Virus durch Firefox Update? + 2 andere Viren?

LatInO_HeAT · 11.11.2010, 20:42

Also irgendiwe kam bei mir so ein komisches Fenster im Firefox vonwegen "bitte führen Sie dieses Sicherheitsupdate durch". Also habe ich auf "installieren" geklickt und seit dem geht mein Firefox nichtmehr. Wenn cih verusche FF zu starten, dann kommt jedes Mal nur ein Fenster wo ich FF sofort beenden kann und AntiVir schlägt an. Also habe ich mal einen kompletten Systemscan gemacht. Dabei wurden gleich 3 Verschiedene Vieren gefunden!

Wie werde ich diese Vieren wieder los? ich habe schon versucht die Dateien manuell zu löschen, allerdings erstellen sie sich immer wieder neu.

Hier mal der Reportauszug auf Antivir:

Code:

Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Gladisch\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\24ddd997-6fa15a96
  [0] Archivtyp: ZIP
    --> Inicio.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.D
C:\Dokumente und Einstellungen\Gladisch\Eigene Dateien\Downloads\zaSetup_92_058_000_de.exe
  [0] Archivtyp: ZIP SFX (self extracting)
    --> SWITCHUNINST_49ZONE LABS.EXE
      [1] Archivtyp: RSRC
    --> WINDOWS6.0-KB929547-V2-X64.MSU
      [1] Archivtyp: CAB (Microsoft)
      --> Windows6.0-KB929547-v2-x64.cab
        [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{3E4F117D-321A-4967-B933-520683E5B752}\RP133\A0033956.exe
  [0] Archivtyp: NSIS
    --> [ProgramFilesDir]/SpyCQ/madCHook.dll
      [FUND]      Ist das Trojanische Pferd TR/Agent.109568.BB
C:\WINDOWS\system32\send_data.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Delf.MH.4.B
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Gladisch\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\24ddd997-6fa15a96
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4050ce.qua' verschoben!
C:\System Volume Information\_restore{3E4F117D-321A-4967-B933-520683E5B752}\RP133\A0033956.exe
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d0c50ca.qua' verschoben!
C:\WINDOWS\system32\send_data.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Delf.MH.4.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4a50ff.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 11. November 2010  21:22
Benötigte Zeit: 35:29 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.

So wie ich das sehe habe ich also folgene Viren:
- das Trojanische Pferd TR/Agent.109568.BB
C:\WINDOWS\system32\send_data.exe
- Java-Virus JAVA/Dldr.Agent.D
- das Trojanische Pferd TR/Drop.Delf.MH.4.B

Hier auch nochmal der Hijack This Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:09, on 11.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21293)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\winamp toolbar\WinampTbServer.exe
C:\Programme\Trend Micro\HijackThis\jacky.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKCU\..\Run: [{AC2AAF86-CE20-367F-7B3A-A4CD0434A2DA}] "C:\Dokumente und Einstellungen\Gladisch\Anwendungsdaten\Anyqu\dyilb.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1258364359937
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
--
End of file - 7290 bytes

**Sigi** · 12.11.2010, 10:11

Zitat:

Zitat von LatInO_HeAT

Also irgendiwe kam bei mir so ein komisches Fenster im Firefox vonwegen "bitte führen Sie dieses Sicherheitsupdate durch". Also habe ich auf "installieren" geklickt und seit dem geht mein Firefox nichtmehr.

Hi,
ich will Dir ja nicht zu nahe treten: Aber das Hirn einschalten -bevor man klickt - wäre schon hilfreich

Also zum Thema:
Installiere Malwarebytes (vielleicht funktioniert ja der InternetExplorer - sonst musst Du den Download bei einem Kumpel nachen) und lass es einen Scan machen. Dann die gefunden Viren löschen lassen. Wenn es nicht fuktioniert, musst Du leider an eine Neuinstallation denken. Natürlich hast Du keine Datensicherung...wetten?

LatInO_HeAT · 12.11.2010, 10:58

Zitat:

Zitat von Sigi08

Hi,
ich will Dir ja nicht zu nahe treten: Aber das Hirn einschalten -bevor man klickt - wäre schon hilfreich

Ja ich weiß. Aber leider hat Firefeox bei mir immer etwas zu kacken - so vonwegen Updates. Das sowas gerade bei einem Browser nicht schlau ist war mir in dem Moment in dem ich's gemacht habe leider auch schon klar. Aber irgendwie kommt die Einsicht leider meistens erst nach der Nachsicht

Zitat:

Zitat von Sigi08

Natürlich hast Du keine Datensicherung...wetten?

Erstmal: es hat geklappt diese Vieren mit Maleware Bytes zu entfernen. Allerdings hätte ich falls es nicht geklappt hätte wirklich gerne eine Datensicherung. Womit mache ich das denn am besten bzw. reicht es wenn ich NTBackup nehme? Das ist ja schon auf Windoof drauf.

Bzw. sollte ich wenn ich es mit Windoof mache alle Informatioenen auf dem PC sichern ?
Oder reicht es die eigenen Daten zu sichern? In meinem Fall war Windoof schon vorinstalliert und daher habe ich keine CD mehr...

**Sigi** · 12.11.2010, 14:03

Hallo,
schön dass die "digitalen Misthunde" entfernt werden konnten

Firefox Updates:
Du kannst die Updates abstellen unter Extras>Einstellungen>Erweitert>Updates Da nimmst Du die oberen 3 Haken raus. Aber man sollte schon alle paar Monate nach neuen Versionen sehen.

Datensicherung:
Mit Datensicherung meine ich nicht ein komplettes Backup (klar das kann in Falle eines Absturzes des Systems helfen, Windows mit allen Treibern und Programmen wieder einzuspielen). Ich meine die Sicherung der privaten Dateien, wie Schriftdokumente, Bilder, Musik etc. Das kann man leicht auf eine andere Partition kopieren oder auf eine externe Festplatte oder die Dateien eben brennen.

**Leonixx** · 12.11.2010, 18:06

Zitat:

Erstmal: es hat geklappt diese Vieren mit Malware Bytes zu entfernen.

Mit Sicherheit nicht. Du bist auf einen Pishingangriff hereingefallen, der nicht auf seriösen Webseiten normal ist. Warst schon in dunkleren Ecken, gell?

Zunächst Online Scan durchführen.

Eset Online Scanner (NOD32)
- Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
- Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
- Dein Anti-Virus-Programm während des Scans deaktivieren.
- Button "ESET Online Scanner" drücken.
- Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
- Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User müssen das Installieren eines ActiveX Elements erlauben.
- Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
- Einen Haken bei "Remove found threads" und "Scan archives" machen.
- Start drücken.
- Signaturen werden heruntergeladen.
- Der Scan beginnt automatisch.
- Finish drücken.
- Browser schließen.
- Explorer öffnen.
- C:\Programme\Eset\EsetOnlineScanner\log.txt (oder C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
- Logfile hier posten.
- Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
- Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
- IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
- O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab