| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Statt Chrome oder Opera startet der IEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.03.2011, 16:43
| #1 |
 |  Statt Chrome oder Opera startet der IE Hallo zusammen, ich habe folgendes Problem und hab bisher im Netz leider noch keine weiterhelfende Erklärung hierzu gefunden: Wenn ich opera oder chrome starte, öffnet sich der Internet Explorer 6. Hierbei ist es egal, ob ich die Browser über die Verknüpfung starte oder direkt die .exe im jeweiligen Ordner. Seltsam ist auch, dass der IE6 öffnet, wobei ich im Zuge der Problemfindung, diesen deinstalliert und den IE8 installiert habe. (Den IE habe ich nie verwendet, daher war/ist er noch in der 6er Version). Viele die dieses Problem (z.B. hxxp://hannes-schurig.de/24/08/2009/statt-beliebiger-browser-startet-immer-der-ie-mit-seltsamen-pfad/) ebenfalls haben, berichten davon, dass der IE mit folgender Adresse öffnet: z.B. hxxp://%22c/Programme/Opera/opera.exe Das ist bei mir nicht der Fall. Ebenfalls finde ich in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options keine Einträge zu opera.exe oder chrome.exe. Häufiger habe ich gelesen, dass der Schlüssel userinit.exe auf einen Schädling hinweisen kann - bei mir hat der Debugger den Wert "C:\WINDOWS\system32\winp.exe" Standardbrowser ist eigentlich Firefox, dennoch sind lokale HTML-Dateien auf meinem Rechner nun Chrome zugeordnet. Neu-Installation der beiden Browser führte zu nichts. Scan mit Antivir, MalwareBytes und Spybot waren erfolgreich, siehe Logs. Die eben angesprochene userinit.exe ist auch dabei, taucht bei jedem MalwareBytes-Scan aber wieder auf. Zeitgleich kam auch das Problem auf, dass teilweise Videos nicht angezeigt werden. Auf manchen Seiten werden Videos normal angezeigt, auf Youtube dagegen ist die Video-Fläche schwarz und Werbung und Schaltflächen haben eine absolut reduzierte Auflösung. Ton wird widergegeben. Hat jemand eine Idee wobei es sich hierbei handelt bzw. wie ich die Probleme beheben kann? Und woher sowas überhaupt stammen kann? Antivir ist immer auf dem neusten Stand, Browser und Flash ebenfalls, TeaTimer läuft. Viele Grüße, coldfield Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5988
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
08.03.2011 13:00:17
mbam-log-2011-03-08 (13-00-17).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155356
Laufzeit: 4 Minute(n), 20 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and
deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined
and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 8. März 2011 12:58
Es wird nach 2471649 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PC-01
Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 10:10:52
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.09.2010 17:55:19
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 10:10:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:33:30
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:56:48
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 12:56:48
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 12:56:48
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 12:56:48
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 12:56:48
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 12:56:48
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 12:56:48
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 12:56:50
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 12:56:51
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 12:56:52
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 12:56:52
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 07:51:12
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 07:51:12
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 07:51:12
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 07:51:13
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 07:45:49
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 12:45:29
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 12:45:30
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 19:56:12
VBASE021.VDF : 7.11.4.74 2048 Bytes 06.03.2011 19:56:13
VBASE022.VDF : 7.11.4.75 2048 Bytes 06.03.2011 19:56:13
VBASE023.VDF : 7.11.4.76 2048 Bytes 06.03.2011 19:56:13
VBASE024.VDF : 7.11.4.77 2048 Bytes 06.03.2011 19:56:13
VBASE025.VDF : 7.11.4.78 2048 Bytes 06.03.2011 19:56:13
