Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Beim Öffnen eines neuen Tabs in Firefox erscheint permanent Claro Search (https://www.trojaner-board.de/129602-beim-offnen-neuen-tabs-firefox-erscheint-permanent-claro-search.html)

M-K-D-B 01.02.2013 19:39
Servus,


Eset kann (muss nicht) lange dauern (2+ Stunden), ist aber derzeit als Scanner sehr gut. ;)

Bitte hab Geduld. :)

cucho 01.02.2013 19:53
Alles klar. ;-) Er ist schon bei 57 Prozent. :-)

M-K-D-B 01.02.2013 19:59
Alles klar. ;)

SecurityCheck sollte schnell durchlaufen. :) :abklatsch:

cucho 01.02.2013 21:12
Hi Matthias !

So ... es ist vollbracht. Hier die gewünschten Log-Files.

OTL-Log-File:

Code:
All processes killed
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Lutz
->Temp folder emptied: 197162 bytes
->Temporary Internet Files folder emptied: 1280148 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 378347670 bytes
->Flash cache emptied: 60630 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 362,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02012013_175526

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

MBAM-Log-Datei:

Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.01.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Lutz :: PC [Administrator]

2013/02/01 18:57:50
mbam-log-2013-02-01 (18-57-50).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 236371
Laufzeit: 3 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET-Log-File:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=e69393c7d9b5154d939a108937d495c8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-01 07:46:06
# local_time=2013-02-01 08:46:06 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1800 16775165 100 100 20284 225171256 5889 0
# scanned=160139
# found=6
# cleaned=0
# scan_time=5606
C:\QooBox\Quarantine\C\WINDOWS\system32\DKknTvut.ini.vir        Win32/Adware.Virtumonde.NEO application        66A58C116FC6708BB0C530C3267B649AA25070E4        I
C:\QooBox\Quarantine\C\WINDOWS\system32\DKknTvut.ini2.vir        Win32/Adware.Virtumonde.NEO application        A849C5C88EF573F28F0155CF15522EBDA8B42684        I
C:\QooBox\Quarantine\C\WINDOWS\system32\ksdstmmx.ini.vir        Win32/Adware.Virtumonde.NEO application        516C4B589C6473AC064B1A366E2D27AFEB23E22D        I
C:\QooBox\Quarantine\C\WINDOWS\system32\scmqarrg.ini.vir        Win32/Adware.Virtumonde.NEO application        A982D01F16674A7ECFE7CC0FAFC0F7C8F130B1E1        I
C:\QooBox\Quarantine\C\WINDOWS\system32\wvFeOXyb.ini.vir        Win32/Adware.Virtumonde.NEO application        07BCFF1013860CF92A5E0FE572FFB99243F64AF8        I
C:\QooBox\Quarantine\C\WINDOWS\system32\wvFeOXyb.ini2.vir        Win32/Adware.Virtumonde.NEO application        07BCFF1013860CF92A5E0FE572FFB99243F64AF8        I

Was meintest Du in Deiner ESET-Anweisung mit "(bebildert)"?

Virtumonde ist wohl so 'ne Adware, die einen mit Werbe-Pop-Ups nervt. Gefährlich?
Bei Firefox ist mir aufgefallen, dass immer wenn ich "www.freemail.de" in die Adresszeile eingebe und dann auf den mittleren Reiter (namens Freemail) über dem Nachrichtenticker klicke, ein Pop-Up erscheint. Das nervt mich schon ziemlich. Kannst ja mal versuchen, ob das bei Dir auch so ist. Wenn ja, hat es wahrscheinlich mit freemail.de zu tun, wenn nein, liegt's u. U. an Virtumonde?


SecurityCheck-Log-Datei:

Code:
Results of screen317's Security Check version 0.99.57 
 Windows XP Service Pack 3 x86 
 Internet Explorer 8 
``````````````Antivirus/Firewall Check:``````````````
 Avira Antivirus Premium 2012 
 Avira successfully updated!
`````````Anti-malware/Other Utilities Check:`````````
 Out of date HijackThis  installed!
 Malwarebytes Anti-Malware Version 1.70.0.1100 
 HijackThis 2.0.2   
 Java(TM) 6 Update 37 
 Java(TM) 6 Update 7 
 Java version out of Date!
 Adobe Flash Player        11.5.502.146 
 Adobe Reader 8 
 Adobe Reader 9 
 Adobe Reader XI 
 Mozilla Firefox (18.0.1)
````````Process Check: objlist.exe by Laurent```````` 
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:: 
````````````````````End of Log``````````````````````

Hoffe, ich habe alles soweit richtig gemacht.

Wurden von ESET meine drei USB-Sticks auch gleich mit untersucht?
Zwei habe ich vorne reingesteckt, einen hinten (klingt lustig) ha ha ...
Hab aber auf die Schnelle nicht gecheckt, ob alle Ports, die am Gehäuse angebracht sind, innen auch "aktiv" sind.

