|
Browser biegt beim surfen zu Primosearch ab, Sicherheitsseiten werden blockiert Hallo Leute, brauche das erste Mal seit geraumer Zeit Hilfe bei einem Sicherheitsproblem. Mein Browser wird entführt (folge ich bei google weiterführenden Links, lande ich häufig bei Primosearch). Beim Recherchieren, was das sein könnte, fiel mir dann auf, dass sich der Computer bei Downloads von hijackthis und MalwareBytes Anti Malware äußerst sperrig anstellt. Aufgefallen, dass was nicht stimmt, ist mir Sonntag, als ich auf der Suche nach einem Linkchecker mit "Xenu's Link Sleuth" seit langem mal wieder ein Programm aus dem Internet gezogen habe. Vielleicht tue ich jetzt gerade dem Autor des Programmes Unrecht, und mein System war bereits vorher kontaminiert. Auf jeden Fall ließ sich Xenu installieren, aber nach dem Starten passierte - nichts. Am Montag dann wurde das erste Mal mein Browser gehijackt (Primosearch begegnet mir beim googlen seitdem immer mal wieder), am Dienstag fiel mir auf, dass ich meinen harmlosen Lieblingseditor "Textpad" nicht mehr öffnen konnte und dass der Taskmanager Dinge zeigt, die ich zuvor noch nicht bewusst wahrgenommen hatte. Mittwoch habe ich dann angefangen, mich mit dem Thema (Google-) Links werde auf andere URL geleitet zu befassen. Auf der Suche nach solchen Programmen wie hijackthis oder MBAM musste ich dann meinen eigenen Rechner überlisten. Jetzt sitz ich hier vor dem hijackthis Log und mir kommt die Hälfte verdächtig vor. Mag aber auch daran liegen, dass IBM den Rechnern einen Haufen Software mit auf den Weg gibt, von denen ich auch als erfahrener Anwender nicht weiß, was wichtig ist und was nicht. Hier das hijackthis.log: Zitat:
Ich konnte dank USB-Stick nach einigen Versuchen auch GMER installieren. Das Logfile hab ich auch, es hat aber 117 kB, deshalb habe ich es mal hierhin gelegt. Was nicht funktioniert, ist MalwareBytes Anti-Malware durchlaufen zu lassen. Das Programm schließt sich nach wenigen Sekunden (so es sich denn überhaupt öffnen lässt). Hab ich noch nicht erlebt, sowas. Benötige Eure Hilfe. Danke. |
Hallo, erstell bitte Logfiles mit RSIT und OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Die Logfiles kannst Du auch wieder beim techdeopt hinterlegen wenn Du willst. Oder bei file-upload.net hochladen und hier verlinken. |
|
Hm, keiner ne Idee? |
Macht es evtl. Sinn, die Festplatte auszubauen, als externe an den Zweitrechner dran zu stöpseln und dort irgendwelche Tests durchlaufen lasse? |
Sorry, hab Deinen Strang übersehen - ich behandel hier auch noch andere Fälle. Ich seh mir Deine Logs mal eben an. :o |
Code: O27 - HKLM IFEO\userinit.exe: Debugger - pxkuzuwjb.exeFragen:
|
Hi Arne, jau, die Datei existiert in C:/windows/system32/ Sie ließ sich nur im abgesicherten Modus kopieren. Die Dateiinfo im Windows-Explorer sagt: "Find String (grep) Utility, die Datei hat 45 kB und sagt, dass sie vom 14.04.08 stamme. virustotal sagt: Zitat:
Sieht so aus, als hast Du ein gutes Gespür gehabt, mehrere Virenscanner schlagen an: Comodo 3070 2009.11.28 TrojWare.Win32.Trojan.Agent.Gen DrWeb 5.0.0.12182 2009.11.28 Trojan.Siggen.26748 McAfee+Artemis 5816 2009.11.28 Artemis!ADD40079DF20 NOD32 4645 2009.11.28 a variant of Win32/Kryptik.BBM Prevx 3.0 2009.11.28 Medium Risk Malware Sophos 4.48.0 2009.11.28 Mal/FakeAV-BT Was mache ich da jetzt am besten? Danke Dir. |
Lad die Datei mal bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html Danach den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop 2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Mach anschließend ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Hui, es gibt Interessantes zu berichten: Avenger ließ sich problemlos aufspielen. Ich habe die Codezeilen allerdings nicht kopiert, sondern abgetippt, da nur noch der Zweitrechner ins Internet darf. Avenger startet den Rechner neu, bei IBM kommt dann die Authentifizierung mit Fingerprint, dann kommt "Benutzereinstellungen werden geladen", dann sofort die Meldung "Abmeldung", wie man es vom Benutzerwechsel kennt, dann "Benutzereinstellungen werden gespeichert", und dann fordert mich der Rechner wieder auf, den Finger über den Sensor zu führen (das IBM-Gegenstück zur Anmeldung bei Windows). Bin also beim normalen Start in einer Endlosschleife gefangen. Gut, ich probiere es mal im Abgesicherten: Windows-Anmeldung... Benutzereinstellungen werden geladen... Abmeldung. ... dann passiert lange nix. -> Drücken Sie Strg+Alt+Entf, um sich anzumelden. Scheiße. Ebenfalls Endlosschleife. Nur ohne Fingerprint-Treiber. Den Avenger kannte unser Freund wohl schon. Schiedsrichter vermeldet: Die Partie endete Remis, und ich muss jetzt wohl ohne Windows auskommen. Kann folgendes anbieten: -Abgesicherter Modus mit Eingabeaufforderung (müsste wohl noch gehen, hab ich aber nicht probiert) -Anmelden als anderer Benutzer. Glaube, ich kann mich noch als "Administrator" anmelden. Vorher war ich Benutzer "Admin" (beide haben Admin-Rechte) Gruß, Wechselbalg PS1: Den Trojaner habe ich Euch hochgeladen. PS2: Xenu's Link Sleuth wars nicht, habe den Programmierer kontaktiert. Er sagt, das Programm im Downloadbereich seines Server ist noch genau so, wie er es da hingetan habe. Und er verbreite keine Malware. Glaube ich ihm. |
Deine Antwort wirft ein paar Fragen auf. Zitat:
Zitat:
Zitat:
|
ok, habe jetzt auch probiert, mich mit dem User "Administrator" anzumelden. Gleiche Endlosschleife wie bei "Admin". Xenu ist ein Programm, um eine (in der Regel die eigene) Homepage auf broken links zu scannen. Man kann es seit ewigen Zeiten direkt beim Programmierer runterziehen. Xenu hatte ich letztes Wochenende installiert und es ließ sich anschließend nicht starten. So fiel mir das erste Mal auf, dass was nicht stimmt. Xenu war aber nicht der Übeltäter, sondern nur das erste Opfer. Aber ich muss etwas beichten: mir ist eben erst eingefallen, dass ich bei meinen Versuchen, Malwarebytes zum Laufen zu bringen, auch MBR vom Desktop aus gestartet hatte. Kanns sein, dass sich evtl. MBR und Avenger nicht vertragen und die Endlosschleife evtl. daher kommt? |
Nö, MBR und Avenger vertragen sich. Mir ist da nichts bekannt, dass beim Einsatz dieser beiden Tools es dann zu Endlosschleifen kommt, ich glaube eher das liegt am Löschen der Datei pxkuzuwjb.exe. Ich hätte da mal ne Idee, besorg Dir mal eine Live-CD (Bart, Knoppix oder PartedMagic) und kopier irgendeine harmlose *.exe-Datei (zB notepad.exe) umbenannt nach c:\windows\system32\pxkuzuwjb.exe möglicherweise will der Rechner noch diese pxkuzuwjb.exe starten, weil die aber weg ist, kommt gleich das Abmelden. Von daher will ich mal wissen was passiert, wenn er diese Datei in Form einer umbenannten harmlosen Datei vorfindet ;) |
