Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit Safari - da sind/waren bei mir wohl Hijacker an Bord (https://www.trojaner-board.de/80583-problem-safari-waren-mir-wohl-hijacker-bord.html)

WhiteSam 20.12.2009 03:17

Problem mit Safari - da sind/waren bei mir wohl Hijacker an Bord
 
Hallo,

bin hier gelandet bei meiner Suche nach einer Problemlösung, und nun hab ich hier ein hübsches Protokoll, mit dem ich als Anfänger erst mal rein gar nichts anfangen kann:
Zitat:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3393
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19.12.2009 19:43:12
mbam-log-2009-12-19 (19-43-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 121301
Laufzeit: 21 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\fnhgz.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.
Das fing vor 3 oder 4 Tagen an, plötzlich gab es immer bei Logins im Firefox Fehlermeldungen. Besonders bedenklich war das für mich dann beim OnlineBanking. Dabei war die neueste Version FF installiert. Und - merkwürdig - diese Fehlermeldung konnte man ignorieren und einfach weiter auf der jeweiligen Webseite sein. Habe ich aber auf die Fehlermeldung geklickt kam der allseits bekannte Mozilla-Absturzmelder. Gestern hats mir dann gereicht - ich dachte ja dass das ein Mozilla-Problem ist - und ich startete Safari.

Safari startete aber nicht, stattdessen ein IE-Fenster, dass der Server nicht gefunden wurde :confused: also hab ich Safari neu installiert . . . kurz und gut: das hab ich dann noch 3mal wiederholt bis mir dämmerte, da ist was oberfaul. Bei meiner Suche im Netz bin ich dann hier gelandet und habe einer Empfehlung folgend mit Malwarebytes' einen SchnellScan durchgeführt.
:kaffee: So! Und was mach ich jetzt mit diesen Infos? Wer oder was ist Trojan.BHO oder Security.Hijack . . . und vor allem: WANN und WIE ist das auf meinem Rechner gelandet? Muss ich jetzt alle Passwörter ändern oder wie :cool:

Ich bin ziemlich verunsichert, einfach weil ich mich mit dem Thema nicht wirklich auskenne und außerdem schon die ganze letzte Zeit das Gefühl habe, dass Gefahr lauert. Hintergrund ist der, dass mein kleines Netzwerk bislang von einem Admin betreut worden ist, der hat sich auch immer um alle WindowsUpdates und SevicePacks und den ganzen Kram gekümmert. Seit fast einem Jahr läuft da nichts mehr, nennt man wohl böswilliges Verlassen :aufsmaul: jedenfalls hab ich mich mit dem überworfen und stehe jetzt etwas alleine da in der bösen feindlichen Computerwelt.
Aber nun hab ich ja euch hier gefunden :dankeschoen:

LG
Britta

kira 21.12.2009 09:15

Hallo und Herzlich Willkommen! :)

Nutzt Du den Computer nur beruflich bzw es geht um Firmenrechner?

gruß
Cf

WhiteSam 21.12.2009 10:12

Hallo Coverflow,

ja, es handelt sich um ein kleines Firmen-Netzwerk (Planungsbüro / CAD), bestehend aus:
1 Server (Win 2000)
1 Workstation (Win XPpro, hat sich aber vor einigen Monaten mit einem Bluescreen verabschiedet) derweil arbeite ich mit dem Vorgänger (Windows 2000) da ich alleine das Problem nicht lösen kann . . . wie schon erwähnt, der böse Admin hat mich im Stich gelassen :mad:
1 Notebook (Win XPpro, ebenfalls als Workstation definiert) über Wlan mit dem Netzwerk verbunden.
Die alles verbindende Software ist David Tobit, und das geht mir auch heftig auf die Nerven, denn dieser Admin hat hier etwas hinterlassen, was kein Außenstehender durchblicken kann, das hat System denke ich . . . nicht ohne "meinen" Admin :aufsmaul:
Alles ist irgendwie nicht richtig oder eigentlich gar nicht betreut, ich bin mit der Fülle der technischen Fragen leicht überfordert und daher im Augenblick sehr geneigt, den ganzen Krempel aus dem Fenster zu werfen und mich auf 'ne Südseeinsel zurückzuziehen :cool:

Da das nun nicht geht, muss ich weiter damit klarkommen. Ich überlege auch, ob es nicht besser wäre auf Linix umzusteigen, aber das ist eine ganz andere Baustelle.

LG
Britta

kira 22.12.2009 09:08

Hallo Britta!

Leider muss ich Dir mitteilen, dass wir aus diversen Gründen, beraten/betreuen keine Firmenrechner, Server usw. Hier werden ausschließlich nur Privatrechner supportet...

gruß
Cf

WhiteSam 22.12.2009 11:14

. . . ja heißt das, dass mir hier nicht geholfen wird, nur weil es sich auch um ein Firmennetzwerk handelt? Die private Nutzung habe ich natürlich nicht dargestellt, wozu auch. Das Problem hatte ich ja auf meinem Notebook, das in das Netzwerk eingebunden ist. Das klingt ja immer gleich so großspurig :D also mein "Firmen"netzwerklein befindet sich in unserem Haus, und es bedienen nur zwei Leute, nämlich mein Mann und ich . . . und wir sind hilflose Laien auf dem Gebiet.

BitteBitteBitte trotzdem um HILFE :heilig:

Wobei das "Problem" scheinbar beseitigt worden ist . . . vorerst. Ich traue dem Frieden aber nicht, vor allem wenn ich hier so querlese und sehe was für Probleme andere User haben.

Meine Sorge ist halt auch dass ich - ohne es zu wissen - schutzlos ausgeliefert bin, auch wenn ich sehr sorgfältig das I-Net nutze und bestimmt nicht unbedarft bin, also die Gefahren sind mir klar. Der Hintergrund ist der - wollte ich eigentlich soo persönlich nicht erzählen - dass ich zukünftig alles alleine regeln muss. Mein Mann ist schwer erkrankt und ich weiß ehrlich gesagt nicht wie es weitergeht. Wenn dann noch ernsthaftere Probleme mit der Technik auftreten, dann schmeiße ich alles hin, denn ich kann einfach nicht mehr.

Grüße (von einer leicht überforderten)
Britta

kira 23.12.2009 07:55

hi

Auf Deine eigene Verantwortung und Erfolg ist nicht garantiert! Kann sein trotz aller bemühungen, so dass Du dein System neu aufsetzen musst!
Die Reinigung dauert ein paar Tage, im Gegensatz dazu dauert eine Neuinstallation, also den Auslieferungszustand wieder herzustellen nur ein paar Stunden!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131