Firefox nach Malware nicht funktionsfähig, Malware gelöscht, Probleme bleiben Einstellungen

[Sandra]

Hallo zusammen,

habe mir heute folgende Malware eingefangen: System Progressive Protection. Nachdem mehrere Versuche der Beseitigung fehlgeschlagen sind, konnte ich ihn in der Registry löschen und habe seitdem auch keine Probleme mehr damit, Antivir hat auch nichts mehr gefunden. Allerdings lässt sich Firefox gar nicht mehr starten, auch nicht im abgesicherten Modus. Habe ihn komplett gelöscht und neu installiert. Beim ersten Öffen klappt noch alles, sobald ich eine neue Seite aufrufen will oder ihn schließe und neu öffne, hängt er sich auf und nichts geht mehr. Kann mir jemand von euch sagen, was ich noch versuchen kann bzw. ob das noch mit der Malware zusammen hängen kann? Vorher ging schließlich auch alles problemlos...

Danke sagt
Sandra

[Gary12345]

Hallo,

1. Lad dir OTL von hier: http://www.paules-pc-forum.de/forum/redire...o.com%2FOTL.exe
2. Doppelklick auf die OTL.exe
3. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
4. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
5. Setze einen Haken Oben bei Scanne alle Benutzer.
6. Unter "Extra Registrierung wähle "Benutze SafeList"
7. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
8. Kopiere in die Textbox (ohen das Wort Code: )

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

9. Klicke "Scan"
10. Es werden 2 Reporte erstellt:
11. OTL.Txt sowie Extras.Txt
Lade bitte das Log bei File-Upload hoch und poste die Downloadlinks hier im Forum.

[Catweazle]

Mal das http://forums.malwarebytes.org/index.php?s...mp;fromsearch=1 anwenden, oder mal http://www.trojaner-board.de/124524-system...-entfernen.html vielleich hoft es dir ja weiter.

Ich übernehme keine Garantie, das diese Anleitung auch bei deiner infektion, oder dein problem löhsen tut.

Viel Glück damit !

PS: Gut zu späht.

PSS: passt wahrscheinlich nicht richt zu diesen Forum hier.

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 29.09.2012, 19:06

[markusg]

bitte den otl scan von oben machen, system progressive protection kann zero access nach instalieren, dies können wir dort sehen.

[simracer]

Sandra, hör drauf was Gary12345 und markusg dir empfohlen haben und wenn etwas unklar ist, frag nach die beiden kennen sich aus damit. Nach OTL, wenn das fertig ist solltest du zusätzlich meiner Meinung nach dein System mit Malwarebytes Free per Full Scan scannen.

[Catweazle]

----

Edit

Catweazle

[Sandra]

Danke für die schnelle Hilfe! Hat soweit alles funktioniert, hier sind die beiden Links:

http://www.file-upload.net/download-6641407/OTL1.Txt.html

http://www.file-upload.net/download-6641411/Extras1.Txt.html

Bin gespannt, ob und wenn ja was ihr findet...

Danke!
Sandra

[markusg]

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

QUELLTEXT

:OTL
O4 - HKU\S-1-5-21-2486823878-866496360-4207866615-1000..\Run: [taskschd] C:\Users\Sandra\AppData\Local\Microsoft\Windows\1561\taskschd.exe (Realtek Semiconductor Corp.)
O4 - HKU\S-1-5-21-2486823878-866496360-4207866615-1000..\Run: [Saneliylso] C:\Users\Sandra\AppData\Roaming\Daxuz\ubori.exe ()
[2012.09.29 11:33:15 | 000,000,000 | ---D | C] -- C:\Users\Sandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection
[2012.09.29 11:32:12 | 000,000,000 | ---D | C] -- C:\Users\Sandra\AppData\Roaming\Ubuds
[2012.09.29 11:32:12 | 000,000,000 | ---D | C] -- C:\Users\Sandra\AppData\Roaming\Igvedy
:Files
C:\Users\Sandra\AppData\Local\Microsoft\Windows\1561
C:\Users\Sandra\AppData\Roaming\Daxuz
:Commands
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, c: _OTL
rechtsklick, moved files, zu moved files.rar oder zip hinzufügen, archiv hochladen bei:
www.file-upload.net
download link als private nachicht an mich.

