Firefox mit Malware belastet? Scans ergebnislos

[scratch]

Hallöchen,

ist mir fast schon peinlich, für sowas hier nach Hilfe zu fragen, da ich eigentlich ein versierter Nutzer bin und mir sowas gewöhnlich nicht passiert. Weiß garnicht, wann ich das letzte Mal Schadsoftware auf'm Rechner hatte. Nun ist's aber doch mal passiert.

Habe mir vor ein paar Tagen auf der Suche nach 'nem Bildschirmschoner den hier runtergeladen. Zu dem Zeitpunkt hatte ich den Website-Schutz im Firefox deaktiviert, was mir, wie ich es nun im Nachhinein merkte, schonmal 'ne Warnung geben hätte können. Gescannt habe ich die Installationsdatei zwar (Avira), war aber ergebnislos, ich ging also von einer sauberen Datei aus. Jedoch kam es bereits bei der Installation zu Fehlern, weshalb ich das gute Stück kurzerhand wieder über Board warf.

Nun musste ich feststellen, dass bei jedem Firefox-Start die Installationsdatei automatisch erneut heruntergeladen wird (bzw. jetzt mit Website-Blockade wird der DL blockiert). Da ist also definitiv noch was Unerwünschtes auf dem System, dem ich momentan nicht Herr werde.

Bisherige, ergebnislose Ansätze:
- Scan mittels AdwCleaner und Malwarebytes (die fanden zwar je zwei Reg-Einträge, schien aber nicht damit verwandt zu sein)
- Firefox - Erweiterungen, Plugins - nichts Ungewöhnliches
- HijackThis - sehe ich auch nichts ungewöhnliches, abgesehen von vielen fehlenden Dateien (?)
Log dazu:

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 16:09:48, on 17.03.2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!

FIREFOX: 36.0.1 (x86 de)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Service Host (Avira.OE.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: RadeonPro Support Service - Mr. John aka japamd - C:\Program Files (x86)\RadeonPro\RadeonProSupport.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 5542 bytes

Könnt Ihr mir da vielleicht helfen? Dankeschön!

 

[EinhornBigfoot]

Firefox schon neu instaliert ?

Ansonsten den PC mal mit etwas gescheitem scannen wie der Kaspersky rescue Disk, davon kannst du booten und dann den PC mal gründlich überprüfen.

Es laufen auch relativ viele Prozesse mit "Unknown Owner", wenn ich mir das bei mir angucke habe ich fast überall einen Besitzer stehen. Hasst du viele Programme installiert ?

 

[Thunder-P]

Die Dinger nisten sich leider mittlerweile immer besser ein, sodass mal eben ein Scan nichts mehr bringt.

Da du ja bereits schon einige Tools hast drüber laufen lassen und sich das Problem auch nur auf den Firefox beschränkt hätte ich im Moment nur den einen Tipp:

Den Firefox komplett deinstallieren, dass heißt mit allen Plugins und Add-ons und sämtlichen Registry-Einträgen. Das gilt auch und insbesondere für die Verzeichnisse "C:\Users\Name\AppData\Local\Mozilla ... Danach das System neu starten und den Firefox neu installieren.

Um sicher zu gehen, dass nichts im System gelandet ist, würde ich außerdem alle Einträge kontrollieren, die mit dem System gestartet werden, sprich die Autostart, die msconfig und das was in der Regedit unter "run" steht.

 

[onetwoxx]

Das komplette Profil in den Papierkorb, deinstallieren und neu installieren allein bringt nichts

 

[purzelbär]

HiJack This kannste leider vergesssen, das ist überholtwie meine Vorredner schon schrieben deinstalliere Firefox mal komplett und überprüf mal zusätzlich dein System mit Emsisoft Emergency Kit Detail Scan und mit JRT.

 

[Preschen]

Vielleicht auch mal den Firefox restaurieren ?

Menue öffnen - Fragezeichen (unten) - Informationen zur Fehlerbehebung - Firefox restaurieren

 

[Kronos60]

Du kannst dein System auch mal mit Malwarebytes scannen:
http://de.malwarebytes.org/

 

[purzelbär]

Kronos60, das hat er doch schon gemacht:

Bisherige, ergebnislose Ansätze:
- Scan mittels AdwCleaner und Malwarebytes (die fanden zwar je zwei Reg-Einträge, schien aber nicht damit verwandt zu sein)

 

[Kronos60]

Sorry, habe es überlesen.

 

[emlyn d.]

Nun musste ich feststellen, dass bei jedem Firefox-Start die Installationsdatei automatisch erneut heruntergeladen wird (bzw. jetzt mit Website-Blockade wird der DL blockiert).

Rechtsklick auf den Download -> Aus Chronik entfernen

Warum Safe Browsing die 7art-screensavers.com- bzw. maxysoft.com-Dateien blockiert, ist fraglich.
Vielleicht liegt es an der Signatur bzw. dem nicht vertrauenswürdigen Stammzertifikat.

HiJack This kannste leider vergesssen, das ist überholt

Und warum nennst Du dann nicht z.B. FRST?

 

[purzelbär]

Und warum nennst Du dann nicht z.B. FRST?

Weil das überspitzt ausgedrückt dein Part ist, ich FRST nicht kenne und von daher nicht empfehle. Unabhängig davon: traurig für dich das andere User anderer Threads mit ähnlichen Problemen nicht auf dich eingingen und keine FRST Logs erstellten.

 

[emlyn d.]

ich FRST nicht kenne und von daher nicht empfehle.

Was hindert Dich daran, dazuzulernen?

traurig für dich das andere User anderer Threads mit ähnlichen Problemen nicht auf dich eingingen und keine FRST Logs erstellten.

Nicht für mich.
Traurig für die Hilfesuchenden und traurig hinsichtlich der Qualität des Forums.

 

[Markus78]

@ te
hast ne perso nachricht

 

[scratch]

Danke für die Hilfe, Problem erscheint erledigt.

 

[Andy4]

Und wie bist du es jetzt los geworden? Nur damit vielleicht später jemand bescheid weis, der ggf. mit der gleichen Problematik zu kämpfen hat.

Gruß Andy

 

[scratch]

Scheinbar hat Avira die Säuberung der Registry geblockt, hatte ich erst später mit einem erneuten Scan bemerkt, da ich nebenbei noch mit anderen Dingen beschäftigt war. Die entsprechenden Einträge entfernte ich manuell und seitdem ist Ruhe.

 

[Markus78]

und wieviel hintertüren sind geöffnet?
sauber ist nur noch selten sicher...