Firefox und IE tot !
 

Hallo ihr,

ich hoffe, dass ihr mir helfen könnt.

Ohne Vorwarnung bekam ich über firefox die Meldung, dass selbiges abgestürzt ist. Auch mit dem IE gibt es Probleme.
Das Fester ist nach dem Öffnen kurz zu sehen und geht dann wieder zu.

Im abgesichteren Modus geht alles.

Ich habe nun
- Virenscanner akutalisiert und durchlaufen lassen
- CCleaner angewendet
- Malwarebytes nach Anweisung laufen lassen. 6 Objekte gefunden und gelöscht. Hier das Endergebnis:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4379

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

02.08.2010 14:09:01
mbam-log-2010-08-02 (14-09-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 139452
Laufzeit: 6 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportMgmtService.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportService.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{6abaf30c-6ddf-01e8-61c4-ebce4c68763c} (Trojan.Zbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\extensions.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\extensions.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Hans Heller\Anwendungsdaten\Tueqz\ygvi.exe (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\extensions.exe\config.bin (Spyware.SpyEyes) -> Quarantined and deleted successfully.
C:\extensions.exe\extensions.exe (Spyware.SpyEyes) -> Quarantined and deleted successfully.
_________________________________________

gleich geht´s weiter ...

LG Meike

OTL Logfile:
--- --- ---

OTL EXTRAS Logfile:
--- --- ---

Ich hoffe, ich habe die Anweisungen richtig befolgt und alle Infos gegeben, die ihr braucht.

Keine Info noch:
in meinem Outlook kann ich e-Mails empfangen und auch versenden !

Du hast dir einen ZBot eingefangen.

Ich mlchte dir rate den Rechner neuaufzusetzen da mit dem echt nicht zu spaßen ist.

In jedem Fall musst du dringend von einem sauberen Rechner aus alle deine Passwörter und Zugangsaccounts ändern!!!

So schlimm ?!?!?

Ach du Sch..... !

Wie mach ich denn das jetzt ?
Also ich hab noch ne Leptop, da kann ich die Passwörter ändern.
Dann noch alle wichtigen Fotos und Datein retten ....

Und dann muss ich meinen Rechnen hier ganz platt machen ????
Wie stell ich das denn an ?
Kann ich den Trojaner nicht irgendwie löschen ??

Wir können den Trojaner löschen ja.

Aber wir wissen nicht was er alles verändert hat daher kann niemand mit Sicherheit sagen ob dein Rechner danach auch wirklich sicher ist oder nicht.

Die Entfernung wird dir und mir mindestens genausoviel Mühe bereiten wie den Rechner neuaufzusetzen.

Die Wahl liegt bei dir.

Wenn du dich für einen Weg entschieden hast poste ich dir die entsprechende Anleitung.

...hm...ja...dann werde ich wohl nicht drum herum kommen....:heulen:

Dann habe ich dazu folgende Fragen:
- wie kann ich prüfen, ob bei meinen gesicherten Daten auf dem Stick nicht genau der Trojaner drauf ist und ich ihn mir nicht wieder auf den neu eingerichteten Rechner ziehe ?

- kann ich meine Outlook-eMails irgendwie retten ?

- wie mache ich meinen Rechner "platt" ?

- wie bekomme ich danach windows XP wieder drauf ?
Hab den Rechner von meinem SchwiePa übernommen und da war bereits alles drauf installiert....

- Ist AVG als Schutz eine gute Wahl oder sollte ich dann lieber etwas anderes nehmen ?

Oh man, entschudlige bitte für die vielen Fragen, aber die Situation überfordert mich etwas ! :dummguck:

AVG als Bezahl oder Free Version?

Die Free Version bietet keinen RootkitSchutz. Ich poste die dazu dann mal allerhand.

