Trojaner-Board - Hijack meines Firefox

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijack meines Firefox (https://www.trojaner-board.de/90145-hijack-meines-firefox.html)

ok, ist aber komisch oder? Dass ich das nicht einfach deinstallieren kann.

Mache folgendes windows + r taste -->

Zitat:

msiexec /x {26A24AE4-039D-4CA4-87B4-2F83216018FF}

(reinkopieren) --> ENTER

Na nun ist es zu spät, habe mich an deinen ungeänderten Beitrag gehalten und einfach die neue Java Version installiert.
Hier ist jetzt die Datei vom OTR Fix:

Code:

All processes killed

========== OTL ==========

Service wltrysvc stopped successfully!

Service wltrysvc deleted successfully!

File  C:\WINDOWS\System32\WLTRYSVC.EXE File not found not found.

Service AVKWCtl stopped successfully!

Service AVKWCtl deleted successfully!

File  C:\Programme\AntiVirenKit\AVKWCTL.exe File not found not found.

Service AVKService stopped successfully!

Service AVKService deleted successfully!

File  C:\Programme\AntiVirenKit\AVKSVC.exe File not found not found.

Service AppMgmt stopped successfully!

Service AppMgmt deleted successfully!

File  C:\WINDOWS\System32\appmgmts.dll File not found not found.

Prefs.js: "hxxp://search.bearshare.com/de/" removed from browser.startup.homepage

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE5D279F-081B-4404-994D-C6B60AAEBA6D} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE5D279F-081B-4404-994D-C6B60AAEBA6D}\ not found.

E:\AUTOEXEC.BAT moved successfully.

E:\Autorun.inf moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{010159d3-4b8d-11de-a5ec-00170834c2cd}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{010159d3-4b8d-11de-a5ec-00170834c2cd}\ not found.

File G:\GMXMUL~1\MESSENGR.EXE not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 114033 bytes

->Temporary Internet Files folder emptied: 74093 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

->Java cache emptied: 37562602 bytes

 

User: ****

->Temp folder emptied: 119202904 bytes

->Temporary Internet Files folder emptied: 3056921 bytes

->Java cache emptied: 7105423 bytes

->FireFox cache emptied: 98675787 bytes

->Flash cache emptied: 42364 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 260 bytes

->Temporary Internet Files folder emptied: 49554 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 3614087 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 431256 bytes

RecycleBin emptied: 149837272 bytes

 

Total Files Cleaned = 400,00 mb

 

 

OTL by OldTimer - Version 3.2.11.0 log created on 08292010_202717
 

Files\Folders moved on Reboot...

C:\WINDOWS\temp\Perflib_Perfdata_f4.dat moved successfully.
 

Registry entries deleted on Reboot...

Der Rest folgt gleich..

Du kannst den Schritt immernoch machen. Auch nach den anderen Schritten:

Mache folgendes windows + r taste -->

Zitat:

msiexec /x {26A24AE4-039D-4CA4-87B4-2F83216018FF}

(reinkopieren) --> ENTER

Wird dann nur das die alte Version deinstalliert? weil die Neue ist ja auch schon drauf, und die alte erscheint nicht mehr in der Softwareliste.

Ja da wird nur die alter entfernt :)

Guten Morgen,
ich habe gestern diesen Online Scan gemacht, der 4 Stunden gedauert hat, und als er bei meiner externen Festplatte festsaß und es schon dreivirtel 3 nachts war, habe ich den Scan gespoppt. Irgendwann wollte ich auch schlafen. :wtf:
Aber ich kann ja mal sagen, was gefunden wurde auf C, also da stand: threats found: a variant of Win32/Adware.ADON application.
Der hat die Probleme behoben, es in Quarantäne verschoben.Jedenfalls stand das da, nachdem ich Stopp geklickt hatte. Und dann hat er noch was von einer empfangenen ICQ-Datei gesagt, was ich nicht verstanden habe.
hier erstmal die Logdatei:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=2b07188a4e11e848aee38af78192b2ea

# end=stopped

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-08-30 12:45:33

# local_time=2010-08-30 02:45:33 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 34893188 34893188 0 0

# compatibility_mode=1797 16775125 100 100 126664 58624111 92880 0

# compatibility_mode=3584 16777191 100 0 0 0 0 0

# compatibility_mode=4096 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 95 95 0 0

# scanned=115232

# found=1

# cleaned=1

# scan_time=20332

C:\Dokumente und Einstellungen\****\Eigene Dateien\ICQ\*****\ReceivedFiles\467694461 bloody psycho\224563301 Daniel H\ICQ_Away_Reader_1.4_Setup.exe        a variant of Win32/Adware.ADON application (deleted - quarantined)        00000000000000000000000000000000        C