uff - nachdem ich mir eine Dockingstation besorgt habe, konnte ich den Rechner mit alternativem Betriebssystem booten (ist einer ohne CD-ROM. Und die Versuche, ihn mit dem USB-Stick zum Laufen zu bringen, haben schön Zeit gekostet - ohne Resultat, versteht sich...). Sodele, habe notepad als pxk_sonstwas getarnt und siehe, der Rechner bootet (zu 3/4 jedenfalls), dann geht das Notepad auf und zeigt mir die userinit.exe als Textfile. Der Rechner ist also der felsenfesten Überzeugung, dass diese pxk-virusdatei gebraucht wird und dass userinit.exe mit (oder in?!) diesem Programm geöffnet gehört. Mit unserer Notepad-Fälschung geht das natürlich schief, aber ich sitze vor einem immerhin so weit geladenen Windows, dass ich über Start -> ausführen -> explorer ein betriebsbereites System vor mir habe. Und als wäre nix gewesen, begrüßte mich in dem "von Hand" geladenen Desktop das Logfile vom Avenger. Hier isses: Zitat:
Lässt sich evtl. durch einen Registry-Scan feststellen, wo diese pxk-Datei aufgerufen wird? |
Ja das lässt sich feststellen. Ist aber ein rel. unbekannter Schlüssel, ganz schön gemein von den Autoren da was hin zu platzieren. Andererseits find ich das echt grässlich in Windows, wie viele verschiedene Möglichkeiten es gibt, Programme systemweit automatisch zu starten :mad: Der Eintrag war dieser hier: Code: O27 - HKLM IFEO\userinit.exe: Debugger - pxkuzuwjb.exeCode: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution OptionsWahrscheinlicher ist aber, dass da im Schlüssel "userinit.exe" ein Wert namens Debugger mit dem Inhalt 'pxkuzuwjb.exe' existiert. Diesen löschen. Du kannst die Registry doch öffnen oder? |
Hi, zweiteres war der Fall. In userinit.exe stand der Verweis zu pxk_ als Debugger. Den Debugger-Eintrag hab ich jetzt gelöscht (vorher die Registry exportiert). Mir fallen zwei Dinge auf. Erstens: In diesem Registrierungsverzeichnis (IFEO) tauchen opera.exe, safari.exe und chrome.exe auf. Alle mit Eintrag: Debugger C:\Programme\Internet Explorer\iexplorer.exe Ich weiß ganz genau, dass ich keinerlei alternativen Browser angefasst habe. Im Zweitrechner gibts solche Einträge nicht. Dafür werd ich hier gerade auch beim Zweitrechner schon ganz wuschig: Beim Öffnen der Registry im Zweitrechner zeigt mir diese genau HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options !!!!!!! Als wär das das gängigste Verzeichnis in der Registry....das kann doch kein Zufall sein!?! Zweitens: In beiden Registries ist in dem Schlüsselzweig noch ein Eintrag namens mngreg.exe; Unterschlüssel: Standard (Wert nicht gesetzt) und ApplicationGoo mit nem langem Reg_Binary Wert. Googelt man unter mngreg32.exe, kommen nur Treffer von Leuten mit verseuchten Systemen. PS: hochfahren geht jetzt wieder normal. |
Zitat:
Zitat:
Zitat:
Zitat:
Biegt der Browser noch ab? Sicherheitsseiten noch blockiert? |
