Trojaner-Board - Verdacht auf unbekannten Schädling - Browserabstürze/Browser verlangsamt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verdacht auf unbekannten Schädling - Browserabstürze/Browser verlangsamt (https://www.trojaner-board.de/101473-verdacht-unbekannten-schaedling-browserabstuerze-browser-verlangsamt.html)

Verdacht auf unbekannten Schädling - Browserabstürze/Browser verlangsamt

Hallo erst mal an alle Member des Trojaner-Boards und Danke für euren tollen Service!

Mein System hat grundsätzlich McAfee am laufen und ich führe in unregelmäßigen Abständen immer wieder mal einen Scan per Malwarebytes durch und dennoch scheint sich irgendetwas bei mir eingenistet zu haben, aber ich tappe momentan noch vollkommen im Dunkeln.

Es fing vor circa einer Woche damit an, dass mein Browser Opera zwar schnell wie immer agierte aber bei vielen Seiten in eine wahre Orgie von Shutdowns ausbrach, sodass das surfen eigentlich unmöglich geworden ist. Die ersten Schritte waren Updates von Adobe's und Apple's Playern sowie dem Acrobat Reader, löschen von Cache und Cookies sowie letzten Endes eine Neuinstallation des Browsers. Das brachte keine Verbesserung, daraufhin installierte ich Firefox zum Test und stellte fest, dass dieser zwar nicht abstürzt dafür aber extrem langsam arbeitet. Weiterhin fiel mir auf, dass Google meinen Rechner im uneingeloggten Modus stets um Captcha-Eingabe bittet, da es aus meinem Netzwerk "verdächtige" Aktivitäten feststellt. Inwiefern des relevant ist oder bei allen Leuten gemacht wird ist mir nicht klar, ist mir aber aufgefallen.
Daraufhin führte ich einen erfolglosen Scan mit Malwarebytes durch:

Zitat:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7189

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.07.2011 11:17:19
mbam-log-2011-07-18 (11-17-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 447151
Laufzeit: 2 Stunde(n), 28 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Weiterhin suchte nach Rootkits. Es wurde auch eines gefunden, das aber nicht als hostile sondern nur als suspicious eingestuft wurde. Ich entfernte es nichtdestotrotz und plötzlich nach einem Neustart lief Opera wieder astrein, ein weiterer Malwarebytes-Quickscan gab wieder keine Ergebnisse, bis etwa eine halbe Stunde später wieder die Shutdowns begannen. Leider testete ich in der Zeit nicht die Geschwindigkeit des Firefox-Browsers um festzustellen, ob es nur ein Zufall war oder mit der Entfernung des verdächtigen Rootkits zu tun hatte.

Wiederhole ich nun die Suche nach Rootkits erhalte ich keinen Treffer.

Da meine Downloadgeschwindigkeit in externen Programmen unverändert ist bin ich mir nicht mal sicher, dass ich ein Schadprogramm eingefangen habe. Nur das mit den Browsern erscheint mir doch verdächtig.

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Zitat:

Zitat von Tropf (Beitrag 684303)

Weiterhin suchte nach Rootkits. Es wurde auch eines gefunden, das aber nicht als hostile sondern nur als suspicious eingestuft wurde. Ich entfernte es nichtdestotrotz

- wie hast Du es gefunden? den Namen des Programms bitte nennen und eventuell schon vorhandene Protokoll posten! was wurde dabei genau gelöscht?

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

per Doppelklick starten.
gleich mal die Datenbanken zu aktualisieren - online updaten
Vollständiger Suchlauf wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in Code-Tags hier in den Thread.

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Das Rootkit habe ich mit der aktuellen Version von Kaperskys TDSS-Killer beseitigt. Ein Log habe ich leider nicht mehr parat. Ich könnte mir höchstens vorstellen, dass es von einer alten Emulatorsoftware stammt, die ich früher mal benutzt habe.

1. Malwarebytes-Scan: Wie beim letzten Komplettscan kein befund:

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7197
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514
 

19.07.2011 12:48:47

mbam-log-2011-07-19 (12-48-47).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Durchsuchte Objekte: 433247

Laufzeit: 2 Stunde(n), 45 Minute(n), 38 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

2. OTL.text und Extras.txt im "logs" - Anhang da sonst 100'000 zeichen überschritten würden.

3. hjtscanlist im Anhang

4. Liste der installierten Programme:

Code:

7-Zip 4.65                18.06.2010                

AC3Filter 1.63b        Alexander Vigovsky        07.08.2010                1.63b

Accelerometer        STMicroelectronics        10.06.2010                1.06.08.17

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        15.04.2011        6,00MB        10.2.159.1

Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        11.07.2011        6,00MB        10.3.181.34

Adobe Reader 9.4.5        Adobe Systems Incorporated        14.06.2011        216MB        9.4.5

Advanced Audio FX Engine        Creative Technology Ltd        17.08.2010                1.12.05

Apple Application Support        Apple Inc.        12.07.2011        52,8MB        1.4.1

Apple Software Update        Apple Inc.        12.07.2011        2,16MB        2.1.1.116

ATI Catalyst Control Center                11.06.2010                2.009.1118.1259

ATI Catalyst Install Manager        ATI Technologies, Inc.        18.10.2010        22,3MB        3.0.786.0

Auslogics Disk Defrag        Auslogics Software Pty Ltd        11.11.2010        8,93MB        version 3.1

AVerMedia A850 USB DMB-TH 1.0.64.28        AVerMedia TECHNOLOGIES, Inc.        16.11.2010                1.0.64.28

AVerTV        AVerMedia Technologies, Inc.        16.11.2010        29,9MB        6.0.18

CCleaner        Piriform        18.07.2011                3.08

CoreAVC Professional Edition (remove only)                07.08.2010                

Dell DataSafe Local Backup        Dell        10.06.2010                9.4.45

Dell DataSafe Local Backup - Support Software        Dell        10.06.2010                2.41

Dell DataSafe Online        Dell, Inc.        10.06.2010                1.2.0009

Dell Dock        Stardock Corporation        11.06.2010                

Dell Dock                11.06.2010                

Dell Getting Started Guide        Dell Inc.        11.06.2010                1.00.0000

Dell Support Center (Support Software)        Dell        10.06.2010                2.5.09100

Dell Touchpad        Synaptics Incorporated        11.06.2010                14.0.2.0

Dell Webcam Central        Creative Technology Ltd        11.06.2010                1.40.05

DivX-Setup        DivX, Inc.         09.07.2010                1.0.2.23

EAX4 Unified Redist        Creative Labs        09.12.2010        0,16MB        4.001

ffdshow [rev 3154] [2009-12-09]                03.09.2010        17,0MB        1.0

Free YouTube Download version 3.0.1.610        DVDVideoSoft Limited.        12.06.2011        36,1MB        

Futuremark SystemInfo        Futuremark Corporation        12.08.2010                3.17.0.1

GoToAssist 8.0.0.514                15.07.2010                

Haali Media Splitter                07.08.2010                

Intel(R) PROSet/Wireless WiFi-Software        Intel Corporation        10.06.2010        136,5MB        13.00.0000

Java(TM) 6 Update 24 (64-bit)        Oracle        17.02.2011        90,8MB        6.0.240

Java(TM) 6 Update 26        Oracle        24.04.2011        96,9MB        6.0.260

Langenscheidt Vokabeltrainer 6.0 Englisch        Langenscheidt        25.12.2010        1.988MB        6.0.0

Live! Cam Avatar Creator        Creative Technology Ltd        10.06.2010                4.6.3009.1

LoJack for Laptops Notifier        Absolute Software        20.06.2010        0,21MB        1.0.0.17

Malwarebytes' Anti-Malware Version 1.51.1.1800        Malwarebytes Corporation        14.07.2011        13,4MB        1.51.1.1800

McAfee Security Center        McAfee, Inc.        11.06.2011                10.5.239

McAfee Virtual Technician        McAfee, Inc.        09.09.2010        14,1MB        5.5.2.0

Microsoft .NET Framework 1.1        Microsoft        26.06.2011        34,8MB        1.1.4322

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        25.06.2010        38,8MB        4.0.30319

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        25.06.2010        2,94MB        4.0.30319

Microsoft Games for Windows - LIVE Redistributable        Microsoft Corporation        05.05.2011        31,3MB        3.5.88.0

