Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firefox Weiterleitung, diverse Andere - langer Text (https://www.trojaner-board.de/73332-firefox-weiterleitung-diverse-andere-langer-text.html)

Psycho19017 20.05.2009 18:25
Firefox Weiterleitung, diverse Andere - langer Text
 
Hey TB

Nachdem ich nun schon so oft als "Ghost" hier Hilfe gefunden habe, muss ich nun "aufgeben" und nach eurer Meinung fragen. Von der Fachkompetenz her bin ich eher Netzwerker (IT-SE), aber schon seit ich 6 bin am rumschrauben @ Computer, daher hab ich bis jetzt auch erstmal 2½ Wochen mit meinem Rechner gekämpft, und packe nun aus. (soviel zur Kompetenzbewertung hmm)...

Ihr habt viele Stickies, ich finde jedoch, dass mein Fehler, dem Fehler in diesem Threath verblüffend ähnelt...

*aushol* also... Vorgeschichte
Ich hasse Virenscanner wie Antivir und dem ganzen Krempel. Ich surfe bewusst(ist wohl das wichtigste), und mit Router, und mit leichten sichernden Späßen wie einer stets neuesten V von Firefox und upgedatetem Windows (SP 3). Apropos System. Windows XP SP3; IntelCore2Duo E8400, Geforce 9800 GTX, 4 Giga Ram, KA ob das von bewandnis ist. 1 500GB Festplatte mit 4 Partitionen c: System d: system2(nicht benutzt) e: anwender f: archiv
Daher muss ich zugeben, dass ich seit Jahren "erfolgreich !!!" ohne jeglichen extra Virenscanner oder Firewall hantiere, und auch nie Viren "bemerkt" habe.
Das einzige, was ich immer tat wenns mal klemmte (Spyware und so) war spybot, deren Seite aber down ist -_-.

Symptome vor 2 Wochen... Der Firefox begann mich bei jeglichen google Anfragen falsch umzuleiten. Er rödelte etwa 10 Sekunden und dann landete ich bei Ebay... Dies war Zeitgleich mit dem Problem eines Virus/Wurms KA der sich in die Autoexec schrieb. Alle meine Festplatten wurden wie CD-Laufwerke behandelt, öffneten nichtmehr, und führten einfach x-mal diesen Wurm aus, der dahinter steckte. Hab zwar mit "Änderungsdatum" im Windowspfad und Co gesucht... 5 Stunden oder so, überall mit regedit und cO... Vergeblich (Die Sau hat sich auch im Papierkorb versteckt) Daten gesichert, neu...
Vor der unvermeidlichen Neuinstallation folgte das Symptom, dass der Desktop beim hochfahren das Hintergrundbild anzeigte, aber keine Symbole mehr... der Taskmanager ging noch. (bisher 2 Probleme, wozu ich 2 Threaths bei euch gefunden hatte)...

Nach der Neuinstallation, direkt wieder diesen "weiterleitungswurm?" gehabt.
Ich Spybot und Ad-aware (vorher auch schon) wiederholt ausprobiert und mich geärgert das beide ?! Updateserver für mich down waren... Ich denke es lag daran, das sie für mich gesperrt sind, kluger Wurm.

2 Wochen später (vorgestern) während einer sehr spannenden Runde SupComm fing er an zu arbeiten ohne Ende, schmiss mich andauernd auf den Desktop (alt -tab) und KA war einfach zu bemerken das er stark über mehrere minuten arbeitete...

Ich tat einen Kalt-Reset, und siehe da, selbes Problem, die Desktop Symbole wurden nach Systemstart nichtmehr angezeigt... Ich, bisher kaum Daten auf C: raufgehauen. Instant neuformatiert.

Diesmal sollte ich nicht 2 Wochen warten... Diesmal schmiss ich gerade nach der Windows Installation die Treiber CD vom Mainboard rein, da öffnet sich mit "pling" eine Aufforderung von Windows "Buy your meds online" und passend dazu der Internet Explorer ... DIREKT nach der Installation, da war ich shocn gut fertig hmm... (hat mich die halbe Nacht beschäftigt ^^)
Externe Festplatte war zu diesem Zeitpunkt nicht angeschlossen.
Neustart... Spyware Doktor oder soon Kram drauf gehabt strg+alt+entf sagte nur "vom Admin deaktiviert" (ich war admin - mein gedachter Fehler)
Mir durch arbeiten und hin und her booten (versch. Benutzer und abgesicherter Modus) irgendwann doch mal Desktopsymbole "erarbeitet", aber mein letzter Ausweg - ein Windowsupdate, sagt dass die Seite down ist... und leitet mich zu einer schlechten kopie von google weiter.
Wieder formatiert - diesmal ohne Aktive Internetverbindung

Lange Rede kurzer Sinn - soviel zur Vorgeschichte

Aktuell

Windows ohne Internetanbindung installiert, und danach gewartet. Nichts geschah hmm. Also Treiber installiert, paar Programme installiert. Immernoch ruhig. Ich wurde langsam euphorisch, aber dachte 2 Viren Formate in 2 Wochen, neeneenee. Also mir die absolut sicherste Virenbehandlung die ich kenne gemacht. Einen Hauptaccount der nur eingeschrenkte Rechte hat.
Das war vor 2 Stunden, zum Installieren wechsel ich auf PsychoAdmin und ziehe jeweils vorher das Inetkabel, zum Anwenden bin ich auf Psycho der nur eingeschrenkte Rechte hat. Nun ich würde mich hier nicht melden wenn das funktioniert hätte ...
Der Admin geht klar, und der Rechner hat noch keine größeren Probleme, aber... unter Psycho("Gast"Konto) meine USB-Festplatte AHAAAA!!!! angeschlossen, und direkt wieder den weiterleitungswurm drauf gehabt.

Erneut direkt probiert die neuesten Windows Updates runterzuladen
aber er sagt, dass die Seite down ist... und leitet mich zu einer schlechten kopie von google weiter. Somit melden Ad-aware, spybot und microsoft Updateserver die down sind... Der Wurm hat an vieles gedacht..

Ich denke dieser Wurm öffnet Tür und Tor zu allem möglichen Abschaum. Meine eingeschrenkten Rechte (kein SChreibzugriff auf c: etc.) schützen mich zur Zeit annehmbar, aber das ist kein Zustand.

Ich habe GMER ausgeführt,

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-05-20 19:50:41
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT spsx.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spsx.sys ZwEnumerateValueKey [0xBA6C7030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A5081F8
Device \FileSystem\Fastfat \Fat 8A2971F8

---- EOF - GMER 1.0.14 ----

und jetzt, mit runtergelassenen Hosen, will ich mal gucken ob ich mir ne neue Festplatte kaufe, oder da noch was zu machen ist.
3 mal Formatiert, 3 mal komplett Neuinstalliert. Er lebt immernoch...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:41, on 20.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Psycho\Desktop\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BC14364-D681-4CD1-9902-A0D6CD1B9B9E}: NameServer = 192.168.1.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 3066 bytes


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19