firefox abstürze . . .
-
dominix -
11. März 2013 um 14:02 -
Erledigt
-
-
ok - firefox stürzte eben doch ab und damit war die vorherige Aussage unbrauchbar geworden.
Hijackthis habe ich nun auch gecheckt und auswerten lassen.
kann man das Ergebnis irgendwie posten? (Falls das hilft und Interesse besteht) -
-
-
nein, ich habe erst hijack laufen lassen, dann malwarebytes.
wärend dem suchlauf gesehen, dass hijack eine logfile hinterlassen hat.(den 1. quickscan habe ich glaub ich tatsächlich parallel laufen lassen)
malware läuft noch
-
-
Hier ist die Logdatei von MalwareBytes
So wie es aussieht, ist Photoshop CS6 wohl infiziert. Ein Programm, dass ich nur zu Testzwecken und nicht als Vollversion installiert habe. (Allerdings schon seit einigen Monaten drauf und länger nicht mehr angrührt)Code
Alles anzeigenMalwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.12.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matschbirne :: DOMINIC [Administrator] 12.03.2013 12:05:55 MBAM-log-2013-03-12 (14-09-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 451165 Laufzeit: 2 Stunde(n), 1 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\Dokumente und Einstellungen\Matschbirne\Eigene Dateien\Eigene Musik\Adobe Photoshop CS6 Extended\DLL FILE\32bit\amtlib.dll (PUP.RiskwareTool.CK) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Matschbirne\Eigene Dateien\Eigene Musik\Adobe Photoshop CS6 Extended\DLL FILE\64bit\amtlib.dll (PUP.RiskwareTool.CK) -> Keine Aktion durchgeführt. C:\Programme\Adobe\Adobe Bridge CS6\AMTLib.dll (PUP.RiskwareTool.CK) -> Keine Aktion durchgeführt. C:\Programme\Adobe\Adobe Photoshop CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Keine Aktion durchgeführt. (Ende)
-
Was sind die nächsten Schritte?
Photoshop löschen und die Riskware entfernen?Fraglich, ob dass das Problem darstellt
-
Was die Einträge bezügl. Malwarebytes angeht: Kann ich nicht genau beurteilen. Aber es wird sich sicher noch jemand melden und konkreteres dazu sagen.
Aber wenn ich mir das Ergebnis von HijackThis anschaue, gibt es sehr viele gelbe Fragezeichen und rote Kreuze. Mir scheint, als wäre dein System ziemlich vermüllt und unsauber. Wird sich sicher auch jemand zu äußern.
Ergebnis HijackThis [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]
-
Das HijackThis-Log ist unbrauchbar, weil dort massenweise Zeilenumbrüche eingefügt wurden, die eine Auswertung unmöglich machen.
Zu amtlib.dll: Nur du kannst erklären, wie eine Kopie dieser Datei unter Eigene Musik gerät. Handelt es sich um eine Version der Datei, die du aus anderer Quelle bezogen hast?
Zurück zu den Abstürzen: Es ist wichtig, die Dienste so lange schrittweise ein- beziehungsweise auszuschließen, bis der schuldige eindeutig identifiziert ist, sonst bringt die ganze Analyse mit msconfig nichts.
-
Zitat von Cosmo
Das HijackThis-Log ist unbrauchbar, weil dort massenweise Zeilenumbrüche eingefügt wurden, die eine Auswertung unmöglich machen.
Sorry, die Zeilenumbrüche sind durch das hin-und herschicken per Email entstanden. Also nochmal richtig: (Anmerkung: oben den Eintrag werde ich jetzt rausnehmen)Code
Alles anzeigenLogfile of Trend Micro HijackThis v2.0.4 Scan saved at 12:06:44, on 12.03.2013 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\CheckPoint\ZoneAlarm\zatray.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\CheckPoint\ZAForceField\ForceField.exe C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\XpertVision\TBPanel.exe C:\Programme\Everything\Everything.exe C:\Programme\Pantone\hueyPRO\hueyPROTray.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\IJEREG\iP3600 series\IJRMF.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe C:\Programme\Canon\IJEREG\iP3600 series\IJRMF.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes\mbam.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\Dokumente und Einstellungen\Matschbirne\Desktop\HiJackThis204.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2653012 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Veoh Web Player Toolbar - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Programme\Veoh_Web_Player\prxtbVeo2.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Veoh Web Player - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Programme\Veoh_Web_Player\prxtbVeo2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll O3 - Toolbar: Veoh Web Player Toolbar - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Programme\Veoh_Web_Player\prxtbVeo2.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ZoneAlarm] "C:\Programme\CheckPoint\ZoneAlarm\zatray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe /icon="hidden" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Everything] "C:\Programme\Everything\Everything.exe" -startup O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Programme\Malwarebytes\mbamgui.exe /install /silent O4 - HKCU\..\Run: [NpRRzA] rundll32.exe shell32.dll,Control_RunDLL "C:\Dokumente und Einstellungen\All Users\xPhligVnVMxsp\lzmezMdem7zmrDNh\9zJxI5RGj1dr\2xrrJoZEu.dat", O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: hueyPROTray.lnk = C:\Programme\Pantone\hueyPRO\hueyPROTray.exe O8 - Extra context menu item: An vorhandenes PDF anf�gen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgew�hlte Verkn�pfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgew�hlte Verkn�pfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verkn�pfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verkn�pfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1FFEDA31-1A95-4039-88E6-ECF057DD597E}: NameServer = 8.26.56.26,156.154.70.22 O17 - HKLM\System\CS1\Services\Tcpip\..\{1FFEDA31-1A95-4039-88E6-ECF057DD597E}: NameServer = 8.26.56.26,156.154.70.22 O17 - HKLM\System\CS2\Services\Tcpip\..\{1FFEDA31-1A95-4039-88E6-ECF057DD597E}: NameServer = 8.26.56.26,156.154.70.22 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe -- End of file - 7755 bytes
Und du hattest Recht! Tatsächlich verschwinden da sehr viele Fragezeichen und rote Kreuzchen!ZitatZu amtlib.dll: Du hast Photoshop als Vollversion bei Adobe gekauft? Und wie eine Kopie dieser Datei unter Eigene Musik gerät, kannst nur du erklären.
