Hijack meines Firefox
 

Hallo,
ich habe folgendes Problem mit meinem Firefox Version 3.6.8. :
Wenn ich bei google ein bestimmtes Wort suche, werden mir zwar Ergebnisse angezeigt, doch wenn ich auf ein bestimmtes Ergebnis klicke, und die Seite öffnen möchte (Focus, das Online magazin), dann sehe ich für einen kurzen Augenblick den Inhalt dieser Seite. Im nächsten Augenblick ist die Seite jedoch komplett weiß. Unten im Browser-Fenster steht dann "angehalten", wenn ich dann in der Navigationsleiste auf "aktualisieren" klicke, will mich Firefox auf mir unbekannte Seiten weiterleiten. Die angezeigte weiße Seite, bleibt jedoch weiß..
Mit dem InternetExplorer kann ich das entsprechende Ergebnis der Google-suche problemlos öffnen.
Da ich nicht wirklich bewandert bin, was Computersachen angeht, habe ich versucht mich in Foren zu informieren, und darum einige Programme über mein System laufen lassen:

Ich habe zunächst ersteinmal Spybot über mein System laufen lassen. Es wurden einige Spyware gefunden, die ich mit dem Tool gleich entfernt habe.

Desweiteren habe ich mein System mit Ad-Aware checken lassen, dabei wurde ein Trojaner namens: Trojan.Win32.Generic!BT gefunden. Diesen habe ich dann entfernt. Jedenfalls hoffe ich, dass dieser nun unschädlich gemacht wurde.
Schlussendlich habe ich mit Hijack-This einen Scan getan und folgende log-Datei erhalten:
Nach alldem, habe ich versucht, das google-Ergebnis anzeigen zu lassen, und wieder wurde nur eine weiße Seite angezeigt.
Kann mir jemand sagen, wie ich das Problem beheben kann?
LG rainforest

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Ok also die Logfiles vom OTL Scan sind hier:
und hier der 2.:
Ich habe da gleich nochmal ne frage, ist das Programm "Virtuel Clone Drive" auch ein CD- Emulgator? also sollte ich das deinstallieren bevor ich den Rootkit-Scan durchführe?

LG rainforest

Lass einfach den Defogger laufen wie in der Anleitung erwähnt.

Hey also ich hab jetzt alles nach anleitung gemacht aber dabei ist ein problem aufgetreten:
Wenn ich den Gmer starte, scannt der auch einige zeit, aber dann stürzt das system ab. einmal musste ich meinen Laptop selbst manuel ausschalten, weil er nicht mehr reagiert hat, und beim 2. mal hat er von selbst neu gestartet.
Nochmal möchte ich so einen Absturzt eigendlich nicht riskieren.
Was soll ich jetzt tun?
Beim defoggen ist folgendes herausgekommen:
Bin jetzt ratlos... :confused:
Und sah der Scan mit OTL normal aus?

Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

Schritt 3

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 4

Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  http://image.hijackthis.eu/upload/activex1.jpg
  .

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Ohje das ist ja schon wieder soooo viel zu beachten.
Und was bringt das ganze am Ende??
Der Teatimer war übrigens aus... also das Häckchen, war eben schon weg, als ich geschaut hab...

Hmmm Grundsatzfrage:
Wieso hast Du hier dein Problem gepostet?
Respektive, was war dein Hintergedanke (Ziel) dabei?

Waren das nicht Deine Worte?

ja sicher, möchte ich dass mir geholfen wird, aber ich verstehe nicht wie es mir helfen wird, dass ich hier irgendwelche logfiles poste...
Und warum muss ich alle Java versionen deinstallieren, kann ich nicht einfach ein Update machen?
Und welche der Versionen auf der Seite von Java, soll ich nehmen? Da gibts offline, und online Versionen mit unterschiedlicher Größe...jedenfalls für Windows.

Ich denke nicht dass ich Dir jeden Schritt begründen muss. Falls Du das wünscht dann gehe zu einem IT Spezialist. Jeder Schritt hier hat seinen Grund.

