DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: stuart am 01 November, 2012, 21:41
-
Hallo Würfel,
habe da ein Notebook, bei dem sich Google und Yahoo im Firefox nicht mormal verhält. Manchmal kommt nach dem Anklicken eines Suchergebnisses eine völlig andere Seite, keine Seite, eine Umfrageseite oder Avast blockiert eine gefährliche Seite. Wenn man den ursprünglichen Link anklickt, kommt dann nach dem ~3. mal die richtige Seite. Sucht man nach avast, hijack oder spybot dann kommt kein Suchergebnis. Bei Yahoo kommt manchmal eine leere Google-Seite.
Vorgestern wurde in Google auf einen pdf-Link geklickt, es kam ein Downloadfenster mit einer exe-Datei. Diese Datei wurde ausgeführt, was wahrscheinlich ein Fehler war... ;) Nachdem ich den pdf-Link anklickte, kam das richtige pdf.
Ursprünglich war Firefox 10 und AntiVir drauf. Eine Systemwiederherstellung, Firefox Deinstallation inkl. Löschen aller Firefox-Ordner auch in AppData, Firefox 16-Installation ohne Erfolg. Avast AV und Spybot S+D haben nichts gefunden. Bei Hijack kann ich dem log nichts entlocken...
Der IE funktioniert ohne Probleme.
Fällt Euch eine Alternative zu format c: ein...???
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:46:28, on 01.11.2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)
Boot mode: Normal
Running processes:
C:\Windows\PLFSetI.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe
C:\Users\Mamma\Downloads\HiJackThis204.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_8530&r=273612108136l0388z185t48k14636
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_8530&r=273612108136l0388z185t48k14636
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_8530&r=273612108136l0388z185t48k14636
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [stjchnnpf] rundll32 "C:\Users\Mamma\AppData\Roaming\WsmResk.dll",Hllnfhhh
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files (x86)\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 9484 bytes
-
Liest sich für mich wie Schadsoftware. Die war sicher auch schon vor den unitelligenten Nutzen der .exe im System. Daher mein Vorschlag: Linux Live CD runterladen und einmal durchlaufen lassen.
-
Was meinst Du mit "Linux Live CD einmal durchlaufen lassen" ?
-
z.B. eines von denen -> http://www.dvbcube.org/index.php?topic=25802.0
-
das probier ich mal...
-
Hi,
ich nutze für so etwas immer 2-3 Live-CDs, vornehmlich:
- Kaspersky Rescue CD
- Avira AntiVir Rescue System
Im Anschluss daran, solltest Du dann den PC noch mit Spybot S&D und Malwarebytes Anti-Malware checken, jeweils mit aktualisierten Databases, ob die noch was finden.
Dann noch CCleaner, Wise Disk Cleaner, Wise Registry Cleaner drüber laufen lassen, um sonstigen temporären Schrott zu entfernen.
dvb_ss2
-
hatte ein solchen Infekt auch schon mal, nur bei mir war auch der IE betroffen da half nur eine Neuinstallation, meine Meinung ist das eine Neuinstallation auch nicht länger dauert wie eine Reperatur des Systems.
Und nicht vergesssen Backup rulez...
Gruss Onb
-
... mal ein kleiner Zwischenbericht...
vorgestern wollte ich mit Kaspersky durchsuchen lassen, ging aber nicht, da die Mühle mit Linux zu heiß wurde und ausstieg. Firefox habe ich nochmal deinstalliert und sämtliche Firefox-Registryeinträge gelöscht.
Gestern hatte ich keine Zeit... ;)
Heute habe ich den Kühler sauber gemacht, und dann KasperskyRescue ran gelassen. Nach drei Stunden war der Suchlauf ohne Fund beendet. Momentan läuft AviraRescue. Bis jetzt wurden Warnungen gefunden, daß Installationsdateien von AviraAntiVir "encrypted" sind... ;D
Da jetzt auch der IE spinnt, werde ich wahrscheinlich trotzdem die Mühle platt machen...
...ach ja... und wie Onb schon schrieb, die Mühle neu aufsetzen dauert auch nicht länger und dann weis ich, daß sie sauber ist... ;)
-
hmm... ???
AviraRescue und Malwarebytes haben auch nichts gefunden... :-\
-
Zwischenfrage:
Benutzt man an dem Teil einen Mausersatz?
Dann schließe doch einmal eine ganz normale USB-Maus an, zum Vergleich.
-
Es ist egal, ob man das Touchpad oder eine USB Maus verwendet.
Habe heute Firefox wieder installiert, aber die Google-Links brachten sofort alle möglichen Seiten nur nicht die angeklickten... Mehrmals griff Avast und auch Malwarebytes ein. Beim IE gabs heute und gestern keine Probleme.
OK, die Mühle hat einen Treffer, aber warum kann man nichts finden. Beim Herunterfahren will auch immer ein Programm beendet werden, was vorher nicht war. Die Mühle muß neu aufgestzt werden, aber wo steckt das Mistding - nur Interessehalber ;)
-
Eventuell ein böses Rootkit o.ä.?!?
Hast Du Dir schonmal die Hosts-Datei angeschaut, ob die manipuliert wurde?
dvb_ss2
-
Hosts-Datei... sowas gibs auch... ???
Wo kann ich die finden und wie erkenne ich ob sie manipuliert wurde...? :)
-
Hosts-Datei... sowas gibs auch... ???
Natürlich ... -> C:\Windows\System32\drivers\etc
Wo kann ich die finden und wie erkenne ich ob sie manipuliert wurde...? :)
Wenn da Einträge betreffend Google auftauchen ...
-
...
Wenn da Einträge betreffend Google auftauchen ...
...dann bedeutet das entweder eine Infektion mit einem Rootkit o.ä., oder wenn man zahlreiche Einträge wie z.B.
127.0.0.1 googlde.it
oder
127.0.0.1 hausaufgaben-server.com
findet, dann stammen die von einer Immunisierung durch Spybot Search&Destroy.
Was auf die local host IP (127.0.0.1) hinweist, darf getrost als harmlos gelten, denn diese URL wird dadurch nur lokal gesucht und nicht per DNS im Netz.
Das ist direkt die Funktionsweise dieser Schutzmaßnahme.
Alles, was auf andere IPs zeigt, gilt als bösartig, wenn es nicht selbst von Hand angelegt wurde.
Mein Rat dazu:
Mit Spybot S&D nicht nur suchen, sondern auf jeden Fall (nach Aktualisierung) die Immunisierung durchführen.
Dadurch wird die hosts Datei bereinigt und neu gefüttert, damit tausende bekannter Seuchen-Seiten gesperrt.
Allerdings ist davon auszugehen, dass ein noch aktives Rootkit die Datei gleich wieder manipuliert.
Nur ist das dann auch leicht erkennbar, denn diese Datei "hosts" ohne Endung ist im Editor lesbar, und den schlägt Windows dafür auch vor.
In so einem Fall muss natürlich der Übeltäter unbedingt gefunden und beseitigt werden.
Oder Windows neu aufgesetzt, wobei die Partition unbedingt komplett formatiert werden sollte. Komplett, nicht schnell.
Und falls es noch andere Partitionen geben sollte, die man eigentlich behalten möchte, müssen zumindest alle eventuellen Dateien namens autorun.inf von dort aus der Grundebene gelöscht werden.
Jürgen
-
Hallo,
erstmal vielen Dank für Euere zahlreichen Hilfen! :jo
in C:\Windows\System32\drivers\etc ist keine Datei nach 2009 geändert worden und in hosts stehen nur Beispiele drin.
So ein Rotz... Die Zeit ist reif für Plan B ;)
-
... keine Datei nach 2009 geändert worden...
...das ist kein Kriterium, denn Dateien können durchaus verändert werden, ohne dass das Betriebssystem das merkt bzw. die Dateieigenschaften verändert werden.
Natürlich würde eine gut gemachte Malware auch so vorzugehen versuchen.
in hosts stehen nur Beispiele drin
...das ist richtig so.
Jedenfalls wenn wir nicht nur von der Datei hosts.sam reden, sondern wirklich von der Datei hosts, die tatsächlich keine Endung hat.
Aber damit sind wir tatsächlich nicht näher an den Grund der Probleme herangekommen :-\
Von speziellen Schädlingen für Firefox habe ich noch nichts gehört.
Allerdings könnte ein böses Plugin so etwas verursachen.
Ansonsten wäre es möglich, dass irgendein Bockmist jeden Netzwerkzugriff über einen Proxy leitet und / oder die DNS-Einstellungen manipuliert und die Umleitungen so selektiv extern vornimmt.
Das wäre u.U. auch per Manipulation am DSL-Router möglich, wodurch auf dem Rechner gar kein Schädling laufen müsste.
Indizien für so etwas könnte man gewinnen, wenn man einen betroffenen Rechner vorübergehend woanders testet, natürlich dann nur über einen DSL-Router, der vernünftig passwortgeschützt ist.
So würde ich's hier machen.
Jürgen