Deinen USB Stick und so kannst du nur mit verschiedenen Scanner untersuchen und dann hoffen, dass alle sin Ordnung ist. Außerdem solltest du nur Dateien sichern die nicht ausführbar sind. Steht aber auch alles nochmal ganz genau in der Anleitung die ich dir gleich post.

Hast du die Windos CD? Die brauchst du auf jeden Fall!

Testversion von dem hier nutzen um Outlook zu sichern: http://www.mobackup.de/

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista/Win7:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.


Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit einem aktuellen Virenscanner untersucht werden!

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Jegliche AV-Scanner finden nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich Windows7PE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.pcwelt.de/start/software_...-vista-und-xp/


Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!






Und hier noch ein paar Sachen damit der Rechner auch sauber bleibt.. ;)

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel:
  AntiVir free (kostenlos und gut), Norton AV (sehr gute Erkennungsleistung), NOD32 AV (sehr schnell und solide), avast free (kostenlos und gut) .
  Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
  Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
  Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack2
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista und Windows 7 können einige Dienste deaktiviert werden: TechNET
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista & Windows 7_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Der Flash Player sollte sicher konfiguriert werden.
  .
• Der Windows Autorun sollte unbedingt deaktiviert werden! Hier steht beschrieben wie.
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Oh man, ich bin ja jetzt schon völlig demotiviert :o

- AVG hab ich die Freeware. Gibt es denn eine andere empfehlenswerte Freeware ?

- Sollte ich dann die ausführbaren Dateien auf´m Stick wie einige word-Dokumente lieber löschen ? Das wäre eher suboptimal - weil wichtig ! :daumenrunter:

- Die Windows-CD habe ich nicht, da ich den Rechner übernommen habe, als mein SchwiePa gestorben ist. Zubehör wurde keines gefunden. Und jetzt ?

Dann vll. doch eher "nur" eine Bereinigung ?
Ach man, ich weiss garnicht mehr wo mir der Kopf steht :dummguck:

Aber schonmal vielen Dank an dich für deine Hilfe :bussi:

Ach was, ganz ruhig. Du bist nur von der Menge Text erschlagen.
Eigentlich ist das alles garnicht kompliziert.
Du musst nur lernen in aller Ruhe ordentlich zu lesen.
Fast alle deiner Fragen sind nämlich eigentlich schon beantwortet.. :)

avast! free oder AntiVir free. Die Links stehen auch schon. ;)

Word Dokumente sind nicht ausführbar! Tauchen ja auch nicht in der Liste auf die ich dir verlinkt habe... ;) Sie können allerdings mit Malro Viren infiziert sein. Davon gehe ich bei dir aber erstmal nicht aus. Überprüfe sie vor dem Wiederaufspielen mit einem aktuellen Virenscanner.


Das du deine CD nicht hast ist natürlich ziemlich blöd denn auch während der Bereinigung kann es sein, dass wir diese benötigen.
Wir können es versuchen aber die Wahrscheinlichkeite das etwas "kaputt" geht was wir mit der Windows CD wieder richten müssten ist relativ hoch.


Poste mal bitte ein OSAM sowie zwei AVZ logs.

Danke, für deine Ruhe. Das überträgt sich :D

Nich gesehen... :o

aber word sind doch .doc Dateien oder nicht ? Und doc taucht in der Liste auf, wenn ich mich nicht verguckt habe.

Ach man, was mach ich dann jetzt ?
CD ist definitiv nicht mehr vorhanden, da Haus verkauft und alles GROSSZÜGIG von der Familie aussortiert wurde. Ich könnte :pukeface:

Das mache ich dann gegen Mittag (bin jetzt noch in der Firma)

Stimmt, du hast. Recht! :)

Sollte aber kein Problem sein. Wie gesagt: Mit einem Virenscanner überprüfen.

Wir versuchen das jetzt erstmal ohne CD. Ich würde dir aber raten die XP einfach nochmal zu kaufen.
Ist nicht teuer und früher oder später brauchst du die CD sowieso.

http://www.amazon.de/Microsoft-Betri...0821737&sr=8-1

DAS hören wir Frauen doch gerne ! :huepp:

Und wie ? Stick rein in Rechner und Scanner laufen lassen ?