Mach einfach was in den Anleitungen steht. Wenn du genau lesen würdest dann würde sich die Frage beantworten:

Ohh entschuldige... hab ich wohl überlesen...Offline.
Dann versuche ich mal mein Glück ;)
Ach ja da hab ich gleich noch ne Frage, muss ich J2SE Runtime Environment 5.0 auch entfernen?
Und wenn ich Java deinstallieren möchte, werde ich aufgefordert ein Programm mit dem dazugehörigen Prozess: jqs.exe zu schließen.Da das aber ein Systemprozess ist, und ich nicht weiß zu welchem Programm er gehört, wollte ich ihn nicht einfach beenden... oder kann ich das ruhig über den Taskmanager?

Alle Java Versionen :) Also weg damit ;)

ach ich hab schon, ich kann das deaktivieren vorher.
Sorry dass ich dich schon wieder mit einer PN genervt habe.

also ich hab jetzt dieses Runtime deinstalliert, das andere Java 6 Update 18, lässt sich nicht deinstallieren. Der Windows Installer sagt immer, er ermittelt erforderliche Daten, und danach passiert nichts. Es wird auch weiterhin in der Software Liste angezeigt. Was nun?
(den Quick-Starter hatte ich vorher deaktiviert und PC nochmal neu gestartet)

Dann installiere einfach die Neue Version.

ok, ist aber komisch oder? Dass ich das nicht einfach deinstallieren kann.

Mache folgendes windows + r taste --> (reinkopieren) --> ENTER

Na nun ist es zu spät, habe mich an deinen ungeänderten Beitrag gehalten und einfach die neue Java Version installiert.
Hier ist jetzt die Datei vom OTR Fix:

Der Rest folgt gleich..

Du kannst den Schritt immernoch machen. Auch nach den anderen Schritten:

Mache folgendes windows + r taste --> (reinkopieren) --> ENTER

Wird dann nur das die alte Version deinstalliert? weil die Neue ist ja auch schon drauf, und die alte erscheint nicht mehr in der Softwareliste.

Ja da wird nur die alter entfernt :)

Guten Morgen,
ich habe gestern diesen Online Scan gemacht, der 4 Stunden gedauert hat, und als er bei meiner externen Festplatte festsaß und es schon dreivirtel 3 nachts war, habe ich den Scan gespoppt. Irgendwann wollte ich auch schlafen. :wtf:
Aber ich kann ja mal sagen, was gefunden wurde auf C, also da stand: threats found: a variant of Win32/Adware.ADON application.
Der hat die Probleme behoben, es in Quarantäne verschoben.Jedenfalls stand das da, nachdem ich Stopp geklickt hatte. Und dann hat er noch was von einer empfangenen ICQ-Datei gesagt, was ich nicht verstanden habe.
hier erstmal die Logdatei:

Ich hoffe das hilft dir. Und noch eine Frage. Im ESET Ordner befindet sich auch ein Ordner "Quarantine" und in dem befindet sich eine NQI-Datei. Ist das die befallene Datei? Was passiert wenn ich den gesamten ESET Ordner lösche? Lasse ich dann auch diese gefundene Adware "frei"? Das gleiche interessiert mich auch bei dem Programm Ad-Aware, kann ich dieses Programm wieder bedenkenlos deinstallieren?
Und was ist mit den ICQ files gemeint? War da was Verseuchtes dabei?
LG

Wart noch mit entfernen bis zum Schluss.

Wie läufts denn zur Zeit?

Antwortest du mir bitte trotzdem noch auf meine Fragen? ist mir wichtig das zu wissen.

Also falls du mit, wie läufts denn, die Seite meinst, die mein Firefox nicht anzeigt.. er zeigt sie auch jetzt noch nicht an, sondern will mich auf andere Seiten umleiten. :(

Was soll ich denn als nächstes machen, und wie lautet dein Fazit bis jetzt?
LG

Die Datei von ICQ wird asl Adware erkannt durch ESET.

Wenn Du Quatantäne löscht oder die Programme deinstallierst ist auch der Inhalt weg.


Lade GooredFix von einem der folgenden Mirrors herunter und speichere es auf Deinem Desktop

Download Mirror #1 - Download Mirror #2

• Bitte unbedingt alle Firefox-Fenster schließen.
• Doppelklick auf die GooredFix.exe, um das Programm zu starten.
• Vista- und Windows 7-User mit Rechtsklick als Administrator starten.
• Wenn Du dazu aufgefordert wirst, drücke "Yes".
• GooredFix wird nach Infektionen suchen und ein Logfile erstellen und es öffnen.
• Den Inhalt von GooredFix.txt bitte hier in den Thread posten.

