Beiträge von Docc

Den ganzen Ärger kannst du dir künftig ersparen, wenn du Software, insbesondere deine zahlreichen Browsererweiterungen nicht mehr über Softonic.de o.ä. ziehst, sondern unmittelbar beim jeweiligen Hersteller der Software.

O2 - BHO: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files\Softonic\Softonic\1.5.21.0\bh\Softonic.dll


O3 - Toolbar: Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files\Softonic\Softonic\1.5.21.0\SoftonicTlbr.dll

Das Folgende kann komplett raus (nichts davon ist für den reibungslosen Betrieb deines Rechners erforderlich):

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll


O2 - BHO: SparweltGutscheinAlarm.Sparwelt_Gutschein_Tool - {10945114-b19f-4614-8450-b25e444a1020} - mscoree.dll (file missing)


O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll


O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - 
C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)


O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll


O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll


O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll


O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll


O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll


O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll


O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll


O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll


O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll


O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)


O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)


O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)


O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)


O2 - BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - (no file)

AVG Secure Search uninstall: http://www.avg.com/de-de/secure-search-uninstall

Rebooten, testen und anschließend ein neues HijackThis-Log posten.

Zitat von manni46

habe die teile gefixt, aber immer noch ohne ergebnis

Wenn du die Einträge gefixt hast, ist die Toolbar weg.

Mach bitte mal einen Screenshot, auf dem zu sehen ist, was dich stört. Ich fürchte nämlich, dass wir hier an einander vorbei reden.

Hallo manni46!

Zitat von manni46

die avg Toolbar trohnt noch immer beinm Firefox

Ja, weil du dich auf den Begriff "AVG" gestürzt hast.

Die eigentliche AVG-Toolbar ist das hier:

R3 - URLSearchHook: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\tbWin1.dll


O2 - BHO: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\tbWin1.dll


O3 - Toolbar: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\tbWin1.dll

Schau mal nach, ob sich das über einen Eintrag in "Systemsteuerung > Software" deinstallieren lässt.

Ansonsten bitte ausschließlich diese drei Einträge via HijackThis fixen. Das machst du bitte so: Auf der Programmoberfläche von HijackThis klickst du unten links auf den Button "fix checked". Damit bist du deine AVG-Toolbar los.

Dann rebooten und testen. Melde dich dann bitte noch einmal.

Die folgenden beiden AVG-Einträge bitte vorerst unangetastet lassen!

O2 - BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - (no file)


O9 - Extra button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - (no file)

gruß,
docc

Hallo manni46,

es gibt einiges an Software, die in ihrem Fahrwasser conduit bzw. die AVG-Toolbar mitbringt. Die Installation lässt sich nur durch eine benutzergeführte Installation verhindern. Die Software ist immerhin so fair, dass der User ihrer Installation explizit zustimmen muss.

Erstelle bitte mit Adminrechten ein HijackThis-Logfile und poste es hier. Dann könnten wir mal schauen, welcher Kandidat dich mit der Toolbar beglückt hat. - Bitte nichts fixen oder löschen!!

btw:
Bitte auch auf weitere Registry-Rasuren verzichten. Da dadurch lediglich jene Reg-Schlüssel erfasst werden, die das entsprechende Suchwort (z. B. conduit oder AVG) enthalten. Wenn diese Schlüssel erst mal entfernt sind, hast du kaum noch eine Chance, die restlichen Artefakte zu finden.

gruß,
docc

Für einen schnellen Blick durchs Schlüsselloch reicht es. Will man mehr sehen, muss man auf Autoruns, ProcessExlorer oder auch OTL zurückgreifen. Aber dann muss man "zu Fuß" analysieren. Und das ist aus der Ferne bei einem Fremdsystem mit vertretbarem Aufwand kaum zu leisten.

Hallo flowery!

Zitat von flowery

Ich habe Firefox noch einmal unter einem eigenen Ordner installiert. Seit dem läuft alles wieder (scheinbar?) normal und Malewarebytes findet auch bei intensivem Scan keine Fehler mehr.

