Mozilla hängt sich auf Virus ?

#1 Abend,

bin hier ziemlich neu und habe heute auch schon einiges gelesen.
Seit ca. 2 Tagen hängt sich mein Mozilla bei größerer DAtenverarbeitung (Abspielen von Videos, Downloads einfach auf. Im Task Manager konnte ich beobachten, dass die Auslagerungsdatei auf über 1,5 GB angestiegen ist, danach folgte der Hänger bzw. das schließen nach ca. 2 Minuten von Mozilla


Hier mein Scan bericht von Malwarebytes:


Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3451
Windows 5.1.2600
Internet Explorer 6.0.2600.0000

29.12.2009 22:11:27
mbam-log-2009-12-29 (22-11-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 153300
Laufzeit: 48 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\oVmO.dll (Rootkit.MBR) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\oVmO.dll (Rootkit.MBR) -> No action taken.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YRGZ0ZW3\eHd9f4c21dV03f01630002R0195a28e102T92c298e1Q00000000901801F0020000aJ0f000601l0007K1b1806e33180[1] (Rootkit.MBR) -> No action taken.
C:\Programme\Audiograbber\Uninstall.exe (Rootkit.Agent) -> No action taken.




Gmer Report davor

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user kernel MBR OK

MBR rootkit code detected !

malicious code @ sector 0xe4f8121 size 0x2c3 !

copy of MBR has been found in sector 62 !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix



Habe danach versucht mit Hilfe dieser Anweisung das Problem zu beheben

http://virus-protect.org/artikel/tools/mbr.html


heraus kam jetzt das

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x8614b470
NDIS: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -> SendCompleteHandler -> 0x85ddd1a0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x09516243
malicious code @ sector 0x09516246 !
PE file found in sector at 0x0951625C !
Use "Recovery Console" command "fixmbr" to clear infection !


kann mir jemand weiterhelfen ich bin ratlos.

Danke im Voraus

#2 hi!
1. alles was malwarebytes gefunden hat, löschen.
2. weiter hiermit + combofix.
http://board.protecus.de/t23188.htm
logs posten

#3 Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 23:15:57, on 29.12.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Nokia\Nokia PC Suite 6\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4667 bytes

#4 warum hast du noch niemals ein windows update gemacht?

#5 ist ne lange Geschichte gehört jetzt wohl nicht hier her, kannst du mir weiterhelfen ?

#6 lass mich raten, illegales windows, ist das so in etwa die zusammenfassung?

#7 habe einen Original Dell pc mit Windwos, hatte damals aber ein Problem mit dem PC und habe bei der Neuinstallation einige Fehler gemacht.... So und wie schauts aus hier die com fix


ComboFix 09-12-29.04 - Andreas 29.12.2009 23:37:25.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.754 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-29 ))))))))))))))))))))))))))))))
.

2009-12-29 22:04 . 2009-12-29 21:28 77312 ----a-w- c:\windows\system32\mbr.exe
2009-12-29 21:35 . 2009-12-29 21:35 11 ----a-w- C:\fix.bat
2009-12-29 21:34 . 2009-12-29 21:28 77312 ----a-w- C:\mbr.exe
2009-12-29 20:20 . 2009-12-29 20:20 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2009-12-29 20:20 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-29 20:20 . 2009-12-29 20:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-29 20:20 . 2009-12-29 20:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-29 20:20 . 2009-12-03 15:13 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-29 18:21 . 2009-12-29 18:21 388096 ----a-r- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-29 18:21 . 2009-12-29 18:21 -------- d-----w- c:\programme\HiJack
2009-12-29 16:46 . 2009-12-29 16:46 -------- d-----w- c:\programme\CCleaner
2009-12-29 06:21 . 2009-12-29 06:21 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-28 18:13 . 2009-12-28 18:13 1956072 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-12-28 18:11 . 2009-12-28 18:11 -------- d-s---w- c:\dokumente und einstellungen\Andreas\UserData
2009-12-27 19:01 . 2007-06-29 15:06 152576 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-27 19:00 . 2009-12-27 19:00 79488 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-26 19:11 . 2009-12-26 19:11 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\SystemRequirementsLab
2009-12-26 19:11 . 2009-12-26 19:11 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Phone Browser
2009-12-26 19:11 . 2009-12-26 19:11 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\OngameNetwork
2009-12-26 19:11 . 2009-12-28 17:30 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien
2009-12-26 19:11 . 2009-12-26 19:11 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Contacts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 18:31 . 2009-11-07 19:00 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\vlc
2009-12-27 19:01 . 2007-10-30 17:00 -------- d-----w- c:\programme\Java
2009-12-25 11:05 . 2001-08-18 12:00 49372 ----a-w- c:\windows\system32\perfc007.dat
2009-12-25 11:05 . 2001-08-18 12:00 320424 ----a-w- c:\windows\system32\perfh007.dat
2009-11-07 18:59 . 2009-11-07 18:59 -------- d-----w- c:\programme\VideoLAN
2009-10-11 03:17 . 2008-12-27 18:58 411368 ----a-w- c:\windows\system32\deploytk.dll
.

