows\system32\conime.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\windows\sttray.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-10  18:03:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-10 17:03
.
Vor Suchlauf: 15 Verzeichnis(se), 159.037.448.192 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 158.680.289.280 Bytes frei
.
- - End Of File - - B1914000CE551B137BDF0BD12E9C5C11
--- --- ---
Alt 10.03.2011, 18:20   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Regnull::
[HKEY_USERS\S-1-5-21-4195755184-3459988518-3671941960-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1C5946FC-E053-085A-6B00-27BDA9C4B0E0}*]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.03.2011, 18:37   #13
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Huhu,

hier das neue log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-03-09.05 - *** 10.03.2011  18:29:00.2.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1219 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\confi.exe
Benutzte Befehlsschalter :: c:\users\***\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-10 bis 2011-03-10  ))))))))))))))))))))))))))))))
.
.
2011-03-10 17:33 . 2011-03-10 17:33	--------	d-----w-	c:\users\***\AppData\Local\temp
2011-03-10 17:33 . 2011-03-10 17:33	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-03-10 17:33 . 2011-03-10 17:33	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2011-03-09 17:05 . 2011-03-09 17:05	--------	d-----w-	C:\_OTL
2011-03-09 13:08 . 2010-12-29 18:28	429056	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 13:08 . 2010-12-29 18:28	322560	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 13:08 . 2010-12-29 18:28	153088	----a-w-	c:\windows\system32\sbeio.dll
2011-03-09 13:08 . 2010-12-29 18:26	177664	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 13:08 . 2010-12-17 15:45	2067968	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 13:08 . 2010-12-17 13:54	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-03-08 10:57 . 2011-02-11 06:54	5943120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B6F5ADE0-1F03-49B4-827C-0DD103F0684E}\mpengine.dll
2011-03-07 19:02 . 2011-03-07 19:03	--------	d-----w-	c:\program files\ERUNT
2011-03-07 18:47 . 2011-03-07 18:47	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2011-03-07 18:47 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-07 18:47 . 2011-03-07 18:47	--------	d-----w-	c:\programdata\Malwarebytes
2011-03-07 18:47 . 2011-03-07 18:47	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-07 18:47 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-07 18:02 . 2011-03-07 18:02	388096	----a-r-	c:\users\***\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-03-07 14:30 . 2011-03-07 14:30	--------	d-----w-	c:\users\Administrator\AppData\Roaming\Avira
2011-03-07 14:24 . 2011-03-07 14:26	--------	d-----w-	c:\users\Administrator\AppData\Roaming\HTC
2011-03-07 14:18 . 2011-03-07 17:38	--------	dc----w-	c:\windows\system32\DRVSTORE
2011-03-07 14:18 . 2011-03-07 14:18	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-03-07 14:14 . 2011-03-07 14:14	--------	d-----w-	c:\users\***\AppData\Local\Sunbelt Software
2011-03-07 14:13 . 2011-03-07 14:14	--------	d-----w-	c:\programdata\Lavasoft
2011-03-07 13:55 . 2011-03-07 13:55	--------	d-----w-	c:\program files\Trend Micro
2011-03-07 13:27 . 2011-03-07 13:27	--------	d-----w-	c:\users\***\AppData\Roaming\Avira
2011-03-05 11:36 . 2011-03-05 11:52	--------	d-----w-	c:\users\***\AppData\Roaming\dvdcss
2011-03-05 11:36 . 2011-03-05 11:41	--------	d-----w-	c:\users\***\AppData\Roaming\vlc
2011-03-05 11:36 . 2011-03-05 11:36	--------	d-----w-	c:\program files\VideoLAN
2011-02-09 11:32 . 2010-12-31 13:57	2039808	----a-w-	c:\windows\system32\win32k.sys
2011-02-09 11:31 . 2011-01-08 08:47	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-02-09 11:31 . 2011-01-08 06:28	292352	----a-w-	c:\windows\system32\atmfd.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 20:40 . 2010-04-24 14:21	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 16:11 . 2009-10-02 19:15	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-12-28 15:55 . 2011-01-11 19:28	413696	----a-w-	c:\windows\system32\odbc32.dll
2010-12-20 17:43 . 2009-08-13 19:02	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-14 14:49 . 2011-01-11 19:28	1169408	----a-w-	c:\windows\system32\sdclt.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-21 68856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-04-01 240640]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"SigmatelSysTrayApp"="sttray.exe" [2007-02-08 303104]
"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-10-28 294912]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08	963976	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-01 133104]
R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-06-09 24576]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [x]
R3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
R3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-03 135336]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
S3 AVMNgBasM779;AVerMedia M779 Base Driver;c:\windows\system32\DRIVERS\AVerBas.sys [2006-12-01 49152]
S3 AVMNgCapM779;AVerMedia M779 Audio/Video Capture Driver;c:\windows\system32\DRIVERS\AVerCap.sys [2006-12-01 219520]
S3 AVMNgTunM779;AVerMedia M779 TVTuner Driver;c:\windows\system32\DRIVERS\AVerTun.sys [2006-12-01 147456]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-01 20:15]
.
2011-03-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-01 20:15]
.
2011-03-10 c:\windows\Tasks\User_Feed_Synchronization-{48F006BC-BA22-4B20-9CE8-5C5A1AE75F1A}.job
- c:\windows\system32\msfeedssync.exe [2011-02-09 04:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://alice.aol.de
IE: Free YouTube to MP3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\b89m5wby.default\
FF - prefs.js: browser.startup.homepage - hxxps://millionenklick.web.de/spielen?sid=___MILLIONENKLICK_NICHT_ANGEMELDET____
FF - prefs.js: network.proxy.http - 
FF - prefs.js: network.proxy.http_port - 
FF - prefs.js: network.proxy.type - 
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-10 18:33
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2011-03-10  18:35:43
ComboFix-quarantined-files.txt  2011-03-10 17:35
ComboFix2.txt  2011-03-10 17:03
.
Vor Suchlauf: 19 Verzeichnis(se), 158.659.465.216 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 158.630.797.312 Bytes frei
.
- - End Of File - - 523899A06CC624792422520AB0C57DE6
--- --- ---
Alt 10.03.2011, 18:40   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.03.2011, 19:07   #15
thomasN
 
Browser Hijack - Trojaner? - Standard

Browser Hijack - Trojaner?


Hallo,

GMER ist, wie erwartet, mehrfach abgestürzt, das hatte auch schon beim ersten mal damals bei mir nicht funktioniert.

Zitat:
Downloade dir die portable Version von hier: hxxp://www2.online-solutions.ru/en/d...e.php?p=131115
Der Link ist IMHO defekt / nicht verfügbar, gibt es noch eine alternative Downloadquelle?

Gruß Thomas

EDIT: Jetzt funzt der Link!

Antwort
Seite 1 von 3 1 23

Themen zu Browser Hijack - Trojaner?
aufrufe, autostart, browser, dateien, einstellungen, firefox, funktioniert nicht mehr, gefährlich, gelöscht, google, hijack, hijackthis, internetseite, keine downloads, malwarebytes, neustart, opera, prozesse, router, scan, seite, seiten, system, thomas, trojaner, trojaner eingefangen, trojaner?, vista, werbung, windows


« Trojaner TR/Dropper.Gen | TR/Fakewarn.d.5 - Windows Lizenz blockiert »


Ähnliche Themen: Browser Hijack - Trojaner?


  1. Windows 7 - Browser Hijack
    Log-Analyse und Auswertung - 25.08.2015 (13)
  2. Hijack Browser Proxy
    Log-Analyse und Auswertung - 02.02.2015 (13)
  3. Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 10.12.2014 (46)
  4. VLC.de Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 12.10.2014 (3)
  5. Browser Hijack?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (9)
  6. Browser hijack blueseek
    Plagegeister aller Art und deren Bekämpfung - 27.12.2013 (4)
  7. u-search browser hijack
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (3)
  8. Browser Hijack, Windows 7
    Log-Analyse und Auswertung - 05.10.2012 (37)
  9. 10 TAN eingeben und IE7 Browser-Hijack
    Log-Analyse und Auswertung - 26.04.2010 (31)
  10. Browser Hijack?
    Log-Analyse und Auswertung - 18.01.2010 (1)
  11. Trojaner Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 10.05.2009 (3)
  12. Google-Browser-Hijack
    Log-Analyse und Auswertung - 18.02.2009 (1)
  13. browser hijack, mehrere trojaner
    Log-Analyse und Auswertung - 21.02.2006 (2)
  14. Browser Hijack
    Log-Analyse und Auswertung - 07.01.2005 (2)
  15. warscheinlich browser hijack
    Log-Analyse und Auswertung - 24.09.2004 (4)
  16. Hartnäckiger Browser Hijack
    Log-Analyse und Auswertung - 12.09.2004 (10)
  17. Possible Browser Hijack attemp
    Plagegeister aller Art und deren Bekämpfung - 17.05.2004 (18)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Browser Hijack - Trojaner? - Hallo, ich habe mir scheinbar einen Trojaner eingefangen, der einen "Browser-Hijack" verursacht: Es fing damit an, dass ich von Google nicht auf die gewünschten Links, sondern auf andere Seiten weitergeleitet - Browser Hijack - Trojaner?...
Archiv
Du betrachtest: Browser Hijack - Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131