Der Rechner sollte vor dem erneuten Scan mindestens ein Reboot durchlaufen haben. Wurde das gemacht?

Zitat von flowery

Nachdem ich diese Datei in die Quarantäne verschoben hatte, lässt sich nun Firefox nicht mehr öffnen.

Demnach befindet sich die Datei weiterhin in Quarantäne.

Diese Datei stellst du bitte wieder her. Sie befindet sich dann wieder in ihrem ursprünglichen Verzeichnis [C:\Program Files\mozjs.dll], und steht damit für eine halbwegs belastbare Analyse zur Verfügung.

Lade diese Datei anschließend bei VirusTotal.com hoch und poste den Link zu dem Analyseergebnis. - Und bitte nichts löschen!!

Befinden sich weitere Dateien in Quarantäne?

Gab es auf dem System in der Vergangenheit Malwareprobleme?

gruß,
docc

@ Sharif

Zitat von Sharif

Thema erledigt.

Okay. - Mit derzeitigem Kenntnisstand gibt es keinen nachvollziehbaren Grund diese lustige Raterunde weiterlaufen zu lassen.

Ich mache diesen Thread dicht, weil nach >14 Postings immer noch nicht zweifelsfrei geklärt ist, welche Versionsnummer du nutzt.

Wenn du weiterhin an einer Problemlösung interessiert bist, kannst du mir eine PN schicken. Dann würde ich den Thread wieder öffnen.

gruß,
docc

Zitat von Boersenfeger

Ich denke, er benutzt Firefox 14 b 7, hat dies nur schlampig rübergebracht...

Ja, wäre zumindest denkbar. - Aber wenn so eine "Schlamperei" letztlich einen Thread mit >14 Beiträgen hervorbringt, ist das ärgerlich.

Hallo Sharif!

Zitat von Sharif

Ich hatte geschrieben "Habe unter Windows 7 (32bit) die FireFox Beta 7 am laufen."

Exakt diese von dir verwendete Betaversion von Firefox 7 sorgt hier für reichlich Verwirrung. Aber das hat dir ja bereits Bernd gesagt.

In diesem Zusammenhang ist mir weiterhin völlig schleierhaft, wieso du im Juni 2012 mit dieser uralten Betaversion hantierst. Denn selbst diese Beta war bereits Ende September vergangenen Jahres von einer fix und fertigen ReleaseVersion abgelöst worden, die wiederum durch das Update auf 7.0.1 ersetzt wurde.

Mittlerweile sind wir fast ein dreiviertel Jahr weiter. Derzeit aktuell ist Fx 13.0.1. angesichts des von dir beschriebenen Problems macht es also keinerlei Sinn, jetzt noch nach Fehlern zu suchen, die im Zusammenhang mit Fx 7 beta stehen.

gruß,
docc

Zitat von Sharif

Habe unter Windows 7 (32bit) die FireFox Beta 7 am laufen.

[...]

Das Problem bestand auch schon mit der ersten Beta 6

Ist das dein Ernst?

Zitat von Sharif

Hab es jetzt probiert mit dem Protected Mode deaktivieren. Das hat bei mir geholfen.

Warum so kompliziert?

Das müsste allein schon durch ein Update auf Fx 13.0.1 wieder laufen.

Hier ein Workaround:

http://www.heise.de/security/meldu…ln-1619022.html

und hier das gleiche samt News Update:

http://www.h-online.com/open/news/item…te-1619399.html

Hallo Headcrash,

die gleiche unerwünschte Start-/Suchseite war in einem anderen Thread eines der Symptome einer tief greifenden Kompromittierung des gesamten Systems.

Lies dir diesen Thread bitte mal durch: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=98430

Darin ist auch beschrieben, wie die ganze Sache funktioniert.

In diesem Fall ging es um die Seite

http://www.private-krankenkasse-checken.de (ParkingCrew)

bei dir ist es

http://www.fotobuch-guenstiger24.de (Wobei ich die Rolle von ParkingCrew in oben genanntem Thread auf Seite 5 erklärt habe.)

Beide Seiten sind völlig ungefährlich. Nicht aber die Methode, mit der die Umleitung ausgeführt wird.

Zitat von Headcrash

so hab das Problem gelöst in dem ich Firefox neuaufgesetzt habe.

Ich will nicht ausschließen, dass damit dein Problem gelöst ist. Als reine Adware kann man diese Start-/Suchseite jedoch nicht einstufen, da sie über eine Lücke im Windows-Kernel oder über eine Sicherheitslücke in der Peripherie auf das System gelangt ist. Ohne näheren Einblick in dein System lässt sich nicht viel mehr dazu sagen.

Statt dessen solltest du dem System mal sehr gründlich auf den Zahn fühlen.

gruß,
docc

Zitat von Magnum

RapidShare - Directdownload geht nicht mehr

Schau dir mal deine Proxy-Einstellungen an.

Zitat von Magnum

Wenn ich Avast komplett deinstalliere hab ich keinen Virenschutz mehr. Wäre es da nicht sinnvoller die Avast Firewall oder die Win 7 Firewall zu deaktivieren?

Wenn ich mir den Tipp erlauben darf: Die Windows-Firewall macht ihren Job sehr gut. Es ist also nicht erforderlich auch noch Avast die Ports überwachen zu lassen. Ein Mehr an Sicherheit erreichst du damit nicht.

Zitat von Fox2Fox

Es sollte grundsätzlich nur eine einzige Firewall laufen. Mehrere Firewalls behindern sich gegenseitig und erfüllen den Wunsch nach mehr Sicherheit nicht.

Viel hilft zwar nicht viel. Da gebe ich dir recht. Dennoch ist es problemlos möglich, eine oder mehrere Firewalls parallel aktiv zu betreiben. Denke bitte mal an all jene User, die hinter der Firewall ihres Routers sitzen und parallel die Windows-Firewall laufen haben. Derartige Konfigurationen laufen millionenfach einwandfrei.

Probleme gibt es allenfalls dann, wenn die Software-Firewall eines Drittanbieters installiert wird, und diese aufgrund fehlender Netzwerkkenntnisse falsch konfiguriert ist. Dann ist das System entweder in beide Richtungen komplett dicht und nix geht mehr, oder jede Menge Ports sind offen und das System ruft laut ins I-Net hinaus "wer rein will, darf rein".

Hallo Thomas_65!

Zitat von Thomas_65

ist das jetzt nicht ein sicherheitsrisiko?

Nein, das nimmt weder Einfluss auf die Sicherheit deines Browsers, noch auf die des Systems. - Zumal das Häkchen bei "Webseite mitteilen, dass ich nicht verfolgt werden möchte" ohnehin nicht zu den Sicherheitsfeatures von Firefox gehört, sondern allenfalls das Thema "Privatsphäre" tangiert.

Darüber hinaus ist das ein zahnloser Tiger, weil du als User damit lediglich gegenüber einem Webseitenbetreiber den Wunsch äußerst, nicht verfolgt zu werden. Die wenigsten Webseitenbetreiber halten sich derzeit an diesen Wunsch, und machen es trotzdem. Darauf hat Firefox keinen Einfluss.

gruß,
docc

Hallo Varbeast!

Zitat von Varbeast

Ich habe vor kurzem aus Versehen allssearch heruntergeladen und installiert.

Bitte die exakte Schreibweise sowie die damit verbundene TLD von dieser Startpage posten. Es gibt eine ganze Reihe sehr ähnlicher Seiten.

Kannst du dich an den Downloadort erinnern?
Von welchem Betriebssystem sprechen wir?

Bitte in der Systemsteuerung unter "Software" nachsehen, ob diese Searchsite dort aufgeführt wird. Aber nicht entfernen, sondern nur nachsehen!!

gruß,
docc

Hallo Tuschel!

Zitat von Tuschel

ich kann nichts mehr anclicken, kein Fenster schließen...nix...nur noch den Akku rausnehmen, damit das Laptop wieder neu hochfährt

Das hört sich nach einem veritablen Windows-Absturz an. Insofern ist schwer vorstellbar, dass allein Firefox ursächlich sein soll.

Läuft in Firefox die Hardwarebeschleunigung mit?
Ebenso auch mal testweise die Hardwarebeschleunigung im Flashplayer deaktivieren.
Der Grafiktreiber ist aktuell?

gruß,
docc

@ Preussenmatt

Es ist doch völlig unstrittig, das Schadcode auf deinem System ausgeführt wurde. Oder hast du dir etwa die Fundmeldungen und Analysen in diesem ellenlangen Thread nicht angesehen?? Allein was GData, mbam, Virustotal und Virscan.org auswerfen, sollte doch allemal reichen.

Es macht den Kohl nicht fett, ob dieser eine Schädling im E-Mail-Anhang ausgeführt wurde oder nicht. Allein das startsearch.ch (siehe mbam Quickscan) ausgeführt wurde, reicht doch.

Was auf deinem System stattgefunden hat, und was derzeit stattfindet habe ich dir doch haarklein erläutert. Ist davon gar nichts angekommen???

Du beschwerst dich immer wieder, das deine Klicks im Browser hartnäckig umgeleitet werden. Das ist nicht die Caritas, die das macht. Das ist der Schadcode, der auf deinem System weiterhin ausgeführt wird.

PS
Preussenmatt, entscheide dich bitte, und sage konkret wie du jetzt vorzugehen gedenkst. Dieser Eiertanz hier macht nämlich keinen Sinn.

Hallo Meto,

Trojan Fake Alert ist ein weiterer Schädling auf diesem System. Dieser lässt sich aber mit dem von dir verlinkten Tool nicht entfernen. Zudem ist "Trojan Fake Alert" innerhalb von mbam nur ein Synonym für eine komplexe Schädlingsgruppe. Man kann aus der Bezeichnung "Trojan Fake Alert" nicht zwangsläufig direkte Rückschlüsse auf einen einzelnen (also namentlich bestimmten) Schädling ableiten.

Zitat von Meto

hab da irgendwo was von Hijacker gelesen, vor o. nach dem Quickscan!

Ein Hijacker wird wohl das geringste Problem von Preussenmatt sein. Ich denke da eher an Backdoor, Dropper, Rootkit, also das volle Programm.

gruß,
docc

@ Preussenmatt

bitte die Antwort vom GData-Support nicht falsch interpretieren!!!!

Zitat von GData-Support

Glücklicherweise können E-Mail Viren in diesem Zustand keinen Schaden anrichten, da diese ja im Regelfall von Ihnen geöffnet werden müssen.

Das ist hinfällig, weil der schädliche E-Mail-Anhang auf deinem System bereits geöffnet und ausgeführt wurde. Damit hat sich der Schädling auf dem System installiert. Dieser Zustand ist nicht reversibel!

Zitat von GData-Support

Um also eine genaue Anzeige zu erhalten und sich von unliebsamen Mails zu trennen sollten Sie in Zukunft im Thunderbird Programm regelmäßig die Funktion "Ordner komprimieren" auf alle Mailordner anwenden.

GData spricht von "unliebsamen Mails". Damit sind z. B. ungefährliche Spam-Mails und Mails gemeint, die man persönlich nicht mehr benötigt. Wenn eine E-Mail Schadcode beinhaltet, kann die Komprimierung nichts daran ändern, weil sich der Schädling nicht mehr innerhalb der E-Mail befindet, sondern auf dem Rechnersystem installiert wurde. Die Ordner-Komprimierung von Thunderbird hat keinerlei Einfluss auf das Betriebssystem.

Zitat von GData-Support

Finden sich danach noch Virenmeldungen über Emailviren in Thunderbird Posteingangsfächern oder Papierkörben, so sind diese im Thunderbird ausfindig zu machen und zu löschen, danach sollten Sie direkt die Ordner, aus denen diese Virenmails entfernt wurden, komprimiert werden.

Auch das gilt ausschließlich für den Fall, dass der Schadcode noch nicht ausgeführt wurde.