Infektion:URL:Mal

Hallo,

seit 3 Tagen kriege ich im 15 Minuten Takt immer folgende Meldung:

“Infektion blockiert
URL: hxxp://www.tracknl.info/installmate/php/sprotector.p…
Infektion: URL:Mal”

und

“Infektion blockiert
URL: hxxp://amazingsoftware.info/installmate/php/sprotect.php
Infektion: URL:Mal”

Ich kenn mich nicht mit dem Kram sogut aus, dürfte diese Meldungen nicht nur dann kommen wenn ich die Seiten betrete? habe von diesen jedoch nochnie was gehört

Das ist hier schon mehrmals gepostet worden.

Bitte die Links mit hxxp oder wxw brechen.

Bitte einmal durchführen was in diesem Thema gezeigt wird: http://forum.avast.com/index.php?topic=102616.0

Dann bitte in der Sektion viruses and worms ein neues Thema eröffnen. Wenn möglich auf Englisch.

Dann wird dir ein Malware Experte helfen.

vielen dank für die schnelle hilfe, ich machs so wie du es gesagt hast :slight_smile:

Wäre hier auch auf deutsch möglich gewesen. :wink:

TerraX

Ich werde den Thread überwachen.

Dann bitte in der Sektion viruses and worms ein neues Thema eröffnen. Wenn möglich auf Englisch.
Nein. Ich werde mich ab sofort um den deutschen Bereich kümmern, und falls ich nicht kann, werde ich Essexboy informieren. ----

Hallo,
mein Name ist Machiavelli und ich werde Dir in diesem Thread behilflich sein. Geilwerweise bin ich gerade in einer Art Malware Schule (GeeksToGo) und meine Fixes müssen erst von einem Teacher freigegeben werden. Daher kann es zu minimalen Verzögerungen kommen (ich bin mehrmals online am Tag!). Wenn Du Dich im abgesicherten Modus befindest, wäre es klug, diese Anweisungen auszudrucken (Ausser Du hast extern Zugriff auf die Seite).

Wie in einem Krankenhaus solltest Du folgende Regeln beachten:

  • Ich bin kein Gott, so kann es vorkommen (sehr selten!!!), dass ich was übersehe, da sich Malware gut verstecken kann etc. - eine Neuinstallation ist oft das schnellere und sichere
  • Crossposting ist ungeil
  • Lies meine Anweisungen vollständig durch - wenn nicht, kann das später schlimme Folgen haben, wie z.B. Datenverlust etc.
  • Bleib solange mit mir in Kontakt, bis ICH sage, dass Dein PC clean ist. Wenn Du offline gehst für eine längere Zeit, sage mir bitte Bescheid, wenn nicht ist das richtig ungeil
  • Während der Bereinigung keine anderen Tools laufen lassen, das kann oft schief gehen
  • Ich denke das wars

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

[*] Starte bitte die OTL.exe. [*]Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen “Als Administrator ausführen”.
[*]Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe[]Scanne alle User anhaken[]Stelle alle Unterpunkte ein, wie auf folgenden Bild zu sehen:

http://forum.botfrei.de/petra/otl_custom4.jpg

[*] Kopiere nun den Inhalt aus der folgenden Codebox in die Textbox von OTL:


netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
/md5start
services.*
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
qmgr.dll
winsock.*
/md5stop
dir "%systemdrive%\*" /S /A:L /C
CREATERESTOREPOINT

[*] Schließe alle Programme. (Wichtig)[*] Klicke auf den Scan Button.

[*]Poste die Logfiles in den Thread oder lade sie als Anhang hier hoch (OTL.txt / Extras.txt)

Sollte bei LOP-Prüfung und Purity-Prüfung ein Häkchen drinne sein? Und bei “Inklusive 64bit Scans”?

Stand nämlich so hier in einem Englischen Tutorial Thread.

Ansonsten hier mal im Anhang adwcleoner, mbamlog und den OTL Log ( Die Häkchen waren bei den obengenannten drinne … )

Im Englischen Forum wurde mir ja auch gesagt mit aswmbr einen Log zu erstellen jedoch schmiert der mir immer nach einer Zeit ab (Habs auch mehrmals probiert) “Programm funktioniert nicht mehr” erscheint immer :frowning:

Crossposting ist wie schon gesagt richtig ungeil. Du hast ein Thema im englischen Forum eröffnet, bitte sage mir, wo Du bleiben willst.

Zuerst, bitte verschiebe die OTL.exe zum Desktop. Diese Version wird nämlich gebraucht. :wink:

SideBar Advice

Ich sehe in den OTL Logs, dass bei Deinem Computer SideBar aktiv als AutoStart Eintrag vorhanden ist. Zurzeit hat dieses Programm jedoch eine Sicherheitslücke, daher empfehle ich es vorrübergehen zu deaktivieren. Falls Du mehr Infos dazu haben willst, solltest Du diese Seite hier dringenst besuchen.

