Trojaner-Board - Proxy wird automatisch eingestellt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Proxy wird automatisch eingestellt (https://www.trojaner-board.de/98880-proxy-automatisch-eingestellt.html)

Proxy wird automatisch eingestellt

Hallo,

seit gestern habe ich das Problem, dass Firefox 4 sowie IE bei jedem Start
die Interneteinstellungen auf ProxyServer automatisch umstellen. Ich bekomme also keine Verbindung. Stelle ich dies um auf "automatisch" klappt alles prima. Nach jedem Browserneustart werden die Einstellungen jedoch wieder überschrieben. System ist Windows7 Ultimate.

Im Hijack Log steht ebenfalls:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50222
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

Das sieht mir verdächtig aus, aber ich bin Laie was das betrifft.

Habe die Anleitungen hier alle aufmerksam durchgearbeitet, jedoch ohne Ergebnis :-(

Aus irgendeinem Grund kann ich die *.txt Logfiles nicht hochladen.
Habe daher alle in eine Zip datei geladen, das klappt.

Inhalt der logs.zip:

gmer.txt
Extras.txt
OTL.txt
hijackthis.txt

Ich hoffe es kann mir jemand helfen.

Viele Grüße,
Philadou

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo,

anbei das Combofix Log.

Viele Grüße,
Philadou

hi,
öffne mal bitte computer c: qoobox rechtsklick auf quarantain, mit winrar oder zip packen, im upload channel hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

so, habe ich soeben laut Anleitung im upload channel hochgeladen.
Müsste ich hier ein Ergebnis sehen?

Grüße & übrigens Danke für die Hilfe :-)
Philadou

nein, die datei soll ja nicht für jeden sichtbar sein.
sehe sie mir an.
download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

so, malwarebytes ist fertig mit suchlauf.
Funde entfernt - Logfile anbei.

Jedoch hat das noch nichts gebracht. Der Proxy stellt
sich immer noch jedesmal von selbst um :-(

c:\mobackup.v.5.0.german.winall.portable\mobackup.exe (Trojan.Agent) -> Quarantined and deleted successfully.
woher stammt diese version?

Ohhh...keine Ahnung...die hab ich mal runter geladen.
Ist aber schon ein paar Monate her. Ich benutze diese Version eigentlich auch schon seit mindestens 6 Monaten und hatte nie Probleme. Klar, wie das aussieht ist die datei wohl infiziert. Aber wenn dieser Trojaner für die Proxy umstellung verantwortlich sein soll, warum passiert das dann erst jetzt und nicht schon vor Monaten?

Hmm

ja, das problem ist, das dies ein illegaler download ist, und wir soetwas hier nicht unterstützen.
wer filesharing etc nutzt der muss eben mit trojanern etc rechnen.
heut zu tage gibts nun mal nichts oder kaum was umsonst.
es gibt zu fast jedem programm kostenlose alternativen, und wer was kostenlos haben will, muss danach suchen.
dir würde es auch nicht gefallen, wenn du von deinem arbeitgeber geld erwartest und er zahlt nicht.
da dieser download offensichtlich illegal ist, und wir, wie gesagt, so was nicht unterstützen, bekommst du hier nur hilfe beim formatieren und neu aufsetzen.
danach zeige ich dir, wie du das system absicherst, falls erwünscht.

Aber das ist doch gar keine illegale Version.
Das ist lediglich eine portable Version von MObackup mit eingeschränkten Funktionen
mit der man nur eine *.pst Datei sichern kann.
Das habe ich auf irgendeiner Seite mal runtergelden.
Da steht ja auch Shareware wenn man die Software öffnet.
Ich hab ja kein einziges Programm wie Emule oder wie diese Filesharing Programme heißen installiert.