VBASE026.VDF : 7.11.4.79 2048 Bytes 06.03.2011 19:56:13
VBASE027.VDF : 7.11.4.80 2048 Bytes 06.03.2011 19:56:13
VBASE028.VDF : 7.11.4.81 2048 Bytes 06.03.2011 19:56:13
VBASE029.VDF : 7.11.4.82 2048 Bytes 06.03.2011 19:56:13
VBASE030.VDF : 7.11.4.83 2048 Bytes 06.03.2011 19:56:14
VBASE031.VDF : 7.11.4.105 115200 Bytes 08.03.2011 09:22:29
Engineversion : 8.2.4.180
AEVDF.DLL : 8.1.2.1 106868 Bytes 20.09.2010 17:55:19
AESCRIPT.DLL : 8.1.3.56 1261945 Bytes 08.03.2011 09:22:32
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 16:07:29
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 16:07:30
AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 21:14:11
AEPACK.DLL : 8.2.4.11 520566 Bytes 04.03.2011 12:45:31
AEOFFICE.DLL : 8.1.1.17 205177 Bytes 08.03.2011 09:22:32
AEHEUR.DLL : 8.1.2.83 3338613 Bytes 08.03.2011 09:22:31
AEHELP.DLL : 8.1.16.1 246134 Bytes 05.02.2011 15:03:11
AEGEN.DLL : 8.1.5.2 397683 Bytes 28.01.2011 07:49:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 16:07:25
AECORE.DLL : 8.1.19.2 196983 Bytes 28.01.2011 07:49:37
AEBB.DLL : 8.1.1.0 53618 Bytes 20.09.2010 17:55:18
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 18:20:39
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 10:10:52
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 10:10:51
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 18:20:38
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir
Desktop\TEMP\AVGUARD_4db10a72\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Beginn des Suchlaufs: Dienstag, 8. März 2011 12:58
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\Temp\hlpfhlp.exe'
C:\WINDOWS\Temp\hlpfhlp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\srvcpack.exe'
C:\WINDOWS\Temp\srvcpack.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\srvvwuser.exe'
C:\WINDOWS\Temp\srvvwuser.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\videorsetup.exe'
C:\WINDOWS\Temp\videorsetup.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bels
Beginne mit der Suche in 'C:\WINDOWS\Temp\windz.exe'
C:\WINDOWS\Temp\windz.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Desinfektion:
C:\WINDOWS\Temp\windz.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9abf1f.qua' verschoben!
C:\WINDOWS\Temp\videorsetup.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bels
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '573390b8.qua' verschoben!
C:\WINDOWS\Temp\srvvwuser.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '055aca49.qua' verschoben!
C:\WINDOWS\Temp\srvcpack.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '636d858b.qua' verschoben!
C:\WINDOWS\Temp\hlpfhlp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26e3a8af.qua' verschoben!
Ende des Suchlaufs: Dienstag, 8. März 2011 13:03
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
37 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
32 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
5 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Code:
ATTFilter Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
FastClick: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
Right Media: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
DoubleClick: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2010-01-20 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-10-08 Includes\Adware.sbi (*)
2010-01-19 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-01-19 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-01-19 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-01-19 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-01-19 Includes\Malware.sbi (*)
2010-01-19 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-01-19 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-01-19 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-11-03 Includes\Spyware.sbi (*)
2010-01-19 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-12-08 Includes\Trojans.sbi (*)
2010-01-19 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
|
|
08.03.2011, 16:46
| #2 |
| /// Malware-holic   | Statt Chrome oder Opera startet der IE Systemscan mit OTL
__________________download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten
__________________ |
|
08.03.2011, 17:31
| #3 |
| | Statt Chrome oder Opera startet der IE Hallo markusg,
__________________danke für Deine Antwort. Anbei die beiden Logs. Sie direkt mit diesem Formular abzuschicken hat immer zum Absturz von Firefox geführt (der bisher eigentlich einwandfrei lief), daher als Anhang. Viele Grüße, coldfield |
|