Microsoft Games for Windows Marketplace        Microsoft Corporation        05.05.2011        6,04MB        3.5.50.0

Microsoft Office 2010        Microsoft Corporation        10.06.2010        6,31MB        14.0.4763.1000

Microsoft Silverlight        Microsoft Corporation        15.06.2011        168,4MB        4.0.60531.0

Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        10.06.2010        1,72MB        3.1.0000

Microsoft Sync Framework Runtime Native v1.0 (x86)        Microsoft Corporation        10.06.2010        0,61MB        1.0.1215.0

Microsoft Sync Framework Services Native v1.0 (x86)        Microsoft Corporation        10.06.2010        1,45MB        1.0.1215.0

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        11.08.2010        0,25MB        8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        15.06.2011        0,29MB        8.0.58299

Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148        Microsoft Corporation        11.08.2010        0,21MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022        Microsoft Corporation        18.06.2010        2,52MB        9.0.21022

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148        Microsoft Corporation        11.08.2010        0,77MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161        Microsoft Corporation        15.06.2011        0,77MB        9.0.30729.6161

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022        Microsoft Corporation        26.03.2011        1,70MB        9.0.21022

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        02.07.2011        0,23MB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        17.02.2011        0,58MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        15.06.2011        0,59MB        9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319        Microsoft Corporation        06.07.2011        11,0MB        10.0.30319

Mozilla Firefox 5.0 (x86 de)        Mozilla        28.06.2011        32,3MB        5.0

NVIDIA PhysX        NVIDIA Corporation        16.06.2011        120,1MB        9.09.0814

OpenOffice.org 3.3        OpenOffice.org        17.02.2011        415MB        3.3.9567

Opera 11.50        Opera Software ASA        02.07.2011                11.50.1074

PhotoScape                24.07.2010                

Quickset64        Dell Inc.        10.06.2010                9.6.11

QuickTime        Apple Inc.        12.07.2011        73,7MB        7.69.80.9

Recuva        Piriform        05.08.2010                1.38

Roxio Burn        Roxio        11.06.2010        36,1MB        1.01

Secunia PSI (2.0.0.3001)                12.01.2011                

Songbird 1.8.0 (Build 1800)                17.11.2010                

Stanza                20.03.2011                

TrueCrypt        TrueCrypt Foundation        07.08.2010                7.0

Unlocker 1.8.9        Cedrick Collomb        18.06.2010                1.8.9

Veetle TV 0.9.18        Veetle, Inc        09.06.2011                0.9.18

VLC media player 1.1.11        VideoLAN        17.07.2011                1.1.11

Windows Live Essentials        Microsoft Corporation        11.06.2010                14.0.8089.0726

Windows Live ID Sign-in Assistant        Microsoft Corporation        15.11.2010        10,0MB        6.500.3165.0

Windows Live Sync        Microsoft Corporation        10.06.2010        2,79MB        14.0.8089.726

Windows Live-Uploadtool        Microsoft Corporation        10.06.2010        0,22MB        14.0.8014.1029

Windows Media Player Firefox Plugin        Microsoft Corp        26.08.2010        0,29MB        1.0.0.8

WinRAR                19.06.2010                

World of Logs Client        Digibites Technology        15.06.2011                

Überwachungstool für die Intel® Turbo-Boost-Technik        Intel        10.06.2010                1.0.186.6

Alle Angaben erfolgten nach bestem Wissen und Gewissen.

Grüße und Danke für die Bemühungen im voraus.

Im Firefox: dir bekannte Eintragungen unter Proxy?
im Firefox: Proxyeinstellungen fr Mozilla Firefox
über das Menü Extras-> Einstellungen-> klicke auf den Reiter "Erweitert"-> Netzwerk-> bei "Verbindung" schauen

Zitat:

FF - prefs.js..network.proxy.backup.ftp: "187.6.85.33"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.socks: "187.6.85.33"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "187.6.85.33"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "187.72.167.59"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "187.72.167.59"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "187.72.167.59"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "187.72.167.59"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 1

wenn du keinen Proxyserver lokal installiert hast, nimm die Proxyeinstellungen aus den Interneteinstellungen raus
Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.