Trojaner malware sicher entfernen

[Banub]

Ich habe seit ein paar Tagen ein Problem immer wenn ich eine url eingebe die es nicht gibt,die nicht registriert ist erscheint bei mir plötzlich eine parkingseite keine Ahnung wo her.

Ich habe mir warscheinlich irgendwie einen Trojaner oder malware eingefangen
wie kann ich diesen erkennen und erfolgreich entfernen.

Wäre super wenn mir helfen könnte....

 

[Zapp]

Welcher Provider?

 

[Banub]

Der Provider ist 1und1

Ich weiss auch nicht das ganze system ist irgendwie lahmer geworden..

 

[Sunblind]

Das ist ein unschönes Browser-Plugin.

Bitte mal malware-bytes ziehen und laufen lassen.
Danach bitte Hijackthis ziehen, ausführen und Report posten.

Grüße
René

 

[Sunblind]

Der Provider ist 1und1

Ich weiss auch nicht das ganze system ist irgendwie lahmer geworden..

Bitte mal den Taskmanager starten und Deine CPU-Auslastung im Ruhezustand mitteilen, dann die Prozesse nach CPU-Auslastung sortieren und die Namen der Prozesse, die die höchste Auslastung verursachen, posten.

 

[Arithmos]

Das kann auch an Deinem ZugangsProvider liegen - und zwar an deren DNS.
Etliche blenden da irgendwas ein, mit dem sie Geld verdienen wollen, wenn es die Domain nicht gibt.

Versuche mal diesen DNS einzustellen:

129.69.1.2

oder wahlweise einen von diesen hier:

Ungefiltert surfen mit freien Nameservern

Die bringen die richtige Meldung, wenn es eine Doman nicht gibt oder sie nicht konnektiert ist.

Gruß
M.

 

[Sunblind]

Das kann auch an Deinem ZugangsProvider liegen - und zwar an deren DNS.

Das KANN gut sein, muss aber nicht. Die von mir beschriebene Vorgehensweise ist dennoch empfehlenswert, ich selbst hatte mal auf einem anderen Rechner eine derartige, sehr lästige Malware.

 

[Banub]

Jetzt scannt das Programm schon eine Stunde und noch kein Ende in Sicht hat inzwischen schon 6 infizierungen gefunden,werde weiter berichten..

 

[Banub]

Hier nun der Bericht

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3726
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11.02.2010 21:26:13
mbam-log-2010-02-11 (21-26-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 238024
Laufzeit: 54 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{ef34404a-747c-81d8-843a-d938e181273d} (Adware.BHO.FL) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\glp-p- (Adware.LoudMo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AppDataLow\HavingFunOnline (Adware.BHO.FL) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f12ab2de-b413-81ca-b58a-d21cae1fb443} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f12ab2de-b413-81ca-b58a-d21cae1fb443} (Adware.AdRotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$Recycle.Bin\S-1-5-21-3714785015-3297012302-1769690838-1001\$RF1QFGU.exe (Adware.MediaPass) -> Quarantined and deleted successfully.
C:\Users\Juergen\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1HILCP0O\FLVDirect[1].exe (Adware.MediaPass) -> Quarantined and deleted successfully.
C:\Windows\System32\GLP-p-.exe (Adware.LoudMo) -> Quarantined and deleted successfully.
C:\Windows\SysWOW64\GLP-p-.exe (Adware.LoudMo) -> Quarantined and deleted successfully.
C:\Windows\SysWOW64\TjGj-31.dll (Adware.AdRotator) -> Delete on reboot.

Habe alle infizierungen gelöscht aber das system verhält sich immer merkwürdiger dauert immer länger bis der computer startet

 

[Sunblind]

Hallo Banub,

ich warte noch auf den Hijackthis-Log und
die Angaben zur CPU Auslastung, siehe oben.

 

[Sunblind]

hmm.. lt. dem Log wurden einige
Browser-schädlinge gelöscht. kommt dir umleitung auf dir parkingseiten immer noch?
Die kam nur beim IE, nicht beim FF, oder?

 

[Banub]

Hi Rene

Sorry wo aber gibt es bei windows7 einen taskmanager
und wo und wie startet man das highjacking Programm

 

[Banub]

Hi Rene

Jetzt habe ich es kapiert habe das highjackin Programm ausgeführt und hier nun das logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:43, on 11.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe
c:\PROGRA~2\mcafee.com\agent\mcagent.exe
C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMTray.exe
C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
C:\Program Files (x86)\Ashampoo\Ashampoo UnInstaller 2010\UIWatcher.exe
C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE
C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE
C:\Windows\AsScrPro.exe
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
C:\Program Files (x86)\Fighters\SPYWAREfighter\swproTray.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Asus By MSN
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Software Downloads - Software auf Viren geprft
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, News, Sport, Music, Movies, Money, Cars, Shopping, Windows Live from MSN UK
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Software Downloads - Software auf Viren geprft
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~2\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files (x86)\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [OfficeSyncProcess] C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
O4 - HKCU\..\Run: [UIWatcher] C:\Program Files (x86)\Ashampoo\Ashampoo UnInstaller 2010\UIWatcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Microsoft SharePoint Workspace.lnk = C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE
O4 - Global Startup: FancyStart daemon.lnk = ?
O4 - Global Startup: SRS Premium Sound.lnk = ?

 

[Sunblind]

Windows 7, achso.. Sorry.

Zwei Sachen:

Führe nochmal Hijackthis aus und mache bei allen
R0 und R1 Einträgen ein Häkchen rein und fixen/löschen.
Danach musst Du Deine Browsereinstellungen aber wieder erstellen.

Dann beende mal bitte das MCAffee Programm und guck
ob der PC immer noch lahmt. Dieser Virenscanner
spinnt oft rum, nach manchem Update.

Ausserdem kommt mir u.a. das Browser Helper Object (BHO) "URLRedirection" komisch vor?

 

[Banub]

Ich kann machen was ich will beim Start von windows7 dauert es ewig bis man zugreifen kann,programme starten dauert plötzlich ewig ich werde noch kirre.

 

[Sunblind]

Wenn Du auf Fragen keine richtige Auskunft gibst und nur so schwerfällig kommunizierst, hab ich jetzt auch keine Lust mehr.

mfg

 

[Banub]

Hi Rene ich würde sagen beenden wir das ganze für heute muss mal sehen wen nichts anderes hilft schmeisse ich alles runter und instaliere alles neu.

 

[Paul_Kuhn]

Ähem, hüstel, wieso unterhaltet ihr euch nicht per PM/Telefon/Skype/etc?
@Banub: schon mal hier gewesen mit deinem Logfile?

Ahoi!

 

[Banub]

Hi Rene

Besten dank für deine Bemühungen habe mich für die Radikalmethode entschlossen alles runtergeschmissen Betriebssystem neu instaliert..

Jetzt funzt alles wieder einwandfrei...


gruss juergen