Firefox leitet auf fremde Seiten um
 

Hallo Leute,
Nachdem dem Download eines Torrents sprang Avira AntiVir an und meldete Virenbefall. Ein Trayicon mit weissem Kreuz auf rotem Grund erschien und Firefox öffnete ungewollt Seiten. Eine Reinigung mit AntiVir erfolgte folgendermassen:
Daraufhin bin ich hier her gekommen, hab gelesen und ausprobiert und im wesentlichen CCLEANER, Malware's Anti-Malware und Hijackthis in Reihe laufen lassen. Mal im abgesicherten Modus, mal nicht, da ich mir da nicht so ganz sicher war.
Das Trayicon ist bisher nicht wieder aufgetaucht. Die Redirects bleiben aber nach einem Neustart.
Die letzte Session hat folgende Reports erzeugt:

Hallo und :hallo:

Weißt du noch was du runtergeladen hast? Bitte schicke mir den Link als PN. Du hilfst damit anderen.

Offensichtlich hast du Glück gehabt. Teste, ob es die Umleitungen auch im Internet Explorer gibt.

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Ich werde mal schauen, ob ich die Links/Dateien/Seiten noch finde und PN dir dann.
Hier die zwei rsit reports in mehreren Teilen:

log.txt, Teil 2

log.txt, Teil 3

info.txt, Teil 1

info.txt, Teil 2

info.txt, Teil 3
Das wars. Sorry für die vielen Posts, aber ich darf nur 25000 Zeichen posten. Zum hochladen waren die Dateien anscheinend auch zu groß (jeweils 47 kb). Eine andere Möglichkeit wäre noch ein .zip, aber ich weiss nicht ob das gewünscht ist und ob ich mit meinem System zur Zeit .zip's erstellen darf.

Gruß
Raketenmann

Er hat es doch geschafft. :(

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Ich habe nun
- ComboFix.exe runtergeladen und auf den Desktop kopiert
- Avira ausgemacht
- CCleaner laufen lassen
- Combofix gestartet, (Windows bestätigt, dass es eine vertrauenswürdige Software ist)
Dann taucht ein DOS Fenster mit namen "." auf in dem steht:
Scheint also nicht richtig gelaufen zu sein? Eine Log Datei ist zumindest nicht entstanden (aber eine Datei namens "biosinfo" liegt neuerlich unter C:/)
Ich habe die Datei auch nochmal in "cf.com" umbenannt. Das führte aber zu einem Fenster mit gleicher Meldung.
Darf ich die .exe kopieren, oder muss sie dort ausgefürht werden, wo sie hingeladen wurde? Darf ich sie auch aus meinem downloads order ausführen oder lad ich sie nochmal direkt auf den Desktop?
Muss ich irgendwas im "Abgesicherten Modus" machen?

Gruß
Philipp

Du sollst sie auf deinen Desktop runterladen und dort starten, nicht aus irgendwelchen Ordnern.

ciao, andreas

Ich habe Combofix nochmal auf den Desktop geladen und die Anleitung von oben Schritt für Schritt durchgeführt. Nach wie vor erscheint die zuvor gepostete Meldung in einem DOS-artigen Fenster und es wird keine log Datei angelegt.

Gruß
Raketenmann

:( Dann versuchen wir es anders. Poste bitte ein aktuelles HJT-Log. Anschliessend diese beiden Scanner laufenlassen und Log posten:

http://www.trojaner-board.de/51187-a...i-malware.html

http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3)

ciao, andreas