Ich hoffe das hilft dir. Und noch eine Frage. Im ESET Ordner befindet sich auch ein Ordner "Quarantine" und in dem befindet sich eine NQI-Datei. Ist das die befallene Datei? Was passiert wenn ich den gesamten ESET Ordner lösche? Lasse ich dann auch diese gefundene Adware "frei"? Das gleiche interessiert mich auch bei dem Programm Ad-Aware, kann ich dieses Programm wieder bedenkenlos deinstallieren?
Und was ist mit den ICQ files gemeint? War da was Verseuchtes dabei?
LG

Wart noch mit entfernen bis zum Schluss.

Wie läufts denn zur Zeit?

Antwortest du mir bitte trotzdem noch auf meine Fragen? ist mir wichtig das zu wissen.

Also falls du mit, wie läufts denn, die Seite meinst, die mein Firefox nicht anzeigt.. er zeigt sie auch jetzt noch nicht an, sondern will mich auf andere Seiten umleiten. :(

Was soll ich denn als nächstes machen, und wie lautet dein Fazit bis jetzt?
LG

Die Datei von ICQ wird asl Adware erkannt durch ESET.

Wenn Du Quatantäne löscht oder die Programme deinstallierst ist auch der Inhalt weg.

Lade GooredFix von einem der folgenden Mirrors herunter und speichere es auf Deinem Desktop

Download Mirror #1 - Download Mirror #2

Bitte unbedingt alle Firefox-Fenster schließen.
Doppelklick auf die GooredFix.exe, um das Programm zu starten.
Vista- und Windows 7-User mit Rechtsklick als Administrator starten.
Wenn Du dazu aufgefordert wirst, drücke "Yes".
GooredFix wird nach Infektionen suchen und ein Logfile erstellen und es öffnen.
Den Inhalt von GooredFix.txt bitte hier in den Thread posten.

Ok hab ich fertig:

Code:

GooredFix by jpshortstuff (03.07.10.1)

Log created at 12:42 on 30/08/2010 (****)

Firefox version 3.6.8 (de)
 

========== GooredScan ==========
 
 

========== GooredLog ==========
 

C:\Programme\Mozilla Firefox\extensions\

{972ce4c6-7e08-4474-a285-3208198ce6fd} [20:38 25/12/2006]

{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} [11:47 13/01/2009]

{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} [15:45 04/01/2010]

{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [18:02 29/08/2010]
 

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]

"{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [16:04 03/02/2009]

"{BBDA0591-3099-440a-AA10-41764D9DB4DB}"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\" [13:39 29/08/2010]

"jqs@sun.com"="C:\Programme\Java\jre6\lib\deploy\jqs\ff" [18:02 29/08/2010]

"{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\" [13:39 29/08/2010]
 

-=E.O.F=-

Und wäre es denn schlimm, wenn ich die erkannte Datei aus dem Quarantäne-Ordner einfach lösche?
Hatte schon mal irgendwann einen Trojaner, und dann habe ich die Datei gelöscht, ne Systemdatei und von da an, kann ich mein WLan nicht mehr über das HP-Programm aktivieren...

Ist noch nichts verändert?

Nein, immer noch unverändert.
Da steht dann immer unten im Browserfenster:
"Übertragen der Daten von tu.connect.wunderloop.net"

Hatte bisher immer Antivir free als Antivirenprogramm, was sagt der Experte dazu?
Habe aber zum testen jetzt Norton Internet Sequurity, was ist besser von den beiden?

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Systemtray-Icon was istn das? Dieses kleine Zeichen, was unten in der Taskleiste erscheint?
Hab ja gestern auch alle Antivirenprogramme deaktivieren müssen, ha b ich auch, aber der Prozess von Antivir war zB immer noch aktiv, und ich konnte ihn nicht killen. (Zugriff verweigert) Wenn die Firewall aus ist, erscheint ja unten immer dieses Windows Symbol, das besagt, dass der Computer gefährdet ist, und als ich darauf geklickt hatte, war unter "antivirenschutz" immer noch aktiv gekennzeichnet. Obwohl ich ja alles ausgeschaltet hatte. Also alles von Norton, und auch den Antivir-Guard.... das würde ich jetzt genauso machen. oder gibts noch nen andere Möglichkeit?