Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   -Bösartige Website blockiert-Tabs werden umgeleitet-VPN geht nicht- (https://www.trojaner-board.de/93846-boesartige-website-blockiert-tabs-umgeleitet-vpn-geht.html)

PetriSystems 17.12.2010 09:59

-Bösartige Website blockiert-Tabs werden umgeleitet-VPN geht nicht-
 
Guten Morgen.
Seit einiger Zeit habe ich folgende Probleme:
Beim Öffnen einer beliebigen Internetseite in IE8 ofer Firefox bringt AVAST5 die Meldung: Bösartige Website blockiert. Die Seite wird dann aber angezeigt. Offne ich jedoch einen Link im neuen Tab werde ich auf irgendwelche dubiosen Suchseiten weitergeleitet (irgendwas mit Conduit habe ich mal gelesen).
Des Weiteren nutze ich eine VPN-Verbindung mit dem SHREW-Client zur Fritz!Box, welche nicht mehr funktioniert (Tunnel wird zwar aufgebaut, jedoch keine Kommunikation zu entferntem Netz möglich).
Folgendes habe ich bereits unternommen: Scans mit diversen Programmen (AVAST, Trendmicro Sysclean, AdAware, Spybot,...)
Leider bekkomme ich Malwarebytes trotz Anleitung nicht zum Laufen, daher hänge ich fürs erste die Logs von Hijackthis und Sysclean an.

Ich hoffe hier kann mir geholfen werden.
MfG
PetriSystems

Ach ja, OS ist Win XP Prof SP3, Updates werden automatisch installiert

PetriSystems 17.12.2010 10:18

Sorry, hier kommen jetzt die Logs:
Anhang 11637

cosinus 17.12.2010 10:31

Zitat:

Leider bekkomme ich Malwarebytes trotz Anleitung nicht zum Laufen
Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

PetriSystems 17.12.2010 11:07

So, hat doch funktioniert.
Hier das (eher unauffällige) Logfile:

Malwarebytes' Anti-Malware 1.50
Malwarebytes

Datenbank Version: 5342

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.12.2010 11:04:57
mbam-log-2010-12-17 (11-04-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 191106
Laufzeit: 9 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

MfG
PetriSystems

cosinus 17.12.2010 11:08

Zitat:

Art des Suchlaufs: Quick-Scan
Mach bitte einen Vollscan!

PetriSystems 21.12.2010 10:38

Sorry dass es so lange gedauert hat, ich kam nicht früher an den PC. Hie der LOG vom vollständigen Scan:


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5365

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.12.2010 10:34:46
mbam-log-2010-12-21 (10-34-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 250241
Laufzeit: 32 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

MfG PetriSystems

cosinus 21.12.2010 11:44

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

PetriSystems 21.12.2010 13:06

Hier die Logs, Bitteschön:

cosinus 21.12.2010 13:50

Sieht unauffällig aus :dummguck:
Mach mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

PetriSystems 22.12.2010 11:24

Hier das Combofix-Logfile.
...hat immerhin mal was gefunden...

cosinus 22.12.2010 12:00

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

PetriSystems 22.12.2010 13:15

Hier die nächsten Logfiles

cosinus 22.12.2010 13:47

Wir müssen eine Datei ersetzen, bitte runterladen direkt nach c: ins Hauptverzeichnis => c:\mouclass.sys

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code:

/windows/system32/drivers/mouclass.vir
7. Kopiere die saubere Datei mouclass.sys von mir in den Systempfad:

Code:

mouclass.sys => /windows/system32/drivers/mouclass.sys
(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben, führ auch nochmal GMER auch und poste das neue Log!

PetriSystems 22.12.2010 16:37

Alle Schritte durchgeführt!
Die Fehler bezüglich des Browsers scheinen weg zu sein, auch AVAST meldet sich mehr. Meine Fritz Box kann ich per VPN leider noch nicht erreichen, da muss ich noch dranbleiben...
Trotzdem denke ich man kann diesen Fall als gelöst betrachten.

Vielen Dank für die schnelle Hilfe!!!
Die Datei hab ich hochgeladen und das GMER-Log angehängt.

MfG
PetriSystems

cosinus 22.12.2010 16:41

Den hattest du => VirusTotal - Free Online Virus, Malware and URL Scanner

Kein Wunder, dass dein Windows rumsponn :D
GMER zeigt nun auch keine verdächtigen Manipulationen mehr :)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131