Author Topic: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert  (Read 37483 times)

0 Members and 1 Guest are viewing this topic.

BastianS

  • Guest
Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« on: March 23, 2013, 06:30:56 PM »
Hallo,
ich erhoffe mir hier Hilfe zu bekommen im Bezug auf eine immer wiederkehrende Meldung meines avast! Virenscanners (Freeware)
Der Reihe nach:
Ich habe Bilder von einer SD-Card auf meinen PC gezogen (diese war vorher auf einem anderen Laptop). Seit dem erscheint immer wieder die Meldung, dass avast! den Zugriff auf eine Webseite blockiert hat. Es handelt sich um zwei verschiedene URL's:

http://nnh42.name/a/
http://jsh37.net/a/
Den Infektionsdetails ist außerdem jeweils zu entnehmen:
Prozess: C:\Windows\System32\WScript.exe
Infektion: URL:Mal
Außerdem erscheinen in der Taskleiste unter "ausgeblendete Symbole" sehr viele Symbole vom Windowsupdate. Fährt man mit der Maus über sie, so verschwinden sie einfach.

Ein kompletter Scan meines Systems lieferte allerdings keine Funde.
Während ich das hier gerade schreibe, lieferte avast! außerdem noch folgende Meldung:
Infektion: JS:Iframe-AMQ [Trj]
Prozess: C:\Windows\System32\WScript.exe
URL: http://www.carbonsmart.co.uk/index.php?q

Es scheint also ein Trojaner zu sein.
Da avast! nur den Zugriff zu blockieren scheint, aber die Ursache nicht beheben kann, bin ich auf Hilfe angewisen.
Was kann ich also nun tun?

Danke im Voraus

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #1 on: March 23, 2013, 06:35:13 PM »
Bitte folge dieser Anleitung: http://forum.avast.com/index.php?topic=102616.0

Willkommen im Forum,
Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #2 on: March 25, 2013, 08:49:34 AM »
Hat leider etwas gedauert, aber ich hoffe nun, alle erforderlichen Dateien hochladen zu können.
Da verhindert wurde, dass die Programme im normalen Modus starten, musste ich jedes mal den "Abgesicherten Modus" wählen.

Ich hoffe, man kann mir nun weiter helfen.

BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #3 on: March 25, 2013, 08:50:29 AM »
Und noch die aswmbr

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #4 on: March 25, 2013, 11:06:22 AM »
Da verhindert wurde, dass die Programme im normalen Modus starten, musste ich jedes mal den "Abgesicherten Modus" wählen.

Hast du gut gemacht..!! :)
Bitte etwas Geduld, einer unserer Experten wird sich hier melden.

LG, Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #5 on: March 25, 2013, 12:37:55 PM »
Hallo war die Infektion von der SD-Karte. Beim Ausführen von McShield gewährleisten die Karte eingelegt

Warning This fix is only relevant for this system and no other, using on another computer may cause problems

Be advised that when the fix commences it will shut down all running processes and you may lose the desktop and icons, they will return on reboot

Run OTL
  • Under the Custom Scans/Fixes box at the bottom, paste in the following


Code: [Select]
:OTL
O2 - BHO: (no name) - {326E768D-4182-46FD-9C16-1449A49795F4} - No CLSID value found.
O2 - BHO: (no name) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - No CLSID value found.
O4 - HKU\S-1-5-21-1903657100-1192547202-2996381717-1000..\Run: [b81bb] C:\Users\Momo\AppData\Roaming\ae0d\b81bb.js ()
O4 - Startup: C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e0e0e.js ()
[2013.03.23 15:42:11 | 000,000,000 | -HSD | C] -- C:\Program Files\b105
[2013.03.23 15:42:11 | 000,000,000 | -HSD | C] -- C:\af87
[2013.03.23 15:42:11 | 000,000,000 | -HSD | C] -- C:\Users\Momo\AppData\Roaming\ae0d
[2013.03.25 08:02:50 | 000,046,000 | ---- | M] () -- C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e0e0e.js
[2013.03.25 08:02:50 | 000,046,000 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\e0e0e.js
[2013.03.06 18:27:36 | 000,000,032 | ---- | M] () -- C:\Windows\0
[2013.03.25 08:00:00 | 000,046,000 | ---- | C] () -- C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e0e0e.js
[2013.03.25 08:00:00 | 000,046,000 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\e0e0e.js
[2013.03.06 18:26:45 | 000,000,032 | ---- | C] () -- C:\Windows\0
[2013.03.06 18:26:45 | 000,000,000 | ---- | C] () -- C:\Windows\System32\0

:Commands
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Then click the Run Fix button at the top
  • Let the program run unhindered, reboot the PC when it is done
  • Open OTL again and click the Quick Scan button. Post the log it produces in your next reply.
THEN

Download McShield to your desktop and install
It will initially run a scan and show the result as a toaster by the system clock
Then in the control centre select scanner and tick unhide items on flash drives

Plug in the SD Card and McShield will start a scan

Then get the log which will be here :

Start > all programs > MCShield > logs > all scans

And post that


BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #6 on: March 25, 2013, 01:46:01 PM »
Ich habe die Anweisungen nach Anleitung durchgeführt. Anbei die beiden Datein.
Allerdings liefert McShield keine Analyse für die SD-Card.

BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #7 on: March 25, 2013, 02:25:02 PM »
Außerdem habe ich mal noch einen Screenshot von den bereits erwähnten unzähligen Windows-Update Symbolen erstellt.
Wie gesagt, wenn man mit der Maus drüber fährt verschwinden sie sofort.
Es werden im Laufe der Zeit auch noch mehr.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #8 on: March 25, 2013, 03:54:45 PM »
Dies dauert ein paar läuft vollständig löschen

Warning This fix is only relevant for this system and no other, using on another computer may cause problems

Be advised that when the fix commences it will shut down all running processes and you may lose the desktop and icons, they will return on reboot

Run OTL
  • Under the Custom Scans/Fixes box at the bottom, paste in the following


Code: [Select]
:OTL
O4 - Startup: C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ef5.js ()
[2013.03.25 12:48:53 | 000,046,070 | ---- | M] () -- C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ef5.js
[2013.03.25 12:48:53 | 000,046,070 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ef5.js

:Commands
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Then click the Run Fix button at the top
  • Let the program run unhindered, reboot the PC when it is done
  • Open OTL again and click the Quick Scan button. Post the log it produces in your next reply.

BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #9 on: March 25, 2013, 06:55:02 PM »
Dies dauert ein paar läuft vollständig löschen

What? Maybe it's easier for you to write in english? This sentence makes no sense.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #10 on: March 25, 2013, 07:49:31 PM »
OK my German is rubbish :o, basically it may take a few runs to kill this

BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #11 on: March 25, 2013, 08:01:59 PM »
Yes i think so...i hope you can help me. Or you have at least a proposal what else i can do.
Attached is the new otl.txt

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #12 on: March 25, 2013, 08:44:27 PM »
I am going to try a double kill this time.  OTL will not reboot, once it has run then immediately run Avenger 

Warning This fix is only relevant for this system and no other, using on another computer may cause problems

Be advised that when the fix commences it will shut down all running processes and you may lose the desktop and icons, they will return on reboot

Run OTL
  • Under the Custom Scans/Fixes box at the bottom, paste in the following


Code: [Select]
:OTL
O4 - HKCU..\Run: [b81bb] C:\Users\Momo\AppData\Roaming\ae0d\b81bb.js ()
O4 - Startup: C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js ()
[2013.03.25 19:37:06 | 000,046,115 | ---- | M] () -- C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js
[2013.03.25 19:37:06 | 000,046,115 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js
[2013.03.25 13:11:04 | 000,000,000 | -HSD | M] -- C:\Users\Momo\AppData\Roaming\ae0d

:Files
C:\Program Files\b105
C:\af87
C:\Users\Momo\AppData\Roaming\ae0d
C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js

:Commands
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
  • Then click the Run Fix button at the top
     
THEN

1. Please download The Avenger by Swandog46 to your Desktop.
  • Right click on the Avenger.zip folder and select "Extract All..."
  • Follow the prompts and extract the avenger folder to your desktop
2. Copy all the text contained in the code box below to your Clipboard by highlighting it and pressing (Ctrl+C):
 
Code: [Select]
Begin copying here:
Files to delete:
C:\Users\Momo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\e459e.js

Folders to delete:
C:\Program Files\b105
C:\af87
C:\Users\Momo\AppData\Roaming\ae0d


Note: the above code was created specifically for this user.  If you are not this user, do NOT follow these directions as they could damage the workings of your system.

 
3. Now, open the avenger folder and start The Avenger program by clicking on its icon.
  • Right click on the window under Input script here:, and select Paste.
  • You can also click on this window and  press (Ctrl+V) to paste the contents of the clipboard.
  • Click on Execute
  • Answer "Yes" twice when prompted.
4. The Avenger will automatically do the following:
  • It will Restart your computer. ( In cases where the code to execute contains "Drivers to Delete", The Avenger will actually restart your system twice.)
  • On reboot, it will briefly open a black command window on your desktop, this is normal.
  • After the restart, it creates a log file that should open with the results of Avenger’s actions.  This log file will be located at  C:\avenger.txt
  • The Avenger will also have backed up all the files, etc., that you asked it to delete, and will have zipped them and moved the zip archives to C:\avenger\backup.zip.
5. Please copy/paste the content of c:\avenger.txt into your reply along with a freshOTL log .

BastianS

  • Guest
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #13 on: March 25, 2013, 09:15:09 PM »
OK. Attached is the avanger.txt.

The system has restarted only once.
It's also quite difficult to restart. I'm not sure if it's correct, that it restarts in normal mode.
Because i have to start all these programms in "safe mode". It may not start in "normal" mode. Hope this is not a problem.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Wie geht es weiter: Meldung Zugriff auf Webseite blockiert
« Reply #14 on: March 25, 2013, 10:22:27 PM »
Could you now boot to normal mode please and run one further OTL scan