|
Firefox leitet ungewollt um, Antivirenprogramme werden blockiert Guten Abend. :) ich hab eine Weile gegooglet und andere Beiträge gelesen und hab mir wie einige andere wohl diese Malware eingefangen, die das Weiterleiten von Google verursacht. Weil nie alles übereinstimmte, und verschiedene Dinge geraten wurden, dachte ich als Computerlaie, ich mache am besten einen eigenen Thread auf. Ich benutze den Asus Eee Pc 1000Ha-H mit Windows XP Home Edition SP 3 (war vorinstalliert). Ich bin nicht ganz sicher, aber ich glaube es hat mit einem Javaupdate angefangen. Auf jeden Fall ist google sehr langsam und leitet anstatt auf das Suchergebnis auf dubiose Seiten um, manchmal kommt für 2-3 Sekunden Musik im Hintergrund, IE versucht ständig eine Seite zu öffnen (sehr viele Registerkarten), das Netbook crasht öfter und die Antivirenprogramme wurden blockiert. (Wollte von Avira zu McAfee wechseln, weil meine Eltern das irgendwie mit dem Internetwechsel für 3 PCs dazubekommen haben.) Das Netbook hab ich nur noch an das Internet angeschlossen, wenn es für ein Programm benötigt wurde. Ich habe HijackThis laufen lassen, dann CCleaner (2 Mal). Malwarebytes wollte sich ganz lange nicht öffnen lassen, hab's aber dann doch zum Laufen bekommen, und zwei Mal laufen lassen: beim ersten Mal waren es 4 Dateien, danach noch eine (wieder eine der vorigen?). McAfee sagt, Malware sei vorhanden, die Installation geht nicht zu Ende. Gmer lief grad drüber "WARNING !!! GMER has found system modification caused by ROOTKIT activity." Was soll ich jetzt tun? Die Logs habe ich hochgeladen und schon mal danke im Voraus. (: http://www.file-upload.net/download-2167840/logs.rar.html |
Tut mir Leid wegen des Doppelpostings, aber ich habe grad ein wenig in anderen Threads gelesen, einige andere hatten wohl auch die Datei "H8SRTD.SYS" und da wurde geraten den Avenger einzusetzen? Bitte um Hilfe, möchte den nicht ohne Empfehlung benutzen. |
Hi Ja, Avenger ist eine gute Idee Avenger a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. c.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: drivers to delete:g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Bitte mache direkt im Anschluss einen Suchlauf mit Malwarebytes, Update nicht vergessen. |
Ok, Avenger sagt: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Malwarebytes läuft grade drüber, hat bis jetzt eine Datei gefunden. Okay, waren nun doch mehrere, ich häng das log noch mal an. |
Im Malwarebytes Log steht überall "No action taken". Hast du das alles auch löschen lassen? Falls nein - nachholen, und dann bitte einen frischen GMER Durchlauf machen. |
Oh, ja.. ich hatte das log im Ergebnisse anzeigen-Fenster gespeichert und dann alles gelöscht. Hab's auch noch mal laufen lassen, nichts mehr gefunden. Gmer läuft gerade, hat aber bis jetzt nichts gefunden, wärend es vorher direkt am Anfang schon was hatte. Ich muss jetzt weg, aber lass das erst mal an... Vielen Dank für die Hilfe soweit. :) Wenn gmer nichts findet, soll ich dann noch 'was machen? |
Auch wenn GMER nichts findet, bitte das Log posten. Danach bitte einmal Ccleaner ausführen und dann RSIT nach Anleitung :) |
Ich konnte zwar McAfee wieder installieren, aber Firefox und gmer laufen nicht mehr.. Gmer fängt normal an, aber nach einer Weile (ungefähr so lang wie der Scan vorher gedauert hat) kommt irgendwann ganz schnell ein Bluescreen (konnte ich leider nicht lesen) und das Netbook startet neu. |
War McAfee während des Scans aktiv? Das könnte einen Absturz verursachen. Poste erstmal die RSIT Logs. |
Nein, das war schon before ich McAfee wieder installiert hatte. Aber immerhin, vorher meldete gmer schon vorher ein rootkit (also bei dem Kurzscan oder was das ist) und das kam nicht mehr. rsit logs: Code: info.txt logfile of random's system information tool 1.06 2010-01-19 17:36:37Code: Logfile of random's system information tool 1.06 (written by random/random) |