Ok hab ich fertig:
Und wäre es denn schlimm, wenn ich die erkannte Datei aus dem Quarantäne-Ordner einfach lösche?
Hatte schon mal irgendwann einen Trojaner, und dann habe ich die Datei gelöscht, ne Systemdatei und von da an, kann ich mein WLan nicht mehr über das HP-Programm aktivieren...

Ist noch nichts verändert?

Nein, immer noch unverändert.
Da steht dann immer unten im Browserfenster:
"Übertragen der Daten von tu.connect.wunderloop.net"

Hatte bisher immer Antivir free als Antivirenprogramm, was sagt der Experte dazu?
Habe aber zum testen jetzt Norton Internet Sequurity, was ist besser von den beiden?

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Systemtray-Icon was istn das? Dieses kleine Zeichen, was unten in der Taskleiste erscheint?
Hab ja gestern auch alle Antivirenprogramme deaktivieren müssen, ha b ich auch, aber der Prozess von Antivir war zB immer noch aktiv, und ich konnte ihn nicht killen. (Zugriff verweigert) Wenn die Firewall aus ist, erscheint ja unten immer dieses Windows Symbol, das besagt, dass der Computer gefährdet ist, und als ich darauf geklickt hatte, war unter "antivirenschutz" immer noch aktiv gekennzeichnet. Obwohl ich ja alles ausgeschaltet hatte. Also alles von Norton, und auch den Antivir-Guard.... das würde ich jetzt genauso machen. oder gibts noch nen andere Möglichkeit?

Hast Du zwei AV Programme?

ja aber erst seit gestern. Habe aber Noton nur zum Test drauf, und dafür Antivir ausgestellt. Jedenfalls dachte ich, dass es ausgestellt ist, doch dann hab ich gesehen, dass der Prozess trotzdem noch läuft.

Was soll das bitte? Hab ich irgendwo geschrieben dass Du ein zweites AV Programm installieren sollst?

Wenn Du selber mit Deinem Problem fertig werden willst dann musst Du es nur sagen.

Dies hast Du ja hoffentlich gelesen in meinem ersten Beitrag:

Also mach NUR WAS ICH SAGE oder dann müssen wir hier ein Ende setzen.

ich hab das nicht während eines Scans installiert. Und ich habe es doch ausgeschaltet, bevor ich die anderen Sachen gemacht hab... Ich dachte eben das findet noch was anderes ...
Und wie gehts jetzt weiter?
Was ist denn jetzt mit dem Prozess, war das schlimm, dass der noch lief?

Hälst Du Dich an die Regeln?

Dann entferne nun Norton wieder mit diesem Remover komplett von Deinem System.

Deaktiviere per Klick auf den Avira Schirm den Guard und führe dann Combofix aus.

Ja mache ich... aber das schöne Programm :heulen:
Ok also ich folge jetzt deinen anweisungen.
Bis gleich.

Es ist Adware , also mit Werbung gespickt..

soooo! Oh man, ich hatte ein ungutes Gefühl bei der Sache eben.
Wird das jetzt immer so sein, mit dem Anmeldebildschirm?? Also dass der schwarz ist und ich da zwischen 2 Sachen wählen kann?
Da stand über meiner XP Home Version noch was anderes, konnt ich so sch nell aber nicht erkennen. Und wozu der neue Wiederherstellungspunkt? Der ComboFix musste dazu was von der Windows-Seit laden.
Hier jetzt die log Datei :
Ahhhrr da steht überall mein Name drin, den kann ich doch net überall rauslöschen??

Was sagst du dazu?
Achja hab grad mal drübergeschaut, da steht was von Norton, ich habe das aber nach deiner Anleitung deinstalliert, nur damit das klar ist! ;)

Und die Seite (Firefox) wird immer noch nicht angezeigt.. Und ich habe gerade festgestellt, dass ich auch andere Focus-Artikel nicht angezeigt werden, wenn ich die Google Ergebnisse anklicke

Also das mit der Auswahl ist die Recovery. Diese ist sehr nützlich und dort musst Du ja nichts auswählen. Verstehe ich Dich richtig, immernoch Umleitungen?

korrekt.
Und eben als ich ins Netz wollte ging der firefox nicht auf. Habe dann gesehen, dass der Prozess noch lief, obwohl ich den firefox schon lange geschlossen hatte. Der Prozess ließ sich auch nicht beenden.
Jedesmal wenn ich den Taskmanager öffne, sehe ich dass meist zweimal der Prozess CLI.exe läuft. warum ist der denn 2 mal vorhanden? und warum habe ich generell immer so viele Prozesse am Start? Sind momentan 54, und ich habe nur Firefox geöffnet, sonst nichts.
Ist das nicht ein bisschen viel?