Habe jetzt die Schlüssel aus der Registry entfernt, die den iexplore.exe als Debugger drin hatten (Chrome, Safari...), ferner die Registry nochmal nach "pxkuz" durchsucht (keine Treffer). Edit: das bringt wohl offenbar nix, "notep" als Suchwort bringt auch keine Treffer, obwohl ich weiß, dass es Schlüssel gibt, die das Wort notepad enthalten). Dann neu hochgefahren. Aaaber: Den IE aufgemacht, in Google "fantastic" eingegeben. Zweiter Treffer ist irgendsone Filmwerbung von Kinowelt. Anklicken führt auf einem sauberen Rechner direkt zu Kinowelt, auf meinem Rechner zu h++p://bcczzoot.com/in.cgi¶meter=fantastic&ur=1&HTTP_REFERER=31201 und zwar als untere Seite in einem Frameset. Malwarebytes startet das Update, das wird dann aber in der Hälfte abgebrochen. Malwarebytes wird ebenfalls nach ein paar Sekunden abgeschossen. Man kann genau auf Scan klicken, dann geht das Fenster zu. Gruß, wechselbalg. PS: Kann man die Registry dahingehend untersuchen, dass man alle Schlüssel aufgelistet bekommt, in denen ein Debugger vorkommt? |
Wir sollten uns jetzt nicht zu sehr auf die Image File Executions konzentrieren und alles andere außer acht lassen. Es wird Zeit für Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Da bin ich wieder. Combofix lief durch. Hat so weit ich das überblicke nur den popcaploader gefunden. Hier das Log: Code: ComboFix 09-12-01.01 - Admin 01.12.2009 19:57.1.2 - x86Kleine Anmerkung am Rande: nachdem Combofix runtergefahren hatte, war der Screen nach dem automatischen Neustart erstmal komplett schwarz mit weißem Mauszeiger. Im Zweiten Anlauf (normales Starten, nicht Wiederherstellung) startete der Rechner dann normal. CCleaner ist ebenfalls durchgelaufen. Der hat die Registry um rund 300 Einträge gekürzt. Die Probleme bei Malwarebytes sind unverändert. Internet Explorer habbich nicht getestet. |
Code: 2009-11-30 22:58 . 2008-04-14 02:22 70144 ----a-w- c:\windows\system32\pxkuzuwjb.exeCode: c:\windows\system32\BD8860DN.DAT |
das pxku_File ist definitiv das umbenannte Notepad. Habs jetzt gelöscht. Die BD8860DN-dat hat nur 1 KB, Check ergab: sauber. rfj.old hingegen ist der nächste Treffer: AVG 8.5.0.426 2009.12.01 Delf.NLP BitDefender 7.2 2009.12.01 Gen:Trojan.Kates.lG8@ayeDK6hi ClamAV 0.94.1 2009.12.01 - DrWeb 5.0.0.12182 2009.12.01 Trojan.Packed.194 eSafe 7.0.17.0 2009.12.01 - Fortinet 4.0.14.0 2009.12.01 - GData 19 2009.12.01 Gen:Trojan.Kates.lG8@ayeDK6hi K7AntiVirus 7.10.906 2009.11.27 - McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.PSW.Kates.CA.3 Microsoft 1.5302 2009.12.01 Trojan:Win32/Daonol.gen!A Norman 6.03.02 2009.12.01 - Panda 10.0.2.2 2009.12.01 Trj/KillAV.FJ PCTools 7.0.3.5 2009.12.01 Trojan-PSW.Daonol VBA32 3.12.12.0 2009.11.30 Trojan-PSW.Win32.Kates.q VirusBuster 5.0.21.0 2009.12.01 - Hier die Übersicht |
Die rfj.old bitte wieder bei uns hochladen. Das wäre schon wichtig wenn Du das machst, damit möglichst schnell möglichst viele AV-Labs Signaturen für diesen wohl noch recht neuen Schädling erstellen können. Danach müssen wir scripten: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KILLALL::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe bzw. cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
ok, die rfj.old-Datei ist bei Euch. Combofix blieb beim Runterfahren hängen: ich hatte einen leeren Desktop vor mir, Maus ließ sich noch bewegen, also hab ich mittels Task-Manager -> neuer Task -> "explorer" für eine Arbeitsumgebung gesorgt. Kein Logfile gesehen, also Neustart. Aber auch jetzt wird kein Logfile eingeblendet. Hm, aber dafür gibts was anderes Interessantes zu beobachten: http://techdepot.gmxhome.de/hardcopy_.jpg Auf der Suche nach dem Combofix-Log (nicht gefunden in C:\Combofix.txt, also gesucht in C:\CombFi\*) wird dieser Ordner als "Unter-"Arbeitsplatz angezeigt, womit sich die im Bild