08.03.2011, 17:48
| #4 |
| /// Malware-holic | Statt Chrome oder Opera startet der IE deinstaliere mal spybot es stört die reinigung, neustarten bitte. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.03.2011, 19:43
| #5 |
| | Statt Chrome oder Opera startet der IE Spybot deinstalliert und Log erstellt: Code:
ATTFilter Combofix Logfile: Combofix Logfile: |
|
08.03.2011, 20:16
| #6 |
| | Statt Chrome oder Opera startet der IE Das Log wird hier offenbar intern direkt als "Code" ausgezeichnet, sodass die zusätzliche Auszeichnung als "Code" überflüssig ist. Kann meinen vorherigen Eintrag leider nicht bearbeiten, da Firefox beim Absenden immer abstürzt. JFYI |
|
08.03.2011, 20:24
| #7 |
| /// Malware-holic | Statt Chrome oder Opera startet der IE das ist wurscht :-) c:\windows\regedit.exe bei VirusTotal - Free Online Virus, Malware and URL Scanner prüfen, poste den ergebniss link.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.03.2011, 20:29
| #8 |
| | Statt Chrome oder Opera startet der IE hxxp://www.virustotal.com/file-scan/reanalysis.html?id=832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241-1299612493 |
|
08.03.2011, 20:53
| #9 |
| /// Malware-holic | Statt Chrome oder Opera startet der IE ok datei ist sauber. download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.03.2011, 21:58
| #10 |
| | Statt Chrome oder Opera startet der IE Als Resultat kommt immernoch die eingangs erwähnte userinit.exe Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5993
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
08.03.2011 21:50:37
mbam-log-2011-03-08 (21-50-37).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 225593
Laufzeit: 35 Minute(n), 21 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
09.03.2011, 12:30
| #11 |
| /// Malware-holic | Statt Chrome oder Opera startet der IE dachte eig combofix hätte es geschafft, na dann legen wir mal hand an.. start programme zubehör editor kopiere rein: Killall:: Rootkit:: c:\windows\system32\winp.exe Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\\Windows\\system32\\userinit.exe," Datei speichern unter, ort, dort wo sich combofix.exe befindet, typ alle dateien name cfscript.txt ziehe cfscript auf combofix, programm startet log posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
10.03.2011, 13:58
| #12 |
| | Statt Chrome oder Opera startet der IE Ich würde gerne, nur fährt mein PC seit unserer letzten Aufräumaktion nicht mehr richtig hoch. Heisst: - PC bootet - Windows starten - Zeigt kurz das Hintergrundbild des Desktops - Geht wieder auf den Windows-Startbildschirm - Benutzername-Auswahl erscheint (und das hatte ich bisher nie - der Rechner wurde angemacht und fuhr komplett, ohne explizite Anmeldung hoch) - Wähle ich nun den einzigen Benutzer "User-01" aus, wird kurz geladen, hört auf zu laden und das wars Im abgesicherten Modus das gleiche Spiel, nur mit dem Unterschied, dass zur Auswahl noch ein "Administrator" angeboten wird. Passwort wird in allen Fällen zur Anmeldung nicht benötigt. Und nun?  |
|
10.03.2011, 14:03
| #13 |
| /// Malware-holic | Statt Chrome oder Opera startet der IE du meinst nach der Malwarebytes aktion? ja da hatts dir wohl die registry zerschossen. hast du nen zweiten pc mit brenner? hat der betroffene cd nen laufwerk?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
10.03.2011, 15:12
| #14 |
| | Statt Chrome oder Opera startet der IE Ich denke Combofix war der Auslöser. Malwarebytes hatte ich vorher auch schon drauf und nie Probleme gehabt. Zweit PC hab ich nicht, hätte aber Zugang zu einem. Beide mit CD-Laufwerk. Muss ich was bei der Auswahl des anderen PCs beachten? |
|
10.03.2011, 15:27
| #15 |
| /// Malware-holic | Statt Chrome oder Opera startet der IE hmm tut mir auf jeden fall leid, aber so was passiert halt schon mal. bitte mit ubuntu live cd ne daten rettung machen: Download | Ubuntu wir setzen dann neu auf und sichern das system ab.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Statt Chrome oder Opera startet der IE |
| .dll, antivir, browser, chrome, einstellungen, explorer, file, firefox, internet, internet explorer, nicht angezeigt, nt.dll, opera, problem, registry, scan, schaltflächen, schädling, seiten, services.exe, software, svchost.exe, system, temp, werbung, windows, winlogon.exe, wuauclt.exe, öffnet |
Linear-Darstellung