Avenger a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. c.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Danach einen neuerlichen Durchlauf mit Malwarebytes bitte. |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Ja, da ist zwar ein Registry-Eintrag zu der Datei, aber die Datei selbst ist anscheinend nicht mehr da. Hm, etwas merkwürdig, dass nur das Rootkit gefunden wurde... Malwarebytes wird jetzt wohl nicht viel bringen, versuchen wir es mit SDFix * Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop. * Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken. * Starte den Computer neu in den abgesicherten Modus (F8 während des Bootvorgangs drücken). * Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Geduld, das kann ca. 20 Minuten dauern. * Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst Du darum gebeten, einen Taste zu drücken, damit Dein Rechner neu starten kann. * Drücke auf eine beliebige Taste. * Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen. * Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden. * Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread. |
Okay, hier ist der Report: Code: SDFix: Version 1.240 |
Hm, nichts gefunden. Installiere mal Firefox neu. Da GMER nicht läuft, versuchen wir es mit Rootkitscan mit RootRepeal - Lade den Scanner hier herunter: RootRepeal - RootRepeal - Rootkit Detector - scrolle runter und downloade RootRepeal.zip. - Trenne deinen Computer vom Internet - Deaktiviere dein Firewall und Antivirenprogramm - Entpacke die Datei auf Deinen Desktop. - Doppelklicke die RootRepeal.exe, um den Scanner zu starten. - Klicke auf den Reiter Report und dann auf den Button Scan. - Mache einen Haken bei den folgenden Elementen und klicke Ok. Drivers Files Processes SSDT Stealth Objects Hidden Services . - Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. - Wähle C:\ und klicke wieder Ok. - Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. - Bitte wärend des Scans nicht am Computer arbeiten! - Wenn der Suchlauf beendet ist, klicke auf Save Report. - Speichere das Logfile als RootRepeal.txt auf dem Desktop. - Kopiere den Inhalt hier in den Thread. - Aktiviere Antivirenprogramm wieder. |
Okay, hier der Report von RootRepeal: Code: ROOTREPEAL (c) AD, 2007-2009edit: firefox neu installiert, läuft trotzdem nicht. IE auch nicht... |
Liste der Anhänge anzeigen (Anzahl: 1) Wieder nichts... Ok, wir haben da noch diesen Registryeintrag im Nacken, erstmal den weg. Speichere bitte die Datei aus dem Anhang auf dem Desktop und führe sie mit Doppelklick aus, Abfrage bestätigen. Die Datei kann danach gelöscht werden. Nu gut, versuchen wir es mit der "Schwarm-Intelligenz", vielleicht ist sie schlauer als ich. Überprüfe deinen Rechner mit PrevX. Falls etwas gefunden wird, kann man mit Tools -> Save Scan Result einen Log erstellen. Allerdings wird dort alles geloggt, was zu viel ist. Die Funde stehen normalerweise in den ersten paar Zeilen, poste diese bitte hier. Zitat:
|
Die reg-Datei will nicht. "...\regi.reg kann nicht importiert werden. Die angegebene Datei ist keine Registrierungsdatei. Registrierungsdateien können nur innerhalb des Registrierungseditors importiert werden." Soll ich das andere Programm trotzdem schon ausführen? Oh, das ist ja das Netbook, was befallen ist. Ich benutze grad einen anderen Rechner und ziehe die Programme und logs per USB-Stick hin und her... oder ist das irgendwie falsch? |
Liste der Anhänge anzeigen (Anzahl: 1) Hech, ich hab's irgendwie mit diesen .reg Dateien. Im Anhang ist eine neue. Zitat:
|
Das sind dann die [B]-Dateien? Code: Prevx Scan Log - Version v3.0.5.50 |
Wenn es sonst nichts angezeigt wurde, nachdem der Scan fertig war, dann sind sie es. Lade bitte diese zwei Dateien bei VirusTotal hoch, und poste die Links zu den Ergebnissen. Sieht mir so ein bisschen nach falschen Alarmen aus... |
Und benenne die Dateien bitte um, bevor du sie auf den anderen Rechner schleppst, also z.B. microsoft office word 2007.exe.vir |
So, hab die direkt vom USB-Stick geladen.. http://www.virustotal.com/de/analisis/d945ea6b5339e99f0a5c2eba681e2f59bfbf6a35271e4fb76019efbdad639aea-1258525339 http://www.virustotal.com/de/analisis/f2aa639ee567476f3eb9ba0d6da92cd662f3fc531e524ef11fa0082a0b03f998-1258525357 |
