Bad Request 400 Firefox/ Falsche Verlinkung IE (Gomeo usw.)
 

Hallo zusammen!

Ich bin neu in diesem Forum und hoffe, dass ich alle Formalitäten beachte.

Zu meinem Problem: Seit kurzem kann ich mit Firefox so gut wie keine Seiten mehr öffnen. Stattdessen bekomme ich die Meldung:

Bad Request

Your browser sent a request that this server could not understand.
Request header field is missing ':' separator.

Prox

Ausnahmen sind etwa Google.com oder die HP der Sparkasse. Jedoch erhalte ich bei 90% aller seiten obige Meldung.

Des Weiteren habe ich im Internet Explorer das Problem, dass von Google gefundene Seiten falsch verlinkt sind bzw ich auf Seiten wie gomeo.de oder monstermarketplace.com weitergeleitet werde, statt zu der gewünschten Seite.

Ich vermute, dass ich mir die Malware (Virus?Trojaner?) beim Betrachten von einem Flash-Video auf einer unbekannten Seite ca. eine Woche zuvor eingefangen habe. Dabei kam es nämlich zu Warnmeldungen von Antivir (kann leider nicht mehr sagen,wie genau die Meldung lautete und kann mich auch nicht mehr an die Seite erinnern). Bis vor zwei Tagen blieb dies jedoch ohne offensichtliche Auswirkungen.

Mir ist außerdem der Prozess conhost.exe im Task-Manager aufgefallen, der meines Erachtens vor dem Auftreten des Problems dort nicht vorhanden war bzw nun sogar zweimal gelistet ist. Einmal mit der Beschreibung "Host für Konsolenfenster" (Dateipfad: C:\Windows\System32) und einmal nur "conhost.exe" (Dateipfad: C:\Benutzer\***\AppData\Roaming\Microsoft). Letzt besagter Prozess startet sich automatisch nach dem manuellen Beenden wieder. Außerdem waren gestern auf einmal über 800 Prozesse im Task-Manager gelistet, darunter am meisten besagter conhost.exe.

Ich benutze Antivir und die Windows-Firewall unter Windows 7.
Habe bereits einen Systemcheck mit Antivir durchgeführt,welcher ohne Ergebnisse blieb.
Des Weiteren einen Systemcheck mit Spybot - Search & Destroy durchgeführt. Dort erhalte ich die Meldung, dass "DoubleClick", "Right Media", "Tradedoubler" und "Win32.Palevo" gefunden wurde. Diese Einträge tauchen auch nach dem vermeintlichen Entfernen bei erneuten Scans auf.

Ich hoffe ich habe alle benötigten Angaben gemacht.


Mfg

User90

P.S: Seit dem wahrscheinlichen Befallszeitpunkt habe ich mehrmals eine externe Festplatte bzw USB-Sticks an den PC angeschlossen. Müssen diese nun auch in irgendeiner Weise bereinigt werden oder bleibt dies ohne Auswirkung?

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

OTL.txt

Extras.txt

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
[2011.02.14 17:11:47 | 000,204,288 | ---- | C] () -- C:\Users\Daniel\AppData\Roaming\dwm.exe
:Files
C:\Users\Daniel\AppData\Roaming\dwm.exe
C:\Users\Daniel\AppData\Local\Temp\csrss.exe
C:\Users\Daniel\AppData\Local\Temp\csrss.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[resethosts]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-anleitung-uploadchannel-trojaner-board.html

Nach dem Klicken auf Fix startet der PC sofort neu und ich bekomme einen Bluescreen beim Runterfahren. Beim Hochfahren wird gemeldet, dass Windows nicht ordnungsgemäß runtergefahren wird und ich kann entscheiden, ob ich im abgesicherten Modus oder normal starten möchte.
Es wird kein Textfile erstellt (wo sollte dieser zu finden sein, im OTL Ordner?) und unter C: findet sich auch kein _OTL bzw. moved files.

btw danke für die schnellen antworten

kannst du mal zusätzlich noch folgende zeile nach :OTL einfügen:
F3 - HKU\S-1-5-21-1829377223-3649973229-498654646-1001 WinNT: Load - (C:\Users\Daniel\AppData\Local\Temp\csrss.exe) - C:\Users\Daniel\AppData\Local\Temp\csrss.exe
()

aber du musst darauf achten dass es in otl hintereinander steht
und nach
.exe muss ein leerzeichen und dann erst ()
kommen.
wenn otl trotzdem nicht läuft versuchs mal im abgesichertem modus.

Das Ergebnis ist nach Einfügen der Zeile das gleiche, sowohl im normalen als auch im abgesicherten Modus.