Wie gesagt, zudem glaube ich nicht, dass dieses Programm dafür verantwortlich ist. Ich nutze es ja schon seit Monaten und das Problem mit der Proxy Umstellung ist erst seit 2 Tagen. Aber ich lasse mich natürlich gern eines Besseren belehren. Du kennst Dich mit der Materie sicherlich 99 % besser aus als ich ;-)

ok, der datei name sah nur merkwürdig aus, nach filesharing...
nichts für ungut :-)
http://www.trojaner-board.de/74908-a...t-scanner.html
poste mal nen gmer report

sooo....anbei der Gmer Log.
Für mich sieht das alles spanisch aus, aber Dir sagt das sicherlich was :-)
Konnte im "Upload-Manager" irgendwie den Log nicht als *.txt hochladen.
Hab die *.txt in ne *.zip gehängt, das ging.

hmmm....das Programm hat nichts gefunden :-(
Anbei der Log.

P.S.: Sollte ich Microsoft Street und Trips deinstallieren?
Im letzten GMER Log wurde die Software ja aufgeführt.
Oder hat das nichts zu bedeuten?

nein hat nichts zu bedeuten.
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Also ich hab nur ein paar unbekannte die zu Microsoft Familie gehören, die aber sicherlich irgendwelche Systemupdates sind.

Alle anderen installierten Programme benötige ich, deshalb hab ich da auch nicht "benötigt" hingeschrieben, da ich alle irgendwie brauche und mir auch bekannt sind.
Ich gehe regelmäßig hin und lösche alles was ich nicht mehr brauche,
von daher ist nicht wirklich viel Altlasten-Software installiert.

Anbei die Datei

1. lade cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
2. schalte alle programme ab, e scanne aber, anders als beschrieben, im normalen modus.
der schnell scan reicht erst mal, ergebnisse posten.

hello again.

Ich glaube das posten des Logs kann ich mir sparen (zudem ist die Log Datei 13 MB groß).

Gesamtsitzungsstatistik
=============================================================================
Gescannt: 66158
Infiziert: 0
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 350 Kb/s
Dauer:: 0:43:05

Irgendwie wäre ich froh gewesen wenn endlich ein Virus gefunden wird und man weiß woran man ist. Schon echt merkwürdig das Ganze.

Könnte es nicht auch sein dass mein System sauber ist, und das proxy Problem irgendwo anders her kommt?

Grüße & gute Nacht

Nochwas...wenn ich in der Firefox Adressleiste about:config eingebe, dann erscheint folgendes Fenster:

http://www.imageshost.de/img/jpg/b0a...013270aa19.jpg

Bei den fett markierten Einträgen sieht man ja, dass der Proxy
auf localhost eingestellt ist. Ich habe auch schon die 3 Werte jeweils auf "0" gesetzt, aber nach dem firefox Neustart sieht alles wieder so aus wie auf dem Bild. Firefox merkt sich einfach die Einstellung nicht, oder halt ein trojaner stellt das jedesmal neu um.

Ach jeh, ich krieg noch die Krise.

hast du denn irgendwas neues instaliert? programme, erweiterungen für den browser etc.

Also nicht das ich wüßte...jedenfalls nicht an dem betreffenden Tag.
Gibt es irgendwo eine History wo man nachsehen kann, was für Eingaben / Installationen / Deinstallationen us. an einem bestimmten Tag waren?

Ich war am surfen...glaube auf Facebook...und plötzlich war keine Verbindung mehr da.

hi, vllt an dem tag nen link zugesendet bekommen?
nutze mal mbr check
http://ad13.geekstogo.com/MBRCheck.exe
lade es auf den desktop
vista /win7 user rechtsklick, als admin starten.
log posten, wird auf dem desktop erstellt.

hmmm...ich glaube nicht..aber vielleicht habe ich beim surfen auf irgendeinen Link geklickt der nicht in ordnung war? Geht das dann sooo schnell mit nem Virus? Aber warum hat mein Virenscanner dann nicht angeschlagen? Benutze Microsoft Security Essentials, dachte eigentlich dass der Scanner gut ist.

Anbei ist der MBR Log. So wie's aussieht ist mein MBR ja auch in Ordnung, oder?

Da stellt sich mir die Frage, vielleicht ist nur irgendwas zerschossen und ich habe eventuell gar kein Virus? Doof diese Ungewissheit.