Hm, ich habe in der Zwischenzeit "microsoft office 2007 portable" bei google eingegeben - warez-seiten, wohin das Auge blickt :balla: Deswegen bin ich von Virustotal noch nicht ganz überzeugt. Lade die beiden Dateien noch bei ThreatExpert hoch. Submit Sample -> Datei auswählen (File to submit) -> Trage deine E-Mail-Adresse ein (ist keine Registrierung, die ist nicht erforderlich) -> Terms und Coditions abhaken -> Submit In etwa 10 Minuten wirst du per E-Mail einen Link zum Analyseergebnis erhalten, poste diesen hier. Naja, das Ganze dann halt bei beiden Dateien, also zwei Berichte. Außerdem: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! (In diesem Fall wurde es mir per PM von einem Kompetenzler empfohlen, also keine Sorge :D) |
edit: Ach ja, Microsoft Office hatte ich von nem Kumpel, weil ich den Picture Manager wiederhaben wollte. Die Links: http://www.threatexpert.com/report.a...5eb4a9d9438970 http://www.threatexpert.com/report.a...9d944984e6b371 Aber ich hab grad Mist gebaut.. ComboFix gestartet, als das Internet noch aus war, also wurde die Wiederherstellungskonsole nicht heruntergeladen. Ich dachte mir, ich mach dann 2 Durchläufe, so dass die beim 2. Mal runtergeladen wird, weil ich nicht wusste, ob ich ComboFix einfach so stoppen kann. Aber jetzt hat der 2. Durchlauf, bei dem was gelöscht wurde, das log des ersten überschrieben... Kann ich das irgendwie zurückkriegen? Hier ist jedenfalls das 2.: Code: ComboFix 10-01-20.07 - Gina 21.01.2010 19:48:09.2.2 - x86 |
Sieh mal bitte unter C:\Qoobox nach. Da sollte das alte Log eigentlich zu finden sein. Und lösche diesen "Microsoft Office portable", den gesamten Ordner - es ist nicht vertrauenswürdig. Wird ja wohl ein Freeware-Programm zu finden sein, das die gleichen Funktionen erfüllt, wie der Picture Manager. |
Ja, da war's. :) Okay, hier: Code: ComboFix 10-01-20.07 - Gina 21.01.2010 19:33:41.1.2 - x86 |
Na gut, hier ist etwas Arbeit für dich: diese Dateien bitte bei VirusTotal überprüfen: Code: c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000003800002i\wltuser.exeAußerdem lade dir bitte SystemScan, speichere es auf dem Desktop -> Mit Doppelklick ausführen Häkchen beim Disclaimer -> Proceed Alle Häkchen setzen (Recent files, days old 60) -> Scan Now Es wird eine Datei report.txt erstellt, diese bitte als Anhang posten. |
Okay.. http://www.virustotal.com/de/analisis/0ae3529c265a04c95917684b1eb1819c9777ae96976a8117852c60307238bb1e-1264199412 http://www.virustotal.com/de/analisis/5c0037c120777fd5a7b5a2a50ca1334ec563f7df270507e355c7b76c743f5570-1264199594 http://www.virustotal.com/de/analisis/b3e4c8c895cc226a5f8518630fbd0b135d0438bb07da01c6834b06799d404f56-1261595631 http://www.virustotal.com/de/analisis/6960f605b14151db137fedd922bda2c992e1236a34e86e5528b4259c60afeaef-1241094881 http://www.virustotal.com/de/analisis/2a940d12f955c4cd4a960e92e7913487b78f1c3141ac9146c8bb660e0c2e82f8-1241036868 http://www.virustotal.com/de/analisis/1218a330f0940c4c6a9c0ecf24f317f56441fa0a7216024fbab5cdfd566c8f0f-1264199489 Zu iexplorer.exe konnt ich auf dem USB-Stick nur eine Verknüpfung erstellen, die ich nicht hochladen konnte. Und c:\programme\FunkLANSetupWinXP.htm ist eine gespeicherte Internetseite, da gehört ein ganzer Ordner mit Dateien zu, soll ich die alle da hochladen? Das log war zu groß um es anzuhängen, ich hab's hochgeladen: http://www.file-upload.net/download-2187209/reportsys.txt.html |
Hm, nichts Eindeutiges, aber auch nicht wirklich beruhigend, töten wir es: Avenger a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. c.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: folders to delete:g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Zitat:
So, das Log vom SystemScan schaue ich mir noch an, das dauert etwas... |
Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Zitat:
Code: folders to delete: |
Ups, das war natürlich intelligent.. Ja, ist jetzt weg. :) Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Ok, bevor ich's wieder vergesse, prüfe noch bitte folgendes: Systemsteuerung -> Internetoptionen - >Verbindungen -> keine Verbindung wählen weiter unter LAN -> kein Feld aktiviert |