zu sehende Endlos-Kaskade bilden lässt. Netter Effekt :singsing: Auch das Durchsuchen der Festplatte führt in eine Endlosschleife. Fürchte, wir müssen ohne das Log auskommen...naja, schaun wir mal weiter: die dat-Datei ist aus \system32\ verschwunden, aber die rfj.old ist noch da - aber: sie hat nur noch 100 kB, vorher warens 179 kB. Virustotal sagt zu dieser veränderten Datei folgendes: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.43 2009.12.01 Trojan-PWS.Win32.Kates!IK AhnLab-V3 5.0.0.2 2009.12.01 - AntiVir 7.9.1.88 2009.12.01 TR.PSW.Kates.CA.3 Antiy-AVL 2.0.3.7 2009.12.01 Trojan/Win32.Kates.gen Authentium 5.2.0.5 2009.12.01 W32/Pws.BNTH Avast 4.8.1351.0 2009.12.01 - AVG 8.5.0.426 2009.12.01 - BitDefender 7.2 2009.12.02 - CAT-QuickHeal 10.00 2009.12.01 - ClamAV 0.94.1 2009.12.01 - Comodo 3103 2009.12.01 - DrWeb 5.0.0.12182 2009.12.01 - eSafe 7.0.17.0 2009.12.01 - eTrust-Vet 35.1.7151 2009.12.01 - F-Prot 4.5.1.85 2009.12.01 W32/Pws.BNTH F-Secure 9.0.15370.0 2009.11.29 - Fortinet 4.0.14.0 2009.12.01 - GData 19 2009.12.02 - Ikarus T3.1.1.74.0 2009.12.01 Trojan-PWS.Win32.Kates Jiangmin 11.0.800 2009.12.01 Trojan/PSW.Kates.bv K7AntiVirus 7.10.906 2009.11.27 - Kaspersky 7.0.0.125 2009.12.02 - McAfee 5819 2009.12.01 potentially unwanted program Corrupt-07!0D5EF96FE6E5 McAfee+Artemis 5819 2009.12.01 potentially unwanted program Corrupt-07!0D5EF96FE6E5 McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.PSW.Kates.CA.3 Microsoft 1.5302 2009.12.01 - NOD32 4653 2009.12.02 - Norman 6.03.02 2009.12.01 - nProtect 2009.1.8.0 2009.11.28 Trojan/W32.Daonol.Gen Panda 10.0.2.2 2009.12.01 - PCTools 7.0.3.5 2009.12.02 - Prevx 3.0 2009.12.02 - Rising 22.24.01.09 2009.12.01 - Sophos 4.48.0 2009.12.02 - Sunbelt 3.2.1858.2 2009.12.02 - Symantec 1.4.4.12 2009.12.02 - TheHacker 6.5.0.2.083 2009.12.01 - TrendMicro 9.100.0.1001 2009.12.01 - VBA32 3.12.12.0 2009.11.30 - ViRobot 2009.12.1.2065 2009.12.01 - VirusBuster 5.0.21.0 2009.12.01 - Hier der Link dazu ...also schon erheblich weniger Treffer als im Urzustand. Was machen wir denn da? Hm, auch auf die Gefahr hin, dass ich jetzt verhauen werde, ich habe einfach nochmal Combofix durchlaufen lassen (ohne Parameter). Jetzt lief es durch. Hier das Log: Code: ComboFix 09-12-01.01 - Admin 02.12.2009 2:05.3.2 - x86 |
Ist die rfj.old nun weg? Lässt MalwareBytes sich nun starten? |
Malwarebytes ließ sich updaten und starten. Hier das Log: Zitat:
Frage dazu: die Dateien liegen da in den Wiederherstellungspunkten (die ich nie benutzt habe) rum. Was hat der In-die-Welt-Setzer davon, wenn sie nicht gestartet werden? Oder ist das ein Indiz dafür, dass zum Zeitpunkt dieses Wiederherstellungspunktes der jeweilige Trojaner gerade auf dem Rechner wirkte? Textpad lässt sich wieder ausführen. Edit: Surfen geht auch wieder, ohne dass der IE in unerwünschte Richtungen abdriftet. |
Ich würde sicherheitshalber die Wiederherstellunsgpunkte löschen. Mein Standardtext dazu ;) : Zitat:
Hast Du mit dem CCleaner auch alle Temdateien gelöscht? Im listing.txt waren noch etliche Uralte Tempdateien zu sehen. |
Nach dem erneuten Hochfahren gestern Nacht war der ulkige Kaskadierungseffekt weg. Muss mit dem Absturz in ComboFix zusammengehangen haben. Mit Absicht können das nur wenige... :D Im Moment läuft gerade Avira Antivir durch. Und die Datenträgerbereinigung ist nach dem Deaktivieren der Systemwiederherstellung auch angesprungen. Wenn der Rechner wieder Land sieht, gucke ich nochmal, was mit den Temp-Dateien los ist (hatte in CCleaner eigentlich alle Haken gesetzt). Hat Eure Kaffeekasse eine Kontoverbindung oder einen Paypal-Account? |
