Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firefox öffnet falsche Internetseite/ System startet sehr langsam (https://www.trojaner-board.de/92087-firefox-oeffnet-falsche-internetseite-system-startet-sehr-langsam.html)

Frank0602 21.10.2010 20:14
Firefox öffnet falsche Internetseite/ System startet sehr langsam
 
Guten Abend,

dies ist mein erster Beitrag als Mitglied dieses Forums und ich möchte anmerken. dass ich im Bereich Viren/Malware etc. nur sehr wenige bis keine Kenntnisse habe.

Nun zum meinem Problem. Seit etwa 3 Tagen benötigt das Hochfahren meines Rechners außergewöhnliche lange. Bis ich zur Willkommensseite komme habe ich erstmal etwa für eine Minute einen Black Screen auf dem nur der Mauszeiger zu sehen ist. Danach kann ich mich zwar anmelden, jedoch vergeht danach wieder eine außergewöhnliche lang Zeitspanne ( 3 min.) bis ich wie gewohnt arbeiten kann (alle Programme geladen etc.) . Zusätzlich öffnet Firefox eine andere Adresse die ich öffnen wollte und außerdem werden zusätzlich tabs scheinbar willkürlich geöffnet.

Dieses Problem scheint nicht sehr unbekannt zu sein, darum hoffe ich dass wir es gemeinsam angehen und lösen können.

Ich habe den kompletten Load.exe Systemscan dem Leitfaden nach durchgeführt - dabei gab es keinerlei Probleme.

Im Anhang findet ihr die zahlreichen LOG files

Danke:dankeschoen:


- wollte gerade einen HiJackThis Log posten allerdings startet das Programm jetz nicht meht " Abhängigkeitsdienst oder Abhängigkeitsgruppe konnte nicht gestartet werden" dieses Problem ist aber erst nach der Durchführung der zahlreichen Load Scans aufgetreten

cosinus 23.10.2010 19:49
Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

Frank0602 27.10.2010 18:21
so habe hier jetz noch weiter Malware logs bei denen das Programm fündig geworden ist. Zusätzlich noch zwei HiJackThis Logs zur Auswertung.
Wenn ihr noch zusärtliche logs oder Infos braucht sagt bitte bescheid.

cosinus 27.10.2010 21:08
Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Frank0602 31.10.2010 22:53
So habe jetz malwarebytes aktualisiert und einen vollscan durchgeführt - allerdings konnte diesmal nichts mehr gefunden werden, was aber nicht heißt dass mein System einwandfrei funktioniert: es treten immernoch die selben Symptome auf ( sehr langsamer Bootvorgang, Google leitet auf falsche Links weiter, "Leere Seite" Internet Explorer erscheint und schließt sich sofort wieder). Zusätzlich ist es nicht mehr möglich ein Windows Update durchzuführen -> Funktion deaktiviert, bei manuellem Versuch erscheint jedesmal ein unbekannter Fehler und der Downloadvorgang bricht ab.

cosinus 31.10.2010 23:20
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
O33 - MountPoints2\{186f5a68-3bc3-11dc-a587-001921ed6adb}\Shell - "" = AutoRun
O33 - MountPoints2\{186f5a68-3bc3-11dc-a587-001921ed6adb}\Shell\AutoRun\command - "" = J:\pushinst.exe -- File not found
O33 - MountPoints2\{9d463e7d-c250-11de-83b4-00040efeed9b}\Shell - "" = AutoRun
O33 - MountPoints2\{9d463e7d-c250-11de-83b4-00040efeed9b}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -- File not found
O33 - MountPoints2\{e1e48227-e15d-11dd-805c-00030d000001}\Shell - "" = AutoRun
O33 - MountPoints2\{e1e48227-e15d-11dd-805c-00030d000001}\Shell\AutoRun\command - "" = J:\pushinst.exe -- File not found
O33 - MountPoints2\J\Shell - "" = AutoRun
O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\pushinst.exe -- File not found
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 100 bytes -> C:\ProgramData\TEMP:C31F31E6
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Frank0602 01.11.2010 14:42
der Vorgang hat reibungslos funktioniert- hier das log file

Frank0602 01.11.2010 14:45
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{186f5a68-3bc3-11dc-a587-001921ed6adb}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{186f5a68-3bc3-11dc-a587-001921ed6adb}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{186f5a68-3bc3-11dc-a587-001921ed6adb}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{186f5a68-3bc3-11dc-a587-001921ed6adb}\ not found.
File J:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9d463e7d-c250-11de-83b4-00040efeed9b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9d463e7d-c250-11de-83b4-00040efeed9b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9d463e7d-c250-11de-83b4-00040efeed9b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9d463e7d-c250-11de-83b4-00040efeed9b}\ not found.
File L:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e1e48227-e15d-11dd-805c-00030d000001}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e1e48227-e15d-11dd-805c-00030d000001}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e1e48227-e15d-11dd-805c-00030d000001}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e1e48227-e15d-11dd-805c-00030d000001}\ not found.
File J:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J\ not found.
File J:\pushinst.exe not found.
ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
ADS C:\ProgramData\TEMP:C31F31E6 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: J****
->Temp folder emptied: 2661150 bytes
->Temporary Internet Files folder emptied: 2129982 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 46996208 bytes
->Flash cache emptied: 1694 bytes

User: M*****
->Temp folder emptied: 6596 bytes
->Temporary Internet Files folder emptied: 161246 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44827009 bytes
->Flash cache emptied: 655 bytes

User: P***
->Temp folder emptied: 2281 bytes
->Temporary Internet Files folder emptied: 43807 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49364 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 92,00 mb


OTL by OldTimer - Version 3.2.16.0 log created on 11012010_143608

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 01.11.2010 18:18
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Frank0602 02.11.2010 20:48
Obwohl ich der obigen Anleitung haargenau gefolgt bin ist alles was ich erhalte ein grüner combofix Ladebalken und danach einen Blue Screen mit folgendem Inhalt: "Um Schaden zu verhindern....darunter IRQL_NOT_LESS_OR_EQUAL".
Ich habe das System vorher mit dem CCleaner gereingt, alle Antivirenprogramme etc. geschlossen und zusätzlich die Internetverdindunge gekappt.:wtf:

cosinus 03.11.2010 13:12
Starte den Rechner neu, lösch die alte cofi.exe, lad CF neu als cofi.exe herunter und probier es bitte nochmal. CCleaner brauchst Du nicht nochmal durchlaufen zu lassen.

Frank0602 04.11.2010 19:07
Tut mir leid aber wenn ich ComboFix überhaupt zum Laufen kriege, stürzt mein System spätestens während des Scanvorgangs ab, dabei variiert der Zeitpunk der Abstürtze von Schritt 2 bis 33. Ich erhalte immer einen Bluescreen als würde sich mein System gegen ComboFix wehren :wtf:

Z.B.:

Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.0.6002.2.2.0.768.3
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: be
BCP1: 8348F75D
BCP2: 876D9121
BCP3: 8BF677D4
BCP4: 0000000A
OS Version: 6_0_6002
Service Pack: 2_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\Mini110410-01.dmp
C:\Users\M*****\AppData\Local\temp\WER-89326-0.sysdata.xml
C:\Users\M*****\AppData\Local\temp\WER3014.tmp.version.txt

cosinus 04.11.2010 19:23
Hm, wenn CF nicht will...
Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131