Trojaner-Board - Offen Kann manche Internet-Seiten nicht mehr öffnen (Firewall blockt?)

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

Kann manche Internet-Seiten nicht mehr öffnen (Firewall blockt?) (https://www.trojaner-board.de/87769-manche-internet-seiten-mehr-oeffnen-firewall-blockt.html)

Kann manche Internet-Seiten nicht mehr öffnen (Firewall blockt?)

Hey Leute,

ich hab ein kleines Problem.
Seit heute kann ich auf manche Internet-Seiten nicht mehr zugreifen,
Bsp: h**p://hsw.j-schmidt.com/index.php oder w*w.beemp3.com.
Ich habe mir am Tag davor ein neues Virenschutzprogramm "Malwarebytes Anti-Malware" zugelegt, da ich einen Trojaner in der winlogon.exe hatte. Nun vermute ich das das Programm schuld daran ist.

Es gibt in den Einstellungen auch einen Punkt (Bösartige Websiten blockieren),
doch selbst das deaktivieren der Funktion, sowie das komplette ausschalten aller Firewalls und Anti-Viren Programme brachten keinen Erfolg.

Ich habe: Fritzt Box Protect, Malwarebytes Anti-Malware, SpyBlocker und AntiVir Personal Free.

Ich hoffe ihr könnt mit den gegebenen Punkten etwas anfangen, denn es ist ziemlich nervig. :crazy:

Gruß Pitbull93

:dankeschoen:

Hallo,

poste erstmal alle schon erstellten Logfiles von Malwarebytes.

Nr.1

Zitat:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4269

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05.07.2010 13:51:17
mbam-log-2010-07-05 (13-51-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128562
Laufzeit: 4 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\hosts (Trojan.Agent) -> Quarantined and deleted successfully.

Nr.2

Zitat:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4269

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03.07.2010 14:20:23
mbam-log-2010-07-03 (14-20-23).txt

Art des Suchlaufs: Flash-Scan
Durchsuchte Objekte: 94976
Laufzeit: 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nr.3

Zitat:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4269

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03.07.2010 13:41:24
mbam-log-2010-07-03 (13-41-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128633
Laufzeit: 3 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1e1b2879-88ff-11d3-8d96-d7acac95951a} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\audio hd driver (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\display driver (Backdoor.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Steffen\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Steffen\AppData\Roaming\kernel33.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\mssrv32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Steffen\AppData\Local\Temp\idduBxcKufW.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Steffen\AppData\Roaming\Windows Firewall\winlogon.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Das waren soweit alle.

Mach bitte einen Vollscan mit aktuellen Signaturen.

Zitat:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4269

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

06.07.2010 17:38:46
mbam-log-2010-07-06 (17-38-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 141358
Laufzeit: 1 Stunde(n), 0 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So nochmal aktuell :-)

Ok. Dann jetzt OTL. Die Logs am besten zippen und hier anhängen im nächsten Posting.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O4 - HKLM..\Run: [SpyStopper] C:\Users\Steffen\AppData\Local\Temp\GpiTmp\spystopper.exe File not found

O33 - MountPoints2\{1b3d8240-41c3-11df-92cf-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{1b3d8240-41c3-11df-92cf-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2005.11.01 12:59:48 | 001,187,840 | R--- | M] ()

O33 - MountPoints2\{e0c55892-61e9-11df-ac4b-e0cb4e952514}\Shell - "" = AutoRun

O33 - MountPoints2\{e0c55892-61e9-11df-ac4b-e0cb4e952514}\Shell\AutoRun\command - "" = F:\Startme.exe -- File not found

[2010.07.06 20:48:46 | 000,413,141 | ---- | M] () -- C:\Windows\hosts

[2010.07.02 23:29:23 | 004,569,088 | -H-- | M] () -- C:\Users\Steffen\AppData\Roaming\idduBxcKufW.exe

[2010.07.02 18:36:12 | 002,427,248 | ---- | M] () -- C:\Windows\System32\pbsvc_heroes.exe

[2010.07.01 02:48:35 | 000,001,312 | ---- | M] () -- C:\Windows\System32\msvtr.dll

@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:05EE1EEF

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Aaaah vielen Dank du bist meine Rettung, es funktioniert wieder wie es soll!
An was lag es denn jetzt?

Ok. Bitte weitermachen mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kleines Problem, wenn ich CombiFix.exe starte kommt der kleine grüne Ladebalken.
Bei zirka 98% hängt sich der PC komplett auf.

Starte den Rechner neu und probier es nochmal mit Combofix üder die cofi.exe
Falls es wieder nicht geht: Lad Combofix neu runter, speicher es aber bitte mit anderem Namen ab, zB smss.exe und führ diese dann aus.

Danke für die Hilfe aber das Problem hat sich erledigt.
Habe mein Windows gestern neu installliert, da mein Computer insgesamt sehr langsam war und vollgestopft mit unnützem Zeug.
Trotzdem vielen Dank

Gruß Pitbull93