Was außerdem an meinem Firefox komisch ist, ist, dass er keine Chronik über eine Woche anlegt. Obwohl ich, nie angekreuzt hatte, dass er die nur 1 woche speichern soll. Hatte ihn deswegen schonmal deinstalliert, und danach wieder neu... aber das Problem besteht immer noch.
Alles was älter als 7 Tage ist, wird gelöscht.

Und ja, als ich eben neu gestartet habe, habe ich gelesen, dass es Recovery Console heißt.
Brauche ich das irgendwann einmal?

Schritt 1

ProcessExplorer als Ersatz für den Windows Taskmanager installieren

Lade Dir den Process Explorer als Ersatz für den Taskmanager herunter und installiere ihn, hier findest Du eine Anleitung. Das ist ein wesentlich leistungsfähigerer Ersatz für den Windows-Taskmanager. Im Menü unter "Options" kannst Du den ProcessExplorer dauerhaft als Ersatz für den Taskmanager einrichten (Replace Taskmanager). Das ist sehr empfehlenswert, weil der ProcessExplorer erheblich mehr Funktionen als der Taskmanager hat. Wenn Du diese Einstellung gemacht hast, öffnet sich mit der Tastenkombination STRG + ALT + Entf. nicht mehr der Taskmanager, sondern der ProcessExplorer. Das kann jederzeit durch Abhaken dieser Einstellung wieder rückgängig gemacht werden.

Was wir jetzt konkret brauchen: In jeder Zeile steht ein Prozess, ein paar der Zeilen sind keine richtigen Prozesse, sondern nur Pseudoprozesse für die Tätigkeit des Windos-Kernels. Im Menü View => Select Columns wird ein Dialog geöffnet, in dem Du auswählen kannst, welche Spalten mit Informationen zu den Prozessen angezeigt werden sollen. In dem gehe in das Register "Process Performance" und stelle sicher, dass dort "CPU Usage" angehakt ist, "CPU History" wäre ebenfalls sinnvoll. Unter "CPU Usage" wird der aktuelle Wert der Prozessorauslastung für jeden Prozess angezeigt (im Tabellentitel steht nur kurz "CPU"), "CPU History" blendet für jeden Prozess ein Diagramm ein, das eine Kurve mit der Prozessorauslastung für die letzte Zeit anzeigt.

Damit sollte es Dir möglich sein, zu identifizieren, welcher Prozess Deine CPU in Trab hält. Mache einen Doppelklick auf den Prozess. Du kannst von dem ganzen auch einen Screenshot machen und ihn als Anhang mit Deiner Antwort hochladen (auf "Erweitert" unter dem Textfeld klicken und über "Anhänge verwalten" auf Deinem Rechner suchen lassen und über "Hochladen" anhängen).

Schritt 2

Downloade Dir bitte RKUnhookerLE und speichere die Datei auf deinem Desktop.

• Deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Starte die RKUnhookerLE.exe
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei

  • Drivers
  • Stealth Code

• Entferne alle anderen Hacken
• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde

  File --> Save Report

  klicken.
• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close

Hinweis: Solltest Du folgende Warnung bekommen einfach ignorieren.

Schritt 3

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVPM
• Dort aud "Install extended monitoring driver" drücken
• AVZ wird nun einen Neustart verlangen, also neustarten.
• Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Perform healing:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  http://image.hijackthis.eu/upload/avz.jpg
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.

Hinweis: Solltest Du folgende Warnung bekommen
Zitat:
"Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?"
einfach ignorieren.
Ignorieren heißt, auf JA, oder OK klicken??

Ich habe jetzt 2 Screenshots gemacht, kann die aber hier nicht hochladen... Die Doc. Datei ist zu groß und das mit Paint gespeicherte Bild kann hier nicht geladen werden...