Photoshop CS6 hatte mir ein Freund mitgebracht, als es ganz frisch war. Ich hatte es nur ein, zwei mal in Benutzung, mein Rechner war aber zu langsam dafür. Wenn ich mich recht erinnere war das eine art Sharewareversion. Sicher bin ich mir da âber nicht. -
Ich habe nun Einträge "R0", und die drei unter "O17" gefixed.
Was passiert nun mit den Ergebnissen von Malware?
-
Es gibt von Adobe CS6 eine Testversion, wenn die von der originalen Quelle stammt, ist dagegen nichts einzuwenden. Deine Quelle ist letztlich unbekannt. Bekannt ist dagegen, daß es gerade für diese Datei Cracks gibt, um sie illegal nutzen zu können. Ob es sich bei deiner Datei um eine solche handelt, kann von hier aus nicht beantwortet werden, der Verdacht liegt allerdings auf Grund der Begleitumstände nahe. Da ich dir nicht unterstelle, so etwas aktiv verwendet zu haben, kannst du es testen: Sollte Photoshop sich heute noch starten lassen, so ist die Datei gecrackt; die offizielle Testversion läuft nur 30 Tage. Und sollte es so sein, ist dein System kompromittiert und es gibt genau 1 Lösung: Festplatte formatieren und System neu installieren.
-
heieiei das hört sich aber heftig an!
Ich habe nicht mehr versucht Photoshop zu starten, sondern es sofort runtergehauen. Daher kann ich nicht mehr nachvollziehen, ob es eine 30Tage Version war oder nicht. -
Zu dem eigentlichen Problem: firefox scheint nun wieder zu funktionieren.
-vier HiJack-Meldungen gefixed
-einige Dienste und Systemstart-Befehle ausgespart
-evtl. gefährliche Dateien einer Software deinstalliert und mit Malwarebytes daraus vier infizierte Dateien gelöscht.Ich hoffe die Dienste sind nicht essentiell für XP und alles läuft weiterhin rund.
Zusätzlich kann ich ja probieren, es erstmal so weiterlaufen zu lassen und wenn alles gut läuft, einen nach dem anderen wieder hinzuzufügen. -
:cry: von wegen!
firefox schmiert wieder ab! (Nach knapp 20 Minuten)
-
Zitat von dominix
mit Malwarebytes daraus vier infizierte Dateien gelöscht.
Ohne genau zu wissen um welche Dateien es sich handelt, kann ich Dir nur raten, Dein System dringend neu aufzusetzen. Es besteht der Verdacht auf Malwarebefall.
-
müääääh! Nö, das is immer so wahnsinnig Zeitaufwändig!
... hach ja, ist jedenfalls das Schlimmste, was ich befürchtet hatte.
-
Zitat von dominix
müääääh! Nö, das is immer so wahnsinnig Zeitaufwändig!
Warum hast du dann kein Image-Programm? Anbieten würde sich Acronis TrueImage. Und um das Neuaufsetzen kommst du nicht herum.
Zitat... hach ja, ist jedenfalls das Schlimmste, was ich befürchtet hatte.
Im Gegenteil. Sei froh, dass du dem Dilemma jetzt begegnet bist. Dann kannst du neu anfangen.
Ist sicher für dich interessant:
Sicherheitskonzept für Windowsnutzer [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] -
Das System ist definitiv kompromiert, da beisst die Maus keinen Faden ab :idea:
ZitatO4 - HKCU\..\Run: [NpRRzA] rundll32.exe shell32.dll,Control_RunDLL "C:\Dokumente und Einstellungen\All Users\xPhligVnVMxsp\lzmezMdem7zmrDNh\9zJxI5RGj1dr\2xrrJoZEu.dat",
amtlib an jenem Ort verheisst nichts gutes, selbst wenn die verändert wurde, wäre sie nicht PUP.
Acrobat 8 ist hoffnungslos veraltet, bekommt IMO gar keine Updates mehr.Aufgrund des Crashreports hätte ich auf ZoneAlarm getippt, aber jetzt nicht mehr. Wie toll ZA ist, sieht man ja, kann man in die Tonne treten.
Warum der DNS auf Comodo steht... da hat jemand mit "viel" Ahnung geschraubt :roll:
http://forums.comodo.com/firewall-help-…6-t79670.0.htmlWarum HJT keine Umlauzte bei dir liefert, muss man auch nicht wirlich verstehen.
Fang neu an... am besten sofort.
-