Bitte befolge folgende Anweisungen, um Windows SideBar zu deaktivieren:

  • Downloade Dir den FixIt und speichere diesen unter Deinen Desktop ab
  • Doppel Klick auf MicrosoftFixit50906.msi und folge die Anweisungen da. (Das wird dann diese komische SideBar deaktivieren!). Wenn es fertig ist, bitte starte den PC neu.

Punkbuster Advice

Während einer Bereinigung ist es klug Punkbuster zu deaktivieren. Ich sehe in den Logs, dass Du Punkbuster nutzt und es soll gesagt werden, dass Punkbuster Spyware Technologien verwendet. Fakt ist, es kontrolliert Deinen PC und darunter versteht man den Begriff Malware! Ich weiss, dass das ungeil für Dich ist, ich bin selber Gamer und währenddessen kannst Du keine Online Spiele spielen (ausser auf Punkbuster Freie Server). Wenn Du willst, kannst Du Punkbuster danach wieder installieren.

  • Downloade Dir das Removal Tool für Punkbuster von hier
  • Rechter Klick auf pbsvc.exe und Starte es als Administrator (falls Du Win Vista/ Win7 / Win 8 nutzt) - falls Du XP nutzt sollte ein einfacher Doppelklick reichen
  • Stelle sicher, dass Uninstall/Remove PunkBuster Service ausgewählt ist
  • Wähle Next >> Yes >> Finish
  • Starte den PC neu, wenn es fertig ist

Chromes Homepage

Ändere die ChromeHomePage zu einer beliebigen sauberen Seite (ich empfehle Google.de). Falls Du nicht weisst, wie das funktioniert, brauchst Du nur dies zu befolgen.

OTL Fix

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

[*] Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen “Als Administrator ausführen”.[*] Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

http://forum.botfrei.de/petra/otlpe6.jpg

Hinweis für Mitleser: Folgendes OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!


:Commands
[CreateRestorePoint]

:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.moc...q={searchTerms}
IE - HKU\S-1-5-21-1597888476-709522127-4277286324-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://search.icq.co...erms}&ch_id=osd
FF - prefs.js..browser.search.defaultenginename,S: S", "WebSearch"
FF - prefs.js..browser.search.defaulturl: "http://websearch.mocaflix.com/?l=1&q="
FF - prefs.js..browser.search.order.1: "WebSearch"
FF - prefs.js..browser.search.order.1,S: S", "WebSearch"
FF - prefs.js..browser.search.selectedEngine,S: S", "WebSearch"
FF - prefs.js..keyword.URL: "http://websearch.mocaflix.com/?l=1&q="
[2013.05.25 16:54:56 | 000,007,756 | ---- | M] () -- C:\Users\Can\AppData\Roaming\mozilla\firefox\profiles\rkimstvb.default\searchplugins\WebSearch.xml
O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html File not found
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-21-1597888476-709522127-4277286324-1000\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1597888476-709522127-4277286324-1000\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1597888476-709522127-4277286324-1000\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1597888476-709522127-4277286324-1000\..Trusted Domains: sony.com ([]* in Trusted sites)
O20 - AppInit_DLLs: (c:\progra~2\mocaflix\sprote~1.dll) - c:\Program Files (x86)\MocaFlix\sprotector.dll ()
O33 - MountPoints2\{2d4ce0ca-cf13-11e0-b275-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{2d4ce0ca-cf13-11e0-b275-00ff01000001}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{90596c5d-ccb1-11e0-bb66-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{90596c5d-ccb1-11e0-bb66-00ff01000001}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{a3e0c1e1-cbf6-11e0-9c1f-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{a3e0c1e1-cbf6-11e0-9c1f-00ff01000001}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{a3e0c1f0-cbf6-11e0-9c1f-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{a3e0c1f0-cbf6-11e0-9c1f-00ff01000001}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{e92fbfdb-cfce-11e0-84d6-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{e92fbfdb-cfce-11e0-84d6-00ff01000001}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\K\Shell - "" = AutoRun
O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\AutoRun.exe
[2011.07.24 20:58:58 | 000,834,927 | -H-- | M] () -- C:\Moblock.exe
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA

:Files
c:\Program Files (x86)\MocaFlix

:Commands
[EMPTYTEMP]

[*] Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.[*] Klicke auf den Fix Button.[*] Wenn OTL einen Neustart verlangt, bitte zulassen.[*]Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:_OTL\MovedFiles<datum_nummer.log>

Adwarecleaner

[*]Lade bitte AdwCleaner herunter und speichere ihn auf dem Desktop.

http://image.hijackthis.eu/upload/adwcleaner.jpg

[*]AdwCleaner ist geeignet für Windows XP/Vista/7/8 in 32- und 64-Bit-Versionen.
[*]Starte die adwcleaner.exe mit einem Doppelklick.
Vista- und Windows 7/8-User starten bitte per Rechtsklick auf das Icon und wählen “Als Administrator ausführen”.[*]Klicke auf Scan.[*]Klicke nun auf den Button Clean.[*]AdwCleaner macht Dich darauf aufmerksam, dass alle laufenden Programme geschlossen werden, damit die Bereinigung erfolgen kann. Also angefangene Arbeiten speichern und die Anwendung schließen.
[*]Am Ende des Suchlaufs klicke auf Report, das öffnet eine Textdatei.[*]Poste den Inhalt hier in den Thread.[*]Die Logdatei findest Du auch unter C:\AdwCleaner\AdwCleaner[Rx].txt.

JRT Run

[*]Bitte lade Junkware Removal Tool auf Deinen Desktop.[*]Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick “als Administrator ausführen” starten.[*]Das Tool wird sich öffnen und mit dem Scan beginnen.[*]Je nach System kann der Scan eine Weile dauern.[*]Wenn das Tool fertig ist wird das Logfile JRT.txt auf dem Desktop gespeichert und automatisch geöffnet.[*]Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

OTL Scan

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

[*] Starte bitte die OTL.exe. [*]Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen “Als Administrator ausführen”.
[*]Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe[]Scanne alle User anhaken[]Stelle alle Unterpunkte ein, wie auf folgenden Bild zu sehen:

http://forum.botfrei.de/petra/otl_custom4.jpg

[*] Kopiere nun den Inhalt aus der folgenden Codebox in die Textbox von OTL:


netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
/md5start
services.*
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
qmgr.dll
winsock.*
/md5stop
dir "%systemdrive%\*" /S /A:L /C
CREATERESTOREPOINT

[*] Schließe alle Programme. (Wichtig)[*] Klicke auf den Scan Button.

[*]Füge die Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Frage

Wie läuft Dein Computer? Noch Probleme?

Unten sind alle Sachen angehangen!

Bis jezt alles super, die Warnmeldungen erscheinen nichtmehr!

Servus! :slight_smile:

Du hast bei AdwCleaner wohl nicht auf Clean geklickt (oder Du hast das falsche Log gepostet), bitte mache das nochmals und mache danach einen erneuten OTL Scan. (Siehe Anleitung oben!)

so jetzt aber!

Und jetzt nochmal den OTL Scan. (Siehe Anleitung)

da kam noch eine Extra.txt datei dazu am ende des Scannes, lade die mal mit hoch.

hm komisch kann die hier nicht noch mit rein editieren also die Extra.txt packe die oben in den Post

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

[*] Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen “Als Administrator ausführen”.[*] Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

http://forum.botfrei.de/petra/otlpe6.jpg

Hinweis für Mitleser: Folgendes OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!


:Commands
[CreateRestorePoint]

:OTL
O4 - HKLM..\Run: [] File not found

:Commands
[EMPTYTEMP] 

[*] Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.[*] Klicke auf den Fix Button.[*] Wenn OTL einen Neustart verlangt, bitte zulassen.[*]Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:_OTL\MovedFiles<datum_nummer.log>

OTL Scan

Starte OTL wieder (ggf. als Administrator) and klicke auf den QuickScan Button. Der Scan wird beginnen. Bitte poste das Logfile in Deine nächste Antwort.

Bereinigung mit Malwarebytes’ Anti-Malware (Komplett-Scan)

Mache bitte mit Malwarebytes’ Anti-Malware einen QuickScan nach dieser Anleitung (Statt Komplettscan wähle bitte QuickScan) und poste das Logfile hier in den Thread.

(Vista/Win7-User: mit Rechtsklick als Administrator starten)

ESET Scan

Biite führe einen ESET Scan gemäß dieser Anleitung durch: http://www.hijackthis-forum.de/allgemeines/25893-kostenlose-online-scanner.html#post354547
Poste bitte anschließen das Log.

Security Check

  • Downloade Dir Security Check von hier und speichere es auf Deinem Desktop ab
  • Doppel Klick auf SecurityCheck.exe and folge den Anweisungen auf dem Bildschirm
  • Ein NotePad File wird sich öffnen genannt checkup.txt - bitte poste die Inhalte dieses Textfiles in Deine nächste Antwort

Frage

Wie stehts, wie gehts? Alles ok mit dem Rechner?