Du kannst die Meldung einfach weg klicken. Drück auf OK.

möchtest du sehen was dieses RKU gefunden hat?
dann hier ;) :
Gut dann wage ich mich jetzt an das AVZ Programm.

So das AVZ, da habe ich nun ein Update gemacht und "Extended monitoring drivers" installiert. Es wurde aber kein Neustart verlangt, und bei mir steht rechts nichts von "Perform healing" sondern "Enable Malware removal mode".
Also setze ich jetzt davor das Häkchen oder? Mache ich jetzt einfach.

So der AVZ Scan ist finished.
Hier die log-Datei:
Was soll ich als nächstes tun?

Was ist damit: Schritt 1!

Ich habe bereits gesagt, dass der Versuch die Screenshots hochzuladen, fehlgeschlagen ist!

Aber siehst du selber komische Einträge?

Nein ich sehe da nichts außergewöhnliches. Kenne mich damit aber auch nicht aus.
Ich habe jetzt meinen Bildschirm fotografiert,als ich gerade den Prozessexplorer geöffnet hatte.
Jetzt kannst du ja schauen, ob etwas nicht in Ordnung ist.

Hier noch ein zweites..

Schritt 1

Wende bitte CureIT von Dr. Web an und poste mir das Log.

Schritt 2

Nun noch einen Scan mit Superantispyware bitte.

So jetzt ist mein system völlig zusammengestürtzt, nach dem "CureIT". jetzt kann ich alles neu machen

Ist sicherlich auch nicht falsch wenn Du das System neu aufsetzt. Da muss irgendwo tief ein Rootkit sitzen.

Es blieb mir ja auch nichts anderes übrig.
So es läuft wieder, aber ich habe da noch eine frage. Ich hab ja mein system mittels Recovery-Disks neu aufgesetzt. Und nun besteht auch wie vorher neben C noch die Partition D "HP_Recovery". immer wenn ich meinen PC nun neu starte meldet mir Antivir, dass es von D: "Autorun.inf" blockiert.
Ist das normal/gut? Oder sollte ich bei den Antivir-einstellungen etwas ändern?
Lg

Ist dann dieses Recovery von HP erstellt? Also du hast das ganze System neu aufgesetzt oder?

Na es ging ja nichts mehr, man konnte nicht in den abgesicherten Modus kommen, und auch nach drücken für F11 für "Widerherstellung" kam nur ein Bluescreen. Da stand dann dass die Festplatte möglicherweise beschädigt ist und nicht beschreibbar...
Wir haben dann einfach meine erstellten Recovery CDs reingetan.. und jetzt ist eben alles neu. Die Partition "HP Recovery" bestand aber schon, seitdem ich die Recovery Cds vor 4 Jahren erstellt hatte. War erstaunt, als ich heute gesehen hab, dass sie auch weiterhin da ist..?
Habe nur keine Ahnung was Antivir jetzt für ein Problem hat...
Aber es hat ein Gutes: jetzt wird mir der Artikel beim Firefox angezeigt..

Und nochmal was zu den Prozessen, da ich das System jetzt wieder neu habe, sollte doch eig das Problem mit den vielen Prozessen behoben sein oder?
Aber als ich eben geschaut habe, war zB der Prozess svchost.exe mehrmals vorhanden. und zwar 2 mal als Systemprozess, dann noch einmal als Lokaler dienst und als Netzwerkdienst.. ist das normal?

Ja das mit den Prozessen ist normal, aber wieso die alte Recovery immernoch auf dem System ist ist mir nicht klar. Nach welcher Anleitung hast Du denn neu aufgestezt? format C?

Nein, also wir haben nur eingestellt, dass von CD gebootet werden soll, und das wars. Dann die Recovery Disks reingeschmissen und fertig.

hey ich habe gerade festgestellt, dass auf C jetzt Dateien erschienen sind, seit dem Booten mit namen: Boot32.w2k und BOOTSEC.32 und bootsec
kann ich diese löschen?

Das ist keine Neuinstallation. Du musst alles formatieren und dann neu aufsetzen. Kann man sicher bei der Recovery CD auswählen.