Hab im Anhang einen Screenshot beigefügt. Der Text ist richtig eingefügt oder? Einstellungen habe ich ebenfalls so wie auf dem Screenshot zu sehen.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ComboFix.txt

neustar.

start programme zubehör editor kopiere rein.

Killall::

Rootkit::
C:\Users\Daniel\AppData\Roaming\dwm.exe
C:\Users\Daniel\AppData\Local\Temp\csrss.exe
C:\Users\Daniel\AppData\Local\Temp\csrss.exe

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"syscheckrt.exe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"conhost"=-

DDS::
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = http=127.0.0.1:59697


datei speichern unter, datei typ alle dateien.
name
cfscript.txt
dort speichern wo sich combofix.exe befindet, ziehe cfscript auf combofix, programm startet,log posten.

kannst du mal bitte computer öffnen, c: dort qoobox, den quarantain ordner packen und dann hochladen, der link ist unter dem otl script :-)

upload ist erfolgt;)

bitte poste ne neue otl.txt und berichte wie der pc läuft.

Die zweiten Prozesse von conhost.exe und dwm.exe sind nicht mehr im Task-Manager gelistet:)Verlinkung von Google im IE scheint wieder zu funktionieren. Firefox meldet nun einen anderen Fehler:

Fehler: Proxy-Server verweigert die Verbindung

Firefox wurde konfiguriert, einen Proxy-Server zu nutzen, der die Verbindung zurückweist.



* Überprüfen Sie bitte, ob die Proxy-Einstellungen korrekt sind

* Kontaktieren Sie bitte Ihren Netzwerk-Administrator, um sicherzustellen, dass der Proxy-Server funktioniert


Jetzt schoneinmal vielen vielen Dank für die kompetente und schnelle Hilfe! Auch wenn ich nicht verstehe, was ich die ganze Zeit überhaupt mache;)

Neuer OTL


Neuer Extras

öffne mal internet explorer, extras internet optionen, verbindung, lanverbindung, und nimm den haken bei proxy server verwenden raus.
übernehmen, ok
dann mal den ff testen.

haken ist und war nicht gesetzt

versuch mal firefox, extras einstellung, erweitert, netzwerk verbindung einstellung, kein proxy verwenden, ok.

tut es!:)...wie schon gesagt vielen danke für die hilfe!!

1.hat das ausschalten des proxys irgendwelche konsequenzen?
2.was mach ich mit den von den programmen erstellten ordnern,wie quoobox und den darin enthaltenen dateien (conhost.exe.vir,dwm.exe.vir)?
3.kann der virus wie eingangs gefragt auswirkungen auf externe festplatte etc gehabt haben oder kann ich die wieder sorgenfrei anschließen?

1. die malware hat einen proxy genutzt, über den dein datenverkerh geleitet wurde, wir haben die einstellung auf standard gesetzt
2. löschen wir später.
3. schließe alle externen datenträger an.
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

heyho

musste aus zeitgründen den ersten scan abbrechen,deswegen 2 logs

1. log

2.log

habe gerade festgestellt, dass in dem quoobox ordner noch die datei config.bin.vir vorhanden ist und von malwarebytes auch nicht beanstandet wurde,während die anderen beiden dateien gelöscht wurden

das ist nicht weiter tragisch.
hatt der pc noch probleme gemacht?

nein,sieht sehr gut aus:)

sowohl firefox,als auch ie scheinen wieder so gut wie einwandfrei zu funktionieren...firefox kommt mir evtl ein bisschen langsamer als vorher vor,aber das kann auch einbildung sein


danke dir vielmals!!

sind wir nun fertig?

wir testen noch sicherheitshalber
http://www.trojaner-board.de/74908-a...t-scanner.html
gmer log posten bitte

GMER log

sicherheitshalber mal tdss killer laufen lassen, bin mir bei einem eintrag im gmer log nicht sicher.
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?

TDSS log

es wurde eine bedrohung gefunden,die ich erstmal geskipt habe,weil ich nicht weiß inwiefern der eintrag gefährlich ist...im anhang ein screen mit besagter datei

sptd.sys
gehört zu daimon tools
ist der ff immernoch langsam?

wie gesagt,das kann auch einbildung sein...wenn überhaupt vllt ne halbe sekunde langsamer beim seiten laden

bitte erst mal nen neues otl log.
einfach auf scan klicken genügt diesmal.