Kannst Du mir evtl. auch sagen, warum, wenn ich bei Firefox auf z. B. mein Google-Lesezeichen-Symbol klicke, der Cursor nicht im Google-Eingabefenster erscheint, so dass man gleich drauf lostippen kann, sondern, wenn ich die ersten Buchstaben tippe, merke ich, dass ich oben in die URL-Adresszeile schreibe. Das war früher irgendwie auch nicht so; da blinkte der Cursor gleich in der Google-Eingabezeile? Seltsam ... Auch wenn ich bei Firefox einen neuen Tab öffne und www.google.de in die Adresszeile schreibe und dann entere, blinkt der Cursor nicht in der Google-Eingabezeile. Was geschieht? Die Eingabe www.google.de in der Adresszeile ist blau unterlegt und diese Eingabezeile also noch "aktiv". Ehrlich, das war früher nicht so ... Aber falls Du's nicht ad hoc weißt, mach Dir keine Mühe deswegen; ist nicht so tragisch.

Wichtigere Frage: Soll ich die Programme OTL, SystemLook und SecurityCheck jetzt wieder löschen?
Und wenn ja, wie deinstalliere ich diese "richtig"? Reicht die Löschung via Systemsteuerung/Software?

Danke für die Super-Unterstützung und bis bald

Steve :-)

M-K-D-B 02.02.2013 10:53
Servus,


die Funde von Eset befinden sich in der Quarantäne von ComboFix und können keinen Schaden mehr anrichten.

Sofern die USB-Sticks aktiv waren, wurden sie auch mit gescannt, ja. :)

Ich bin auf freemail.de gegangen und habe keine Pop ups bekommen. Evtl. solltest du dir die Erweiterungen AdBlock PLus und NoScript für Firefox installieren. ;) Mehr dazu im unteren Teil. :)

Wenn du die folgenden Schritte so ausführst, dann werden alle verwendeten Programme entfernt. ;)

Du könntest natürlich auch Firefox zurücksetzen, evtl. behebt das deine beschriebenen Probleme:
  • Starte Firefox
  • Klicke auf Firefox > Hilfe > Informationen zur Fehlerbehebung
  • Klicke auf Firefox zurücksetzen
  • Klicke abschließend auf Fertigstellen
    Bebilderte Anleitung



Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.



Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier:
    Java Download (32 bit)
  • Speichere die Datei auf deinem Desktop.
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die Datei. Diese wird die neueste Java Version ( Java 7 Update 11 ) installieren.
  • Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
  • Klicke erneut OK.
schneller Plugin-Test: PluginCheck





Schritt 2
Starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.





Schritt 3
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
Combofix /Uninstall
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt 4
Downloade dir bitte delfix auf deinen Desktop.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.
  • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
  • Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.





Schritt 5
Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
  • Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe.
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.



Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

cucho 02.02.2013 12:04
Hi Matthias !

Alles klar. Da hab ich ja jetzt erst mal ein bisschen was zu tun.
Dazu werde ich dieses Wochenende wohl nicht mehr kommen. Aber Anfang nächster Woche (wahrscheinlich Dienstag) kann ich's angehen.

Normalerweise sind alle Programme so eingerichtet, dass Updates (falls vorhanden) angezeigt werden. Sprich: Ich halte meine System prinzipiell up to date. Was da bei Java nicht funktioniert hat, weiß ich jetzt erst mal nicht.

- Peer-to-Peer- oder Filesharing-Software verwende ich grundsätzlich nicht.
- Cracks, Keygens etc. verwende ich ebenfalls nicht.
- Irgendwelche Anhänge, die mir nicht bekannt sind, öffne ich nie.
- Malwarebytes' Anti-Malware habe ich längst auf dem System.
- Ebenso: File Scavenger, Spybot Search & Destroy, Soluto, HijackThis.
- Glary Utilities habe ich deinstalliert.

Melde mich dann, wenn ich soweit bin.

Ciao - Steve :-)

M-K-D-B 02.02.2013 16:14
Servus,


alles klar, dann bis Dienstag. :)

cucho 06.02.2013 01:28
Hi Matthias ! :-)

So, es ist vollbracht. :-)
Ich habe alle von Dir angeführten und empfohlenen Schritte durchgeführt.
WOT habe ich installiert, AdblockPlus auch.
Der PluginCheck verlief zufriedenstellend.

Was Secunia betrifft, so gibt es inzwischen wohl eine neue Version.
Die Trojaner-Board-Seite, auf die ich geleitet werde, wenn ich auf Deinen Link klicke, bildet Grafiken ab, die bei Secunia heute nicht mehr zu finden sind.

Kannst Du da mal schauen, ob es da etwas "Aktuelleres" gibt?