Wenn das geht, ist doch super :abklatsch:

OSAM kann ich downloaden, aber weder öffnen noch entpacken
:dummguck:

Beim AVZ bin ich jetzt dran....

- Ordner angelegt
- Datei ist drin
- entpakcen kann ich sie nicht, aber öffen
- komme dann auf einen Ordner "AVZ4"
- dann kommt ein Ordner "Base" und einige weitere Dateien, aber kein AVZ.exe zu sehen
?!?!

Hab auch schon versucht die Datei zu "extrahieren".
Dann sehe ich auch noch eine nette Datei mit nem Schwert....

Warum kannst du OSAM weder öffnen noch entpacken?
Ach so, das ist ein rar archiv. Dazu brauchst du einen rar Entpacker um das entpacken zu können: http://free-rar-extract-frog.softonic.de/


AVZ müsste aber so gehen...
Die nette Datei mit dem Schwert musst du anklicken. Aber die sollte eigentlich auch da sein wenn du den rdner entpackst...

OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

Sodele ....

ich hoffe, ich habe alles richtig gemacht :D

Zumindest sind die Dateien schonmal hochgeladen :applaus:

P.S.: Mal ne kurze Frage:
Macht ihr das hier alles "ehrenamtlich" oder finanziert ihr euch aus den Spenden ?

undoreal ???

Ohne dich schaffe ich es doch nicht .... :heulen:

Ja, wir machen das ehrenamtlich. Es gibt allerdings ein Trojaner-Board Spenden Konto. Link findest du in meiner Signatur.

Sag mal, lief auf dem Rechner vor AVG mal CA eTrust AntiVirus? Da sind noch jede Menge Reste drauf was nicht so sehr gut ist.
Taucht da irgendwas von unter Start -> Systemsteuerung -> Software auf? Wenn ja dann deinstalliere es bitte!
Lasse danach cCleaner laufen.

Gibt es noch Probleme am Rechner? Wenn ja, welche?


Scanne den Rechner bitte mit gmer und Combofix und poste beide logs.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK
  Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
  Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ja, hast recht, davon war noch was drauf. Hab ich jetzt entfernt und gecleant.

Der erste Log: .... ist das wirklich richtig ?? Ist so wenig, für so nen langen Scan....


GMER Logfile:
--- --- ---

Alles O.k. weiter mit Combofix...

Also Combofix hat da irgendwie 50 Tests durchgeführt und 2 Dateien als gelöscht (?) makiert, aber das Fenster ging nicht mehr zu und da kam auch keine .txt.

Der Hintergrund war schwarz und oben und unten stand "abgesicherter" Modus.

Ich MUSSTE den PC per Kopfdruck ausmachen, da ich anders nicht mehr raus kam.

Nun habe ich den PC nochmal "normal" gestartet und Firefox und IE funzen wieder.
Habe den PC nochmal nach combofix.txt durchsucht, aber nichts gefunden.

Soll ich Combofix nochmal durchführen, damit ich dir die .txt-Daten liefern kann ?

Wie lange hast du gewartet?

Das ist jetzt weniger gut weil wir kein logfile haben...

Hmpf. dann wirst du CF wohl nochmal ausführen müssen; leider kommen wir auch dadurch nicht an das logfile vom ersten Run.

Ich habe nach 10 Min geschaut, da tat sich noch was.
Nach 15 Min. nichts mehr
Nach 20 Min. auch nicht
Nach 25 Min. hab ich es dann gewagt und ausgeschaltet

Ich mach CF nochmal ...

Jetzt hat es geklappt:


Combofix Logfile:
--- --- ---

Ich will ja nicht nerven .....

aber bevor ich ihn Vergessenheit gerade ..... :kaffee:

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Was ist in diesem Ordner drinn?