Wie macht man das?
Als wir die Recovery Cd reingeschoben haben, hat der alles andere allein gemacht. Mussten dann nach und nach die restlichen 12 Cds einpacken...
Also sobald die Cds drin waren, hat der die dateien kopiert.

Ich gehe einmal davon aus dass diese CD's alle mit dem System mitgeliefert wurden? Dann hast Du sicherlich eine Auswahl beim booten? Was wählst Du dort aus?

Ich habe sie selbst nach Anleitung von HP erstellt... Da konnte man nichts anklicken, nachdem man sie ins Laufwerk getan hatte. Außer, "Systemwiderherstellung beginnen"..

Ich habe aber gerade in der HP-Hilfe geschaut und folgendes gefunden:

Wenn meine erstellten RecoveryDisks also dieser ASR entsprechen, dann ist es ja ok, dass auch die Recovery Partition widerhergestellt wurde.Weil im Text heißt es ja, dass ASR alle Partitionen und Volumes widerherstellt.
Kann ich meinen PC jetzt nicht einfach so lassen?

Habe in einem Forum gelesen,dass man das System auf den Ausgangszustand zurücksetzen kann.

Geht das bei mir auch, und wenn ja, sollte ich das so probieren?
Denn wie ich alles neu formatieren soll, weiß ich nicht, und ich habe auch keine Windows-Cd zu meinem Lappi mitgeliefert bekommen.

Und ich habe gesehen, dass ich mit meinem "HP Backup und Recovery Manager" auch das ganze System widerherstellen kann. Entspricht diese Widerherstellung auch einer Formatierung nach C?

Ja in diesem Fall kannst Du es so belassen. Hast Du denn noch Probleme?

Also du meinst, ich brauche das System nicht nochmal neu aufsetzen?
Nein ich habe eigendlich kein weiteres Problem, mich würde aber interessieren, ob nun noch Restgestände des alten Systems vorhanden sind, und ich gegenbenfalls einige Dateien (zB Emails) widerherstellen könnte.
Und was nun mit der Meldung meines Antivirenprogramms aussagt. Es meldet ja immernoch (nicht nur nach Systemstart, auch zwischendurch) dass es "Autorun.inf" (von der Recovery Partition) blockiert. Was würde denn passieren, wenn ich mein Antivir mal deaktiviere, und dieses autorun ausgeführt wird?

Wenn es formtiert wurde dann kannst Du nicht wieder herstellen. Die Autorun.inf kannst Du löschen ;)

Mh aber ich weiß ja nicht,ob es nun formatiert wurde. Da ich ja jetzt wesentlicher weniger Dateien und Programme drauf habe als vor der widerherstellung und Antivir für den SuchDurchlauf trotzdem noch über Stunden braucht, kann ich nicht glauben, dass alles "alte" auch wirklich runter is.
Kann ich das nicht rausfinden?
Und wie soll ich autorun.inf löschen, wenn es sich in der Recovery Partition befindet?
Also würde nichts passieren?

Hallo habe da noch eine Frage: ich habe jetzt auf C einen ordner der heißt: System.sav,
der war vorher nicht da. Ist der Ordner wichtig oder kann der gelöscht werden?

system.sav ist eine Registry-Datei, in der der Hive HKLM der vorigen Konfiguration gespeichert ist. Aber ich bin auch kein Experte auf diesem Gebiet. Ich denke nicht dass Du diese löschen darfst. Aber eigentlich solte es doch ohne Probleme gehen mit einer Recovery CD das System in den Urszustand zu setzen.

Kommt die Avira MEldung noch?

Ja sie kommt noch...

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Hey also es gibt ja keine Funde, also kann ich auch keine Funde exportieren. Da stehen nur Einträge zu Information und Warnung drin, keine Fehler, keine Funde.
Wollte dann die Warnungen exportieren,aber da stand im file dann nur sowas (Antivir Premium):

10.09.2010 14:22 [ProActiv] ProActiv deaktiviert
ProActiv wurde deaktiviert.

Aber das hat ja nichts mit der Recovery Partition zu tun. Bei dem kostenlosen Antivir wurde mir ja auch etwas von autorun.. gemeldet.

Das Problem ist anscheinend bei Avira bekannt.
http://forum.avira.de/wbb/index.php?...hreadID=117043

Ich meinte auch die Meldung mit Autorun.inf ob diee noch kommt?

Ja die Meldung kommt noch.