Ich frage mich, was ist einfacher:

a) weiter den Fehler suchen
b) das System mit der Wiederherstellungskonsole auf den Stand
vor der "eventuellen" Infektion bringen
c) das System neu aufsetzen

b) und c) ist eigentlich nicht befiedigend, weil die Ursache ja nicht geklärt ist
und eventuell eine Woche nach einer Neuinstallation das gleiche Problem wieder auftritt.

Hmmm...

Hast Du noch ne Idee? :confused:

nein, c ist ne gute idee. da wir dann vernünftig den pc absichern können, ne backup strategie einrichten etc.
damit können wir, wenn du dich an die absicherungsmaßnamen hälltst, einen erneuten infekt sehr warscheinlich ausschließen oder zu mindest erschweren.

okay...dann werd ich wohl formatieren. Bisher nutze ich den Microsoft Security Essentials Virenscanner und die Firewall "Fritz Protect" von AVM.

Kannst Du mir was besseres oder weitere Sicherungsmaßnahmen empfehlen?

ja sicher, es gibt ne ganze menge maßnamen die man beachten sollte um sicher durchs netz zu gehen.
keine angst, ist viel arbeit erst mal, die tipps werden dich aber nicht beeinträchtigen beim arbeiten.
wie das mit dem formatieren läuft, denke ich, weist du?

hier die tipps:

http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für vista/ windows 7abarbeiten.
das sp2 für vista benötigst du natürlich nicht.
zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten.

anmerkungen meiner seits:
anstelle des ie8 nutze ie9:
Internet Explorer - Microsoft Windows
start suchen
windows update
enter
alle wichtigen und optionalen updates einspielen.
unter windows update so konfigurieren das updates automatisch geladen und instaliert werden.
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- avira:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt

Also erstmal vielen vielen dank für Deine Hilfe und die ganzen tollen Links!!!

Jetzt ist jedoch was passiert, was ich echt nicht mehr verstehe.
Bevor ich mein System platt mache, wollte ich gerade noch meine Firefox Favoriten exportieren. Bisher habe ich ja immer erfolgreich mit "Xmarks" meine Favoriten auf allen Rechner synchronisiert.

Ich sichere also meine Favoriten, gehe danach auf "Erweiterungen, deaktiviere das Xmarks Addon und schließe Firefox. Wollte gerade neu installieren da fällt mir ein, dass ich Deinen letzten Post mit den ganzen Tips noch ausdrucken wollte und öffne erneut Firefox. Und was passiert plötzlich? - Firefox ist direkt online, ohne dass ich erst den Proxy wieder deaktivieren muss. Konnte das kaum glauben, also PC neu gestartet, Firefox geöffnet - tadaaa, alles prima.

Also das kapier ich jetzt echt nicht. Kann es an dem Xmarks Addon gelegen haben, dass sich der Proxy immer automatisch eingestellt hat???
Wenn ja, warum war aber der Internet Explorer davon betroffen? Der hat doch mit Xmarks garnichts zu tun - ist doch ein reines Firefox Addon.

Kannst Du Dir das erklären?

geh doch mal mit dem ie online, was passiert da?

Nachtrag:

Sobald ich das "Xmarks" Addon aktiviere, stellt sich der proxy wieder automatisch bei jedem Browserstart auf "localhost" ein.

Echt merkwürdig.
Aber sehe ich das richtig, dass eventuell etwas mit dem Addon verhauen ist und ich dann gar kein Virus im System habe?

ja, vllt ist das ne einstellung des adons, ich nutze das selbst ja nicht. gabs da vllt nen update?

nein, nicht wirklich....ich hatte kürzlich den neuen Firefox installiert...da gab es einige addons die nicht kompatibel waren. die hab ich gleich deaktiviert. xmarks war kompatibel und lief ja auch problemlos.

Ich hab das addon jetzt deaktiviert - gelöscht - neu installiert.

Bis jetzt läuft alles wieder prima...mal sehen ob's so bleibt.

Ich hoffe nicht, dass mein System doch verseucht ist und der Virus nur grad n Schläfchen macht, das wäre doof :-/

nein dann wirds wohl daran gelegen haben

Ja wunderbar, dann bin ich beruhigt :applaus:

Vielen Dank für Deine Hilfe !!!

:dankeschoen: