Hallo liebe Helferlein,
Grübele und suche schon ein Weile nach möglichen Ursachen: Firefox stark verlangsamt, Problem trat auch wieder bald nach Zurücksetzen auf. Wenn Firefox aktiv ist, verlangsamt das auch andere Vorgänge, z.B. Explorer oder anderes aufrufen. Heartbleed machte mir Sorgen... BSI-Test Mailadressen negativ. Verdächtige e-Mails werden sofort gelöscht, etwa Betrugsmails, angeblich von Vodafone, Deutsche Telekom GMBH, eBay - alle bekommen, Anhänge bleiben zu, und Komprimierung läuft inzwischen auch.
Virusprogramm Comodo Internet Security Premium (Firewall und Antivirus).
Comodo wies u.a. system security2 - pub als malware aus, nach Internetrecherche löschte ich es. Das Zerschoß mein Windows. Erforderte ein komplettes System Wiedereinspielen mit Acronis - pub blieb aber weg :-??? - doch Malware? Jetzt traue ich den Angaben nicht mehr und hoffe hier auf Hilfe, wo ich schon gestöbert habe. Nach einem BSI Hinweis, das Malware-Prüfprogramm Emsisoft eingesetzt, Scan dauerte ca. 9 Stunden für alle Partitionen und drei externe Festplatten.
System XP Home SP3 mit allen Updates bis Support endete. Firefox 24.5 ESR, TB 24.5. NoScript fing an zu spinnen - blockierte trotz vorübergehender Freigaben so ziemlich jeden Zugang, Reset hat Problem behoben. IE8 vorhanden, benutze ich nicht, der öffnet sich jedoch sporadisch ungefragt, was mir gar nicht gefällt und erscheint beim CCleaner mit zu löschenden Cookies und Dateien auch dann wenn ich ihn gar nicht benutzt habe - was macht der da bloß? Leider über Dienste nicht deaktivierbar. Habe mit HiJackThis einen LogFile gemacht - da erscheinen eine Reihe Programme, denen ich per CCleaner den Autostart untersagt habe. Erlaubter Autostart nur für: Comodo, Rocket Dock, CursorFX, Kernel Fault Check, StartUpMonitor.
Von Emsisoft habe ich den LogFile - zeigt einige mit geringem Risiko. Einen mit hohem Risiko "Hubar", der schon länger in Quarantäne ist, ebenso "ARBZ", mittleres Risiko. Frage hierzu: kann man die zugehörigen Registryeinträge und die Pfade in C: löschen, ohne daß es zu Problemen kommt?
Alle Funde auf C: - System und D: - Zusatzprogramme wie Comodo. E: - Private Daten und externe Festplatten sind sauber. Es sind noch weitere in Quarantäne - Suchen im Netz half nichts, konnte sie da nicht finden und ich habe gründlich gesucht.
Aufgrund der Fragen an andere Hilfesuchenden, vorab:
Erweiterungen im FF: Adblock Plus 2.6, Adblock Plus Popup-Addon 0.9.2, DownloadHelper 4.9.22, Facebook Disconnect 2.1.3, Ghostery 5.2.1, HTTPS-Everywhere 3.5.1, Mozilla Archive Format 3.0.2, NoScript 2.6.8.26, Self-Destructing Cookies 0.4.4, Show my Password 2.0.
Trotz Popup-Blockierung erscheinen öfter welche, die behaupten mein Flashplayer wäre veraltet und fordern zum Download auf, obwohl er aktuell ist. Dann verlasse ich die Seite.
Aktivierte Plugins: Foxit Reader Plugin 2.2.3.703, Java(TM) SE 7 U555 10.55.2.13, Pdf-XChange Editor 3.0.302.0 (zwei weil einer immer eine Macke hat), Shockwave Flash 13.0.0.214, VLC Web Plugin 2.1.0.0, letzerer nicht aktualisiert, weil neue Version Macken hat.
Hier LogFile von HiJackThis:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
D:\Programme\CursorFX\CursorFX.exe
D:\Programme\RocketDock\RocketDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\SearchIndexer.exe
D:\Programme\HiJackThis\HiJackThis204.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startfenster.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CursorFX] "D:\Programme\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O15 - Trusted Zone: http://www.amazon.de
O15 - Trusted Zone: http://www.amzon.fr
O15 - Trusted Zone: http://www.free.fr
O15 - Trusted Zone: http://h10025.www1.hp.com
O15 - Trusted Zone: http://www.ixquick.de
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1396883061828
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1346432868531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1342185648781
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Secunia PSI Agent - Secunia - D:\Programme\Secunia\PSI\PSIA.exe
O23 - Service: Secunia Update Agent - Secunia - D:\Programme\Secunia\PSI\sua.exe
O23 - Service: System Store Service (SystemStoreService) - Unknown owner - C:\Programme\Freetec\SystemStore\SystemStore.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
End of file - 5155 bytes
Anmerkung: Diese Datei "O23 - Service: Secunia PSI Agent - Secunia - D:\Programme\Secunia\PSI\PSIA.exe" wurde z.B. von Comodo als Virus "erkannt". Und wieso ist der IE aktiv?Hier Log File von Emsisoft:
Emsisoft Emergency Kit - Version 4.0
Letztes Update: 20.05.2014 18:23:54
Benutzerkonto: T-7EF7C8D8702C4\xxx
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, Cookies, C:\, D:\, E:\, M:\, O:\, V:\
PUPs-Erkennung: An
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: An
Inklusionen-Filter: |.asp|.bat|.cab|.cgi|.chm|.cla|.class|.cmd|.com|.cpl|.ini|.css|.dll|.elf|.exe|.hlp|.hta|.htm|.html|.zip|.wh|.jar|.jpe|.jpeg|.jpg|.js|.jse|.lnk|.ocx|.php|.pif|.rar|.xpi|.reg|.scr|.sh|.shs|.src|.sys|.txt|.vbs|.vxd|.wmf|.doc|.docx|.xls|.xlsx|.ppt|.pptx|.pdf|
Erweitertes Caching: An
Direkter Festplattenzugriff: An
Scan Beginn: 20.05.2014 18:38:36
C:\Dokumente und Einstellungen\utc\Anwendungsdaten\OpenCandy
gefunden: Application.AppInstall (A)
C:\Dokumente und Einstellungen\utc\Lokale Einstellungen\Anwendungsdaten\Conduit
gefunden: Application.AppInstall (A)
C:\Dokumente und Einstellungen\utc\Anwendungsdaten\drivercure
gefunden: Application.AppInstall (A)
C:\Dokumente und Einstellungen\utc\Anwendungsdaten\dvdvideosoftiehelpers
gefunden: Application.AppInstall (A)
C:\Dokumente und Einstellungen\utc\Anwendungsdaten\pdfforge
gefunden: Application.AppInstall (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} gefunden: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179} gefunden: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\DRIVERSCANNER
gefunden: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\FUNWEBPRODUCTSINSTALLER.START
gefunden: Application.AdReg (A)
Key: HKEY_USERS\S-1-5-21-1275210071-1292428093-682003330-1008\SOFTWARE\SOFTONIC gefunden: Application.InstallAd (A)
C:\Programme\Conduit
gefunden: Application.AppInstall (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}
gefunden: Adware.Win32.Hubar (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}
gefunden: Adware.Win32.Hubar (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}
gefunden: Adware.Win32.Hubar (A)
Key: HKEY_USERS\S-1-5-21-1275210071-1292428093-682003330-1008\SOFTWARE\CONDUIT
gefunden: Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CONDUIT
gefunden: Application.InstallAd (A)
Key: HKEY_USERS\S-1-5-21-1275210071-1292428093-682003330-1008\SOFTWARE\YAHOOPARTNERTOOLBAR
gefunden: Application.Win32.YTool (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\SEARCHPROTECT
gefunden: Application.InstallAd (A)
C:\System Volume Information\_restore{837B9159-2262-4092-9285-6245FB343FE0}\RP557\A0145265.exe
gefunden: Application.Win32.InstallAd (A)
D:\Programme\Comodo\COMODO Internet Security\Quarantine\A0074196.exe
gefunden: Trojan.Agent.ARBZ (B)
D:\System Volume Information\_restore{837B9159-2262-4092-9285-6245FB343FE0}\RP536\A0139318.exe
gefunden: Application.Win32.InstallAd (A)
D:\System Volume Information\_restore{837B9159-2262-4092-9285-6245FB343FE0}\RP536\A0139319.exe
gefunden: Application.Win32.InstallAd (A)
D:\System Volume Information\_restore{837B9159-2262-4092-9285-6245FB343FE0}\RP537\A0139970.exe
gefunden: Application.Win32.InstallAd (A)
Anmerkung: hier "D:\System Volume Information\_restore" komme ich auch als Admin nicht rein, nicht einmal zum Ansehen. Das müßte man doch löschen können, damit es nicht wieder installiert wird.
Gescannt 361843
Gefunden 23
Scan Ende: 21.05.2014 03:18:03
Scan Zeit: 8:39:27Wenn AppInstall diese Apps meint, die überall mit diesen Minibildchen beworben werden - wissentlich habe ich derartiges nie auf meinen Rechner geladen, sie müssen also irgendwo versteckt gewesen sein. Open Candy ist eindeutig Adware. Ob mein Cookie-Löscher denen den Zahn zieht? Nach jeder längeren Sitzung mit vielen Seitenaufrufen im FF verwende ich den CCleaner zum Reinigen - wobei ich genau prüfe was gelöscht werden soll. Andere Tuning Tools, miese Erfahrungen, meide ich.
Verstehe ich das richtig, wenn ein Programm in Quarantäne ist, funktioniert das nicht mehr. Verursacht die bereits längere Auslagerung in Quarantäne keine Probleme, dann kann man das folgenlos löschen? Ich, Software und IT :embarassed: Sollte meine Vermutung stimmen, könnte ich wenigstens die Quarantäne-Kandidaten auch in der Registry löschen. Vielleicht bringt das was.
Bedanke mich hier erstmal für das geduldige Lesen dieses Traktats, vielleicht erspart das gleich mehrere Rückfragen. Und nu' hoffe ich, daß es Abhilfe gibt.
Liebe Grüße,
TanteU
PS: Habe mal ge-Ixquick.com-ed und fand zu der bei mir gefundenen Malware einige Informationen, die ich hiermit weitergebe - Ihr sollt ja nicht alle Arbeit tun, vielleicht hilft das noch Anderen:
Conduit attackiert bevorzugt Firefox, ändert Einstellungen, die man nicht rückgängig machen kann: http://dieviren.de/conduit-redirect-virus/
http://www.spywareremove.com/removesearchconduit.html
Driver Cure von ParetoLogic, angeblich zur Treibersuche, ist Malware, kopiert sich selber mehrfach, Deinstallation muß manuell erfolgen. Die Suchmaschine zeigt gleich 4 Seiten nur Werbung für Driver Cure, beim Öffnen einer Seite öffnete sich sofort das Installationsfenster - ohne jegliche Infos. https://www.badwarebusters.org/main/itemview/8821
dvdvideosoftiehelpers - Trojaner, versendet Spam: nutzt offenbar Script.Iframer, bei mir mittels NoScript gesperrt. Blockiert Hotkeys.
http://www.trojaner-board.de/86222-heur-tro…er-website.html
http://www.trojaner-board.de/105933-unerkla…pamversand.html
https://forum.avira.com/wbb/index.php?…threadID=143528
pdfforge - habe ich mir wohl bei der Suche nach einem PDF-Programm eingehandelt, die Toolbar aber nicht installiert: Scheint eine ähnliche Masche zu fahren wie Softonic. PDF-Forge ist der Hersteller und trotzdem nicht sauber.
http://forum.chip.de/viren-trojaner…ar-1333239.html
Noch eine Warnung: Avast bietet mehrere Programme kostenlos zum Ausprobieren an. Tatsächlich bekommt man kurz darauf eine Mail, daß der Vertrag nach einem Jahr automatisch verländert wird, mit gepfefferten Preisen. Diese Mail bekommt man auch, wenn man ausdrücklich KEIN Abo gebucht hat und das Häkchen dort entfernt hat. Avast ignoriert die Abwahl des Abos. Mails nur in englisch - zwei Adressen: London und Australien. Ich habe in London protestiert, die haben es nach Australien weitergeleitet, als von dort nichts kam, habe ich nochmal Terz gemacht und man bequemte sich zur Stornierung. Zum Glück hatte ich die Seite mit dem abgelehnten Abo gespeichert.