------- Sigcheck -------

[-] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\winlogon.exe
[-] 2001-08-23 . 2B0E480E975EE51F2D5CE5F068FED6E2 . 430080 . . [5.1.2600.0] . . c:\windows\system32\winlogon.exe

[-] 2004-08-04 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\wscntfy.exe

[-] 2004-08-04 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\xmlprov.dll

c:\windows\System32\wscntfy.exe ... Fehlt !!
c:\windows\System32\xmlprov.dll ... Fehlt !!.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2004-12-20 33792]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"nwiz"="nwiz.exe" [2003-10-06 741376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-09 185896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"PCSuiteTrayApplication"="d:\programme\Nokia\Nokia PC Suite 6\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312]
"Nokia.PCSync"="d:\programme\Nokia\Nokia PC Suite 6\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"5885:TCP"= 5885:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [30.10.2007 16:46 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [30.10.2007 16:46 45400]
.
Inhalt des "geplante Tasks" Ordners

2009-12-29 c:\windows\Tasks\WGASetup.job
- c:\windows\System32\KB905474\wgasetup.exe [2009-04-22 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - d:\progra~1\Office\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\f8bskkau.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll

#8 der untere teil fehlt?

#9 der Rest, Danke


- - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)
AddRemove-Audiograbber - c:\programme\Audiograbber\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 23:43
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(580)
c:\windows\system32\sfc_os.dll
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(636)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2328)
c:\windows\System32\msi.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-29 23:46:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-29 22:46

Vor Suchlauf: 3.550.011.392 Bytes frei
Nach Suchlauf: 3.570.503.680 Bytes frei

WinXP_DE_PRO_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

#10 du hast also n original windows.
Das problem ist, du hast keinerlei updates, es könnten schon jahrelang sicherheitslücken genutzt worden sein, um trojaner zu laden, die wiederrum malware nachladen etc. ich würde sagen, daten sichern, neu aufspielen, unsere anleitung zum neu aufsetzen beachten. da du ne recovery cd hast, gehts mit dem treiber aufspielen ja auch noch etwas schneller, aber es ist kürzer und wesendlich sicherer als da noch lang rumzusuchen, zumal du dann noch immer keine updates bekommst und dein pc immernoch unsicher ist und du hunderte von sicherheitslücken hast, die ausgenutzt werden können, außerdem siehts so aus, als hättest du fehlende systemdateien.

#11 ich glaub ein neuer PC ist die Lösung, trotzdem Danke . Gute Nacht

#12 nein, eig würd auch ein format c: und eine neu instalation reichen
http://board.protecus.de/t13020.htm
und tu es bitte bald, dein pc sendet nicht nur deine privaten Daten wie passwörter etc nach außen, er könnte auch für kriminelle aktionen verwendet werden, passwörter müssen von einem sauberen pc aus geendert werden.