Ansonsten läuft alles wieder perfekt ... nur, dass meine Festplatte demnächst voll sein wird und ich eine externe Platte werde dazuschalten müssen.

Vielen lieben Dank für Deine tolle Unterstützung.

So, jetzt geht's aber ins Bettchen. :-) Bin schon recht müde. :-)

Ciao und vielleicht bis bald mal wieder ... irgendwo ... irgendwie ... auf dieser (oder in einer anderen) Welt. :-)

Steve

cucho 06.02.2013 13:40
Liste der Anhänge anzeigen (Anzahl: 1)
Hey Matthias !

Jetzt muss ich Dich doch nochmal bemühen.

Seit den letzten Aktionen öffnet sich mein Avira-Schirmchen nicht mehr.
Nach dem Doppelklick auf das Avira-Symbol sehe ich, dass nur noch der Echtzeit-Scanner aktiv ist, aber Browser-Schutz und E-Mail-Schutz sind "Aus". Der Versuch, diese zu aktivieren, scheitert, denn nach dem Aktivierungsversuch erscheint ein Kreuz (siehe angehängte Grafik).

Kann das an den AddOns liegen, die ich im Rahmen der letzten Aktionen istalliert habe?
(WOT übernimmt ja jetzt quasi diese Aufgaben als Safe-Surfing-Tool. Gibt's da evtl. "Reibereien" zwischen Avira und WOT?)

Viele Grüße

Steve

cucho 06.02.2013 16:24
Liste der Anhänge anzeigen (Anzahl: 3)
Hi Matthias !

Mensch, tut mir wirklich leid, Dich wieder um Unterstützung bitten zu müssen, aber das läuft da noch nicht so richtig rund.
Es ist auch ein bisschen schwierig für mich, mit Secunia umzugehen, da der Link von Dir auf eine ältere Version verweist und ich mit den dortigen Einführungen in Secunia nichts anfangen kann.

Secunia - das Du mir empfohlen hattest - versucht die ganze Zeit, Adobe Reader 9.3.4 upzudaten. Das geht jedoch nicht. Ich kann im Secunia-Fenster auch nicht überprüfen, welche Programme mehrfach installiert sind (und da gibt es doch bestimmt das eine oder andere).

Ich habe Adobe Reader bereits upgedated auf die 11er-Version.
Aber wie es scheint, existiert die 9.3.4-Version immer noch auf dem Rechner und beansprucht über 100 MB.

Der Versuch, die 9.3.4er-Version über Systemsteuerung --> Software zu löschen, scheitert. Secunia versucht aber immer wieder und wieder, die 9.3.4er upzudaten, was nicht funktioniert.

Im Anhang findest Du drei JPG-Grafiken:

1) Systemsteuerung --> Software = Hier ist Adobe Reader 9.3.4 deutlich zu sehen
2) Secunia direkt nach dem Secunia-Start (Adobe Reader 9.x - Programm wird untersucht)
3) Secunia nach ca. 1,5 Minuten (Adobe Reader 9.x - Update läuft; das bleibt dann auch so für Stunden)

Zusatzfrage: Benötige ich WinPatrol tatsächlich so dringend? Scotty, der Hund, bellt immer wieder dazwischen, was meinen Mitbewohner (der so gut wie keine Ahnung von PCs hat) komplett irritiert und der mich ständig ruft, Steve, was soll ich da jetzt machen? Da ist schon wieder dieses Fenster ... na ja, und so weiter halt ... ;-)

Lieben Gruß

Steve

M-K-D-B 06.02.2013 19:47
Servus,



Du kannst versuchen, den Adobe Reader 9 mit RevoUninstaller zu entfernen:

Downloade Dir bitte den Revo Uninstaller
  • Doppelklicke auf die revosetup.exe.
  • Installiere das Tool in den vorgegebenen Pfad.
  • Doppelklicke auf das Revo Uninstall Icon.
  • Suche Dir nun folgende Software aus der Code-Box.
    Code:
    Adobe Reader 9
    Klicke darauf und bestätige mit Ja.
  • Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
  • Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
  • Klicke auf den Markiere alle Button und klicke auf löschen und bestätige mit Ja.
Bebilderte Anleitung

Starte den Rechner abschließend neu auf.



Der Avira Web-Schutz ist mit der AskToolbar kombiniert. Evtl. haben die Bereinigungsprogramme da was entfernt.

Wenn du unbedingt bei Avira bleiben möchtest, so kannst du das AV Programm ja deinstallieren und nochmal neu installieren.

Ich persönlich empfehle Avast oder Microsoft Security Essentials.


Zitat:
Benötige ich WinPatrol tatsächlich so dringend?
Nein, nicht zwingend; war nur ein Vorschlag. ;)

M-K-D-B 09.02.2013 16:27
Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:45 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131