lordnicon79
Goto Top

Plötzlich Proxy eintrag

Hallo zusammen,

ich habe hier folgendes Phänomen :

Ein aktuelles Windows 7 mit allen Updates etc. ( Flash, Java, avira, ie11 aktuell und Chrome eben so, etc.)
Seit Montag tragen sich immer wieder aufs neue Proxyeinstellungen im IE ein .

Normalerweise benötige ich keine Proxy Einstellungen, aber nun ist es angehakt und als Proxy ist, in den LAN Einstellungen immer wieder, die 127.0.0.1 Port 8897 eingetragen.
Als Ausnahme ist dort <-Loopback>;www.joosoft.com eingetragen.

Nehme ich es raus, erscheint es nicht beim nächsten Neustart , aber am nächsten Tag wieder.

Was ist gemacht habe:
Hijackthis ist durch und hat keine Besonderheiten gezeigt. Zwei Einträge habe ich am Anfang entfernt, aber das hatte damit nichts zu tun.
AV Software Komplettscan mit aktuellen Signaturen hat nichts ergeben.
Autostart habe ich kontrolliert und über msconfig den Systemstart kontrolliert. = nichts bemerkenswertes gefunden.
Alle Tempdateien vom IE sowie Cookies etc. gelöscht !
Kontrolle der oben angegebenen Webseite ist nichtssagend. (auch keine Software auf dem PC, die etwas damit zu tun haben könnte)


Bin etwas ratlos.. kennt Ihr dieses Verhalten ?
Gibt es noch eine Ecke in der ich Suchen könnte ?

Ich lade grad ne AV CD herunter und werde das System mal damit Scannen... ( Hoffnung stirbt zuletzt ! face-wink )

Ich bin um jeden Hinweis dankbar ...


Viel Erfolg..

Gruß

Content-ID: 246270

Url: https://administrator.de/contentid/246270

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

catachan
catachan 12.08.2014 um 10:06:03 Uhr
Goto Top
Hi

ich würde mal mit den Sysinternals Tools prüfen was auf Port 8897 läuft

LG
colinardo
colinardo 12.08.2014 aktualisiert um 10:12:29 Uhr
Goto Top
Moin,
zu 90% Malware die sich vor dir im laufenden System versteckt und einen Proxy auf dem Loopback Interface startet und deinen Traffic über ein System des Angreifers leitet, also mit Offline-System auf Malware/Viren und Rootkits scannen.

Grüße Uwe
Lochkartenstanzer
Lochkartenstanzer 12.08.2014 aktualisiert um 10:25:29 Uhr
Goto Top
Moin,

Garantiert Malware (meist Adware). Wenn Du nicht Av-Software installiert hast, die einen lokalen Proxy zum Filtern benutzt.

Hitman Pro und malwarebytes Antimalware helfen oft dagegen.

