Trojaner-Board - 123Rede.com und anderer Befall

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - 123Rede.com und anderer Befall (https://www.trojaner-board.de/165619-123rede-com-anderer-befall.html)

Was ich damit meine ist in der Auswertung von FRST steht wieder dieser Server eingetragen, allerdings nicht in der Maske von IPv4.

Das habe ich soweit gemacht nur das Verzeichnis C:\Program Files (x86)\Mozilla Firefox\ existiert nicht mehr, aber nach dem Installieren von FF findet er meine alten Profile wieder, wo sind die gespeichert und ist es nicht besser diese zu löschen?

Stefan

Hm, ich dachte der Firefox bietet eine Optione an, keine Daten zu behalten wenn man deinstalliert. Und ja, natürlich solltest du deine bisherigen Profile wegschmeißen, deswegen ja auch der Hinweis, wichtige Lesezeichen vorher zu sichern.

Und ich hab immer noch keine Ahnung was du mit diesem Server meinst. Kopier doch einfach mal das was du meinst bzw. die Zeile aus dem FRST Log heraus...

Hallo Cosinus,

steht in der Additional

Code:

==================== Other Areas ============================
 

(Currently there is no automatic fix for this section.)
 

HKU\S-1-5-21-1783457748-3978523255-3235760858-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Stefan\AppData\Local\Microsoft\Windows\Themes\能高安東軍 - N\DesktopBackground\taiwan-06-20.jpg

DNS Servers: 208.255.220.220 - 208.67.222.222

Beim deinstallieren vom FF fragt er nichts von Daten behalten oder nicht, ich finde aber auch keine Reste wo die Profile noch gespeichert sein könnten, aber ich google gleich mal ob ich eine Anleitung finde.

Stefan

Wenn du alles vom Profil gesichert hast oder sich nichts zu sichern lohnt einfach diesen Ordner löschen => C:\Users\Stefan\AppData\Roaming\Mozilla

Zitat:

DNS Servers: 208.255.220.220 - 208.67.222.222

Ist schon (fast) richtig so, da ist kein brasilianischer DNS-Server mehr, das sind die von OpenDNS, aber du hast dich bei der ersten IP-Adresse vertippt. Die von OpenDNS haben im zweiten Oktett immer 67 stehen, keine 255 oder was anderes!

Hallo Cosinus,

den anderen DNS Server habe ich berichtigt, Firefox deinstalliert die Datei Mozilla gelöscht, danach den Speicher geleert und den FF neu installiert, nichts von IE übernommen und FF als Standardbrowser genommen (war das falsch), dann hat er denn FF aufgemacht mit den Mozilla Startseiten. Habe FF geschlossen und neu aufgerufen und rate mal wer wieder da war Top8844.com :killpc: :killpc:

Nochwas ist mir eingefallen bzw. aufgefallen als ich nach der Neuinstallation den FF öffnete kam die Abfrage ob ich "das" nichts sichtbar mit FF ausführen möchte oder eine App suchen möchte, habe hier den FF bestätigt ist das ein normaler Vorgang oder könnte das unser Problem sein?

Du bist dir sicher, dass ein neues Firefox-Profil erstellt und verwendet wurde?

Ja da bin ich mir sicher, da die Lesezeichen und die Addons wie der Werbeblocker weg sind.

Mach bitte einen neuen Durchlauf mit MBAM und Emsi:

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Lade Dir bitte von hier

Emsisoft Emergency Kit herunter.

Bitte installiere das Programm in den vorgegebenen Pfad.
Starte das Programm durch Doppelklick der Desktopverknüpfung.
Das EEK ist nach dem Laden der Malwaresignaturen für den Scan bereit.
Folge nun bitte der bebilderten Bildanleitung zu Emergency Kit, entferne alle Funde und poste am Ende des Scans bzw. der Bereinigung das Log.

Hier die beiden Berichte

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlauf Datum: 12.05.2015

Suchlauf-Zeit: 18:36:37

Logdatei: mban.txt

Administrator: Ja
 

Version: 2.00.4.1028

Malware Datenbank: v2015.05.12.04

Rootkit Datenbank: v2015.04.21.01

Lizenz: Kostenlos

Malware Schutz: Deaktiviert

Bösartiger Webseiten Schutz: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 8.1

CPU: x64

Dateisystem: NTFS

Benutzer: Stefan
 

Suchlauf-Art: Bedrohungs-Suchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 340009

Verstrichene Zeit: 8 Min, 47 Sek
 

Speicher: Aktiviert

Autostart: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(Keine schädliche Elemente erkannt)
 

Module: 0

(Keine schädliche Elemente erkannt)
 

Registrierungsschlüssel: 0

(Keine schädliche Elemente erkannt)
 

Registrierungswerte: 0

(Keine schädliche Elemente erkannt)
 

Registrierungsdaten: 0

(Keine schädliche Elemente erkannt)
 

Ordner: 0

(Keine schädliche Elemente erkannt)
 

Dateien: 0

(Keine schädliche Elemente erkannt)
 

Physische Sektoren: 0

(Keine schädliche Elemente erkannt)
 
 

(end)

HTML-Code:

Emsisoft Emergency Kit - Version 9.0

Letztes Update: 27.03.2015 14:46:23

Benutzerkonto: StefanGross\Stefan
 

Scan-Einstellungen:
 

Scan Methode: Smart Scan

Objekte: Rootkits, Speicher, Traces, C:\WINDOWS\, C:\Program Files\, C:\Program Files (x86)\
 

PUPs-Erkennung: An

Archiv-Scan: Aus

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan-Beginn:        12.05.2015 19:09:37

Value: HKEY_USERS\S-1-5-21-1783457748-3978523255-3235760858-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR         gefunden: Setting.DisableTaskMgr (A)

Value: HKEY_USERS\S-1-5-21-1783457748-3978523255-3235760858-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS         gefunden: Setting.DisableRegistryTools (A)
 

Gescannt        290947

Gefunden        2
 

Scan-Ende:        12.05.2015 19:50:31

Scan-Zeit:        0:40:54
 

Value: HKEY_USERS\S-1-5-21-1783457748-3978523255-3235760858-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS        Quarantäne Setting.DisableRegistryTools (A)

Value: HKEY_USERS\S-1-5-21-1783457748-3978523255-3235760858-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR        Quarantäne Setting.DisableTaskMgr (A)
 

Quarantäne        2

Ich hab dafür keine Erklärung. Die Ergebnisse sind nicht aufschlussreich. Auch in den letzten FRST-Logs seh ich keine Ursache für diesen TOP-Müll :balla:

Wollen wir weitermachen oder lieber eine komplette Neuinstallation in Betracht ziehen?

Hallo Cosinus,

ich denke eine Neuinstallation ist sinnvoller, außerdem würde ich mich dabei wohler fühlen, wenn ich danach zu 100% sicher sein kann dass alles sauber ist.

Ich habe nur eine Partition mit der Systemwiederherstellung, würdest Du mich dabei führen? Wird bei diesem Lenovo "One Button" auch formatiert, denn ich denke das ist wichtig.

Stefan

Bist du überhaupt auf Windows angewiesen? Wenn nicht, würde ich auf jeden Fall ein anderes OS empfehlen, zB Xubuntu, Lubuntu der Ubbuntu mit dem MATE-Desktop.

Würde schon gerne bei Windows bleiben, da die meisten Anwendungen die ich habe unter Windows laufen.

Stefan

Für die meisten Anwendungen gibt es es auch eine native Linux-Version...

Habe zum Beispiel Diablo 3 als Windowsversion muss ich das dann neu kaufen? Aber lass uns mal lieber bei Windows bleiben:pfeiff: