Antivirus 2009 hat IE gehijacked

Versuch obige Anleitung nochmal, laß aber das dienste beenden weg.

OK.
OTMovelt werkelt seit 20 min, ohne Ergebnis oder FM. Systemlast durch OTMOvelt 99%. Rechner steht aber nicht, andere Funktionen sind normal.
Weiter oder diesen Punkt abbrechen?

abbrechen, nun den onlinescan

OK, hier ist er (dauert echt lange):
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, August 16, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, August 16, 2008 18:36:16
Records in database: 1098755
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Files scanned: 117452
Threat name: 8
Infected objects: 8
Suspicious objects: 1
Duration of the scan: 03:14:59


File name / Threat name / Threats count
C:\Deckard\System Scanner\20080815183705\backup\DOKUME~1\JUTTAR~1\LOKALE~1\Temp\ProductPath\sysrep.exe Infected: not-a-virus:FraudTool.Win32.ErrClean.j 1
C:\Deckard\System Scanner\20080815183705\backup\DOKUME~1\JUTTAR~1\LOKALE~1\Temp\ProductPath\sysrep.exe Infected: not-a-virusownloader.Win32.WinFixer.ig 1
C:\Deckard\System Scanner\20080815183705\backup\DOKUME~1\JUTTAR~1\LOKALE~1\Temp\ProductPath\sysrep.exe Infected: not-a-virus:FraudTool.Win32.ErrClean.a 1
C:\Dokumente und Einstellungen\Jutta Remmert\Anwendungsdaten\Thunderbird\Profiles\ocyblouf.default\Mail\pop.1und1.de\Trash Suspicious: Trojan-Spy.HTML.Fraud.gen 1
D:\AAA Downloads\5.1.0.272f-5.1.0.272-sdregnow.exe Infected: not-a-virus:FraudTool.Win32.SpyNoMore.g 1
D:\Das kommunikative Haus\bin\Sicherung PostMe\USER1_04-2004\FOLDER\TRASH.MFD Infected: Email-Worm.Win32.NetSky.b 1
D:\webshots\webscene.exe Infected: not-a-virus:AdWare.Win32.Gator.1050 1
D:\Zwas-weiß-ich\RECYCLER\S-1-5-21-4087772427-3958095517-3942531886-1005\Dd1415.exe Infected: not-a-virus:AdWare.Win32.CommonName.z 1
D:\Zwas-weiß-ich\webshots\webscene.exe Infected: not-a-virus:AdWare.Win32.Gator.1050 1

The selected area was scanned.

nochmal OtMoveIt, diesmal diese Dateien einfügen:

C:\Dokumente und Einstellungen\Jutta Remmert\Anwendungsdaten\Thunderbird\Profiles\ocyblouf.default\Mail\pop.1und1.de\Trash
D:\AAA Downloads\5.1.0.272f-5.1.0.272-sdregnow.exe
D:\Das kommunikative Haus\bin\Sicherung PostMe\USER1_04-2004\FOLDER\TRASH.MFD
D:\webshots\webscene.exe
D:\Zwas-weiß-ich\RECYCLER\S-1-5-21-4087772427-3958095517-3942531886-1005\Dd1415.exe
D:\Zwas-weiß-ich\webshots\webscene.exe

ansonsten genau so anwenden wie oben.

=========

Dann nochmal OtMoveIt starten, Clean Up button drücken. Programm laufen lassen

=========

Systemwiederherstellung deaktivieren und wieder aktivieren:

• 
  •*Windows XP: Deaktiviere die
  Systemwiederherstellung
  •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
  •*Wähle den Reiter Systemwiederherstellung
  •*Mache einen Haken bei Systemwiederherstellung auf allen Laufwerken deaktivieren => drücke übernehmen
  •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
  •*den Haken wieder entfernen und OK drücken
  •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

===========

Onlinescan mit http://support.f-secure.com/ger/home/ols.shtml

===========

hoste mir im anschluss auf deiner schönen seite ein neues DSS-Logfile

schrauber schrieb:

D:\AAA Downloads\5.1.0.272f-5.1.0.272-sdregnow.exe

Zum Vergrößern anklicken....

gehört dies nicht zu PC-Tools Spyware Doctor (Version 5.1)? ???

D:\webshots\webscene.exe
D:\Zwas-weiß-ich\webshots\webscene.exe

Zum Vergrößern anklicken....

und dies zu Webshots Desktop?

pan_fee

Hola Schrauber,
Arbeitsliste erledigt und reports hochgeladen . Lief alles problemlos diesmal.

Soory, vergessen OTMoveIt-Report:

C:\Dokumente und Einstellungen\Jutta Remmert\Anwendungsdaten\Thunderbird\Profiles\ocyblouf.default\Mail\pop.1und1.de\Trash moved successfully.
D:\AAA Downloads\5.1.0.272f-5.1.0.272-sdregnow.exe moved successfully.
D:\Das kommunikative Haus\bin\Sicherung PostMe\USER1_04-2004\FOLDER\TRASH.MFD moved successfully.
D:\webshots\webscene.exe moved successfully.
D:\Zwas-weiß-ich\RECYCLER\S-1-5-21-4087772427-3958095517-3942531886-1005\Dd1415.exe moved successfully.
D:\Zwas-weiß-ich\webshots\webscene.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08172008_110513

Folgende Dateien wieder mit OtMoveIt, Anleitung ansonsten wie gehabt: (OtMoveIt muss neu geladen werden)

C:\WINDOWS\system32\DJQqAcdd.ini2
C:\WINDOWS\system32\mlamxhdf.dll

=========

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte alle Dateien wählen)


Starte die regfix.reg duch Doppelklick.

=========

du hast meine letzte anleitung noch nicht komplett abgearbeitet, die schritte mit adobe, java und windows live fehlen noch, bitte nachholen.

=========

Lade dir die aktuelle Version von Hijackthis
http://www.trendsecure.com/portal/de/tools/security_tools/hijackthis/download
herunter.

Das Programm HijackThis muss in einem eigenen Ordner laufen, um Backups erstellen zu können.

Starte HJT und klicke do a system scan only und setze einen haken vor folgende kästchen:


schliesse alle offenen fenster, klicke auf fix checked und starte den rechner neu.

============

otMoveIt CleanUp Button drücken

============

starte Hijackthis, do a system scan only, poste mir das log



gruß

schrauber

Direktdownload entfernt
Forumsregeln beachten:
http://www.wintotal-forum.de/index.php?action=globalAnnouncements;id=2
(Punkt 5)

hi fee

ich hab den link doch extra kontrolliert, heißt zwar exe, ist aber kein deeplink ???

Alles erledigt, uff! Report ist oben.
Was sagt die Diagnose, geht des dem Patienten besser? Mir scheint, er läuft etwas flotter...

clean

Yippeeee! mml mml mml
Schrauber-Meister sei bedankt! Behalte mal die Webseite, sofern du mal in den Süden willst; da geht was.
Um auf das Thema tools zurückzukommen: Claro, jeder Depp kann einen dicken Hammer schwingen und die Mörder-tools aus dem Netz ziehen, aber es kommt halt außer Bruch kaum etwas dabei heraus. Wie hier, führt vielmehr das gezielte und geduldige Einsetzen kleiner feiner tools zum Erfolg, wenn man denn weiß wie!
Das Problem mit dem Antivirus 2009 habe ich übrigens auf diesen Spezial-Seiten öfter mal gefunden, auch 2008 gab es da ja bei wintotal schon was mit der Vorgängerversion. Aber diese hier ist richtig fies.
[br][br]Erstellt am: 18.08.08 um 18:07:00

---

[br]Upps, Nachtrag:
Das AVG FREE 8.0 ist dabei offenbar beschädigt worden. Bei Reparatur oder De-Installation wird abgebrochen mit der FM:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows: creating registry ... Error 0x80070005

Regedit zeigt diesen Eintrag leer (REG_SZ Wert nicht gesetzt)
Eintrag löschen?
Mit HJT hatten wir ja in die HKLM eingegriffen...?

haben wir, aber nicht in den bereich ???

vorrausgesetzt du hast die scripte genau so abkopiert wie ich sie geschrieben hab, hab aber auch nix gegenteiliges gesehen. versuch avg mal komplett zu deinstallieren. ladd dir hier bei wintotal den ccleaner, lass temp-dateien und registry bereinigen und versuch es dann wieder.

...´türlich habe ich alles genau nach Plan durchgeführt, habe ja die Bedeutung der einzelnen Schritte gar nicht, oder nur manchmal, geblickt :coolsmiley:.
CCleaner hat zwar noch eine Menge Müll gefunden und entfernt, aber FM kommt nach wie vor. AVG stört sich mit mail-Eingang von TB, und lässt sich nicht deinstallieren. Reparatur-Installation bringt gleiche FM.
Das Ding sitzt fest.

Ist ja alles ganz toll, was da erreicht wurde - nur: muss man nicht etwas masochistisch sein, wenn man 5 Tage mit sowas herumhühnert - statt eine schnellere saubere Neuinstallation zu machen?
Nachdenken, wie es dazu kommen konnte - Vorsorge treffen für die Zukunft..........

Naja, im Nachhinein ist da wohl was dran...
Ich hatte allerdings ein sauberes Abbild der Partition nicht mehr greifbar (Grafikkarte dieses Rechners ausgerechnet jetzt defekt), und der komplette Neuaufbau mit den vielen Anwendungen ist auch nicht ohne.
Man lernt daraus, das man Backups eigentlich doppelt speichern sollte...

@schrauber,
bitte nicht falsch verstehen, aber wie lange halten in der Praxis die angeblich gereinigten Systeme stand?
Stunden oder Tage?

So ne fehlermeldung kommt bei 100 Rechnern einmal vor. Wenn ein pc wieder sauber ist, dann ist er das. Bis zum Besuch der naechsten dubiosen Seite oder so.

Bis zum Besuch der naechsten dubiosen Seite oder so.

Zum Vergrößern anklicken....

das ist es wohl in der hauptsache.
und da ist es dann eigentlich auch egal, ob man in tagelangem bemühen mit tools den angreifer entfernt oder windows neu installiert.

wenn man seinen unstillbaren drang nach gewissen filmen oder bildern nicht in den griff bekommt, wird man nie ein sauberes system haben können, denn die malware-programmierer sind immer einen schritt voraus.

einzig funktionierende abwehrmassnahmen sind das surfverhalten zu kontrollieren oder, besser noch, das imagesystem zu optimieren.
solange aber grosse platten mit einer partition benutzt werden oder sicherungs-partitionen/platten zu klein gehalten oder für nicht notwendig gehalten werden, kann man daran niemals etwas ändern.

es gibt nur eine einzige vernünftige abwehrmassnahme gegen angriffe, da kann man antiviren oder oder/und antitrojan-tools einsetzen wie man will  -  ein funktionierendes aktuelles image oder wenigstens eine funktionierende registrierung-sicherung.

habt ihr schon mal darüber nachgedacht, warum fast ausschliesslich männer solche threads eröffen? ich bin bestimmt nicht frei von schuld, aber meine imagestruktur stimmt.