OTL log

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (gupdate) Google Update Service (gupdate) -- File not found
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 59697

:Files

:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

zum besseren lesen auch nochmal im anhang

Adobe Reader 9
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
Audiosurf
Bonjour
Combined Community Codec Pack
CuteFTP
DivX-Setup
Hama
IrfanView
Java
neue version:
Java SE Downloads
klicke "download jre"
mkv2vob
Spybot ist nicht mehr sonderlich zeitgemäß ich finde man kann drauf verzichten.
TomTom beide.
TuneUp auf solchen müll verzichte.
es kann viele programm funktionen, auch windows update beeinträchtigen, und den pc machst auch nicht schneller. das was du an vermeindlichem zuwachs hast ist unter plazebo zu verbuchen
bereinige mit dem ccleaner.

1.cuteftp lässt sich nicht deinstallieren, es kommt nur die meldung welche komponenten installiert werden sollen
2. musste für den adobe download,einen downloadmanager runterladen...kann ich den wieder deinstallieren?

1.
versuche es mit revo:
http://www.hijackthis-forum.de/tipps...installer.html
2. nicht unbedingt, den brauchst du bei neuen versionen warscheinlich eh wieder.

hat geklappt:)

habe die reinigung mit ccleaner durchgeführt

deaktiviere die systemwiederherstellung auf allenlaufwerken:
Systemwiederherstellung deaktivieren unter Vista - Windows 7 Tipps, Optimieren, Tricks
warte 5 min, schalte sie wieder ein.
dies ist, wenn wie ich vermute, alles glatt läuft, der vorletzte scan.
[LIST][*]Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).[*]Danach die PPFScan.exe starten.[*]Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. [*]Wähle im Untermenü Script laden und ausführen.[*]Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. [*]Auf Nachfrage Dateien überschreiben lassen.[*]Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

hab die systemwiederherstellung direkt nach der installation von win 7 ausgestellt.soll ich sie wieder einschalten einfach?

wenn ja soll ich "systemeinstellungen und vorherige dateiversionen" oder "nur vorherige dateiversionen wiederherstellen" auswählen? und wie viel speicherplatz soll ich belegen lassen?

ne wir machen lieber mit backup software, das is besser. überspringen also

www.file-upload.net/download-3220567/PPF_Scan1.rar.html

kannst du nach nem neustart testen ob das firefox problem noch besteht?

es ist schwer zu beurteilen,aber kommt mir so vor als wär er wieder einen tick schneller geworden

dafür ist mir etwas anderes aufgefallen

wenn ich in icq nun schreibe ist die schrift plötzlilch kursiv, ohne dass es eingestellt ist

in ff sind die texte auf manchen seiten nun fettgedruckt, dieselben im ie kursiv, obwohl sie ganz normal sein müssten

hmm...
erst mal folgendes:
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

log posten

Antivir log, 1 Datei in Quarantäne verschoben

wie siehts aus wenn du ff und messenger mit revo de- und dann neu instalierst?
vorher lesezeichen sichern.

werde es versuchen

was genau passiert eigentlich,wenn man eine infizierte datei in quarantäne verschiebt? im prinzip bleibt sie doch dann auf dem rechner oder?

ja aber avira "verschlüsselt" die datei, sie wird gepackt und ist unschädlich. man kann die quarantäne aber leer machen.

aso,danke:)

beides neu aufgesetzt

der schriftfehler ist leider bei beiden noch vorhanden

start ausführen (suchen)
schriftarten
enter
einstellungen, standard einstellung ok
neustart und schauen.

keine änderung

vermutest du wieder malware oder einen einfachen windows fehler?

weis ich nicht.
weis du noch wann der fehler auftrat? nach einer bereinigungs aktion oder hast du irgendwas geendert?

ich meine entweder nach dem deinstallieren der programme oder nach dem ppfscan ist mir das aufgefallen

hast du vllt mit tuneup irgendwelche enderungen am system gemacht?

seitdem ich bin diesem forum bin nicht mehr

aber habe tuneup halt gestern mit deinstalliert

wenn du sicher sein solltest,dass es keine malware ist find ich es eig auch nicht tragisch...ich bin im moment nur froh, dass das alte problem erstmal gelöst scheint

ne ich meinte ob du mit tuneup irgendwelche enderungen am system gemacht hast?
ist das das einzige problem? browser läuft wieder wie er soll?

in letzter zeit hab ich keine änderungen gemacht

generell habe ich damit den autostart geändert,firefox und ie "getuned" und regelmäßig diese "1-click wartung" durchgeführt...aber mir fallen jetzt keine gravierenden änderungen ein


abgesehen von der schrift laufen beide browser stabil:)

ja vllt gabs dabei irgendwelchen enderungen...
ich meld mich falls mir noch was einfällt