Öh, das Internet funktioniert eigentlich, Msn jedenfalls. Das sind bloß die Browser, die nicht wollen... Und meine Mutter ist sehr paranoid von wegen Strahlung und so, deswegen benutze ich eine PPPoE-Verbindung.. oder macht das keinen Unterschied von dem her, was ich da einstellen soll? |
Das macht erstmal keinen Unterschied, soll nur sicherstellen, dass kein Proxy vorgeschaltet ist. Übrigens, fing es an nach der Installation von McAfee, oder hat es schon davor nicht funktioniert? |
Oh okay. Ja, nichts aktiviert da. Und gute Frage, aber ich glaube erst nachher... Bei firefox kommt immer noch dieses Fenster, das neue Add-ons installiert worden seien, wo dann auch der McAfee Site-Advisor steht. |
Ok, dann versuche mal, den McAfee-Proxy zu deaktivieren, vielleicht pfuscht das Ding dazwischen. Start -> Ausführen -> services.msc eintippen Suche nach dem Dienst McAfee Proxy Service -> Rechtsklick -> Eigenschaften -> Starttyp Deaktiviert -> Alles bestätigen -> Neustart |
Nein, daran liegt's scheinbar nicht. Soll ich das dann wieder aktivieren? |
Hm, am besten wäre es, McAfee einmal ganz zu deinstallieren, um diese Möglichkeit auszuschließen. Vielleicht fällt mir ja in der Zwischenzeit noch was ein... :rolleyes: |
Prüfungswoche ist endlich vorbei, tut mir Leid, dass ich solange nichts geschrieben hab, wo du doch nur Arbeit hiermit hast.. :/ Also, ich hab firefox im abgesichterten Modus starten können, nachdem ich die add-ons deaktiviert hab. Angegeben waren da McAfee und Java. |
Prüfungswochen sind wichtig :D Hm, deinstalliere Mcafee bitte mit Hilfe folgender Anleitung (also ohne Schritt 3). Mal sehen... Im normalen Modus läuft es immer noch nicht? |
Hm, das CleanUp tool sagt, es würde schon laufen.. aber McAfee scheint eh schon komplett verschwunden zu sein. Bloß den Siteadvisor krieg ich über die Systemsteuerung nicht weg, der blinkt kurz blau und das war's. Java habe ich noch deinstalliert und Firefox läuft nun auch mit aktivierten Add-Ons wieder. |
Hm, ich würd mal sagen, an diesem Siteadvisor hängts. Irgendetwas ist da bei McAfee kaputtgegangen. Tjo, aber wie das jetzt mit Java zusammenhängt... Funktioniert der MSIE, also der Internet Explorer von Microsoft? Wie läuft der Firefox jetzt - im normalen oder im abgesicherten Modus? Poste mal bitte ein RSIT Log, gucken wir nach, ob vom McAfee noch Überreste zu sehen sind. |
Also, das ganze fing kurz nachdem ich Java geupdatet hatte, an, deswegen dachte ich, ich deinstallier das mal mit. Unter Software ist der SiteAdvisor noch aufgelistet.. bei den Add-Ons bei Firefox auch (momentan deaktiviert, macht aber keinen Unterschied). IE und Firefox (nicht mehr im abgesicherten Modus) funktionieren beide, wobei ich jetzt noch nicht ausgetestet hab, ob google noch weiterleitet bzw. bei IE diese vielen Tabs kommen, weil ich ja im Moment kein Anti-Virenprogramm hab... Soll ich noch mal versuchen McAfee zu installieren, oder passiert das Gleiche dann wieder? Ach ja, wenn ich das Netbook starte kommt auch erst ein Screen, wo ich das Windows XP-Recovery-Center (und halt normal Windows XP Home) auswählen kann. Hab ich mal versucht, aber dann kam eine Fehlermeldung und es wurde 'zum Schutz des Computers' heruntergefahren. Die logs sind angehängt. |
Zitat:
Zitat:
Zitat:
|
Okay, McAfee wieder installiert und wieder das gleiche Problem... Bin aber ein wenig mit deaktivierten Add-Ons gesurft und die Umleitung scheint weg zu sein. (: |
Hm, ich habe in den unendlichen Weiten des Internets noch was gefunden, was helfen könnte. Besuche bitte diese Seite, lade dir den Microsoft Fix It und führe es aus. Es wird die Sicherheitseinstellungen zurücksetzen, die möglicherweise von Malware verändert wurden. Sollte das keine Besserung bringen, werden wir versuchen, McAfee manuell komplett zu entfernen, danach wieder zu installieren und das Beste hoffen. |
Bringt leider auch nichts. :( Aber der SiteAdvisor steht übrigens bei der Software nicht mehr dabei. Ach ja, ich bin bis zum 17. in England und kann nicht so regelmäßig ins Internet... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board