[Gary12345]

*kurz reinspring* bitte auch den File-Upload.net Link per PN auch an mich

Markus, Du machst weiter

Der Beitrag wurde von Gary12345 bearbeitet: 30.09.2012, 07:49

[Sandra]

Hat funktioniert, Symbole waren alle automatisch da, daher hier der Text:

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2486823878-866496360-4207866615-1000\Software\Microsoft\Windows\CurrentVersion\Run\\taskschd deleted successfully.
C:\Users\Sandra\AppData\Local\Microsoft\Windows\1561\taskschd.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2486823878-866496360-4207866615-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Saneliylso deleted successfully.
File move failed. C:\Users\Sandra\AppData\Roaming\Daxuz\ubori.exe scheduled to be moved on reboot.
C:\Users\Sandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection folder moved successfully.
C:\Users\Sandra\AppData\Roaming\Ubuds folder moved successfully.
C:\Users\Sandra\AppData\Roaming\Igvedy folder moved successfully.
========== FILES ==========
C:\Users\Sandra\AppData\Local\Microsoft\Windows\1561 folder moved successfully.
Folder move failed. C:\Users\Sandra\AppData\Roaming\Daxuz scheduled to be moved on reboot.
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.69.0 log created on 09302012_090632

Files\Folders moved on Reboot...
C:\Users\Sandra\AppData\Roaming\Daxuz\ubori.exe moved successfully.
C:\Users\Sandra\AppData\Roaming\Daxuz folder moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[Gary12345]

Super - dann nur den movedfiles hochladen und auf File-Upload.net hochladen - Link per PN an Markus und mich

[Sandra]

Da gibt's ein Problem: Auf c habe ich absolut nichts von OTL, hat schon die Suchfunktion benutzt, somit also auch keine moved files...
Was nu?

[Gary12345]

Lade das Programm Systemlookup von folgenden Downloadspiegeln herunter und speichere es auf Deinem Desktop.
1. Downloadspiegel: http://jpshortstuff.247fixes.com/SystemLook.exe
2. Downloadspiegel: http://images.malwareremoval.com/jps...SystemLook.exe

Die eine 64 BIT Version haben , downloaden Systemlook von hier: http://jpshortstuff.247fixes.com/SystemLook_x64.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

:Filefind
_OTL
movedfiles
:Folderfind
MovedFiles
_OTL

• nun klicke auf den Button " look" und Systemlook wird scannen
• Wenn der Scan fertig ist öffnet sich der Texteditor mit dem beinhaltendem Logfile
• Das lädst Du bei File-Upload.net hoch

[Sandra]

Habe ich gemacht, brauche ich aber gar nicht hochladen, weil nur drin steht, dass weder "_OTL" noch "movedfiles" gefunden wurden....

[Gary12345]

Alle Dateien eingeblendet hast Du?

Versuche ihn nochmal zu finden (C:\_OTL\MovedFiles)

Poste dennoch das Log

Der Beitrag wurde von Gary12345 bearbeitet: 30.09.2012, 08:35

[Sandra]

Alle Dateien sind eingeblendet, auch diese Suche ohne Ergebnis.

[Sandra]

Hier trotzdem der Log:

SystemLook 30.07.11 by jpshortstuff
Log created at 09:29 on 30/09/2012 by Sandra
Administrator - Elevation successful

========== Filefind ==========

Searching for "_OTL"
No files found.

Searching for "movedfiles"
No files found.

========== Folderfind ==========

Searching for "MovedFiles"
No folders found.

Searching for "_OTL"
No folders found.

-= EOF =-

[Gary12345]

Hast Du auf Bereinigung (bei OTL) geklickt?!

[Sandra]

Nein, habe nur Schritt für Schritt deine Anleitung befolgt.

[Gary12345]

OK - sehr komisch - Markus wird weitermachen