Zitat:
|
So, Avira Antivir hat noch ein faules Ei entdeckt: in C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KH87MWPP war eine Datei namens Win32[1].exe, die als TR/Inject.M identifiziert wurde. CCleaner habe ich auch nochmal laufen lassen. |
Auch noch im Systemprofil!! :eek: Bitte alles manuell löshen was hier drin ist, also den Ordner 'content.ie' wegmachen. Code: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5Code: rd "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5" /s /q |
äh, das war jetzt mißverständlich. Den Ordner leeren oder den Ordner komplett löschen? Aber ist wohl in der Praxis egal, habe den Ordner content.IE5 jetzt nur geleert, nicht gelöscht. Tja, damit ist der Fall wohl im Endspurt, ich geh jetzt mal her und ändere meine Passwörter und suche mir mal in aller Ruhe die Installations-CDs zusammen, die ich wohl demnächst der Reihe nach benötigen werde. Meinem Internet Explorer traue ich jetzt auch nicht mehr sonderlich über den Weg. Erstens wurden mit viel Liebe zum Detail die Registry-Einstellungen erstellt, die auch bei Chrome und Safari dafür sorgen, dass IE geöffnet wird (warum?), zweitens fragte IE mich gestern Nacht nach dem MBAM-Intermezzo, ob er der Standard-Browser sein darf (das Fenster hatte ich das letzte Mal vor 3 Jahren gesehen, als ich die Kiste aufgesetzt habe. Antwort war damals "ja - und nicht mehr fragen"). Dann war gestern das IE-Icon auf dem Desktop, das hab ich in den Papierkorb verschoben. Und heute nach dem Hochfahren war erneut ein IE-Icon auf dem Desktop. Programme, die sich so komisch vordrängeln, sind mir suspekt. |
Wie ich sehe hast Du keinen Virenscanner installiert. Laut HJT-Logfile jedenfalls :rolleyes: Das allein ist nicht schlimm, ich habs auf meiner Windows-Kiste auch nicht, jedenfalls keinen mit Echtzeitscanner ;) Du könntest Dir mal AntiVir Free installieren und einen Kontrollscan mit aggressiven Einstellungen machen => Anleitung AntiVir aggressive Einstellungen |
Nach dem jetzt auch noch die Firma Kaspersky Kontakt mit mir aufgenommen hat, dass auf einer Homepage, auf die ich Zugriff habe, der Trojaner Gumblar verbreitet wird, kristallisiert sich langsam raus, wie ich mir die Scheiße an die Hacke geholt habe: Ich habe hier einen alten Adobe Reader in der Version 7 auf der Kiste und mein Flash hatte ich auch ewig nicht mehr aktualisiert (weil ich das viele Geblinke nicht brauche. Finde es ohne Flash viel angenehmer). Das war die Sicherheitslücke: c't - 03.06.09 - Zehntausende Webseiten fallen Massenhack zum Opfer Auf meinem Rechner wurde zumindest ein FTP Zugang ausgespäht und prompt hat derjenige die entsprechende Page mit Schadcode präpariert. Da infizierten sich jetzt all diejenigen, die unsere Seite angesurft haben (und nicht laufend die neuesten Windows/Office/Firewall/Antivir/Browser/Flash/divx/RealPlayer/dot.net/Adobe/undschlagmichtot-Updates gezogen haben). Naja, wunderbar. Jetzt weiß ich es. Webmaster werden gebeten auch ihr Scheiß Flash permanent aktualisieren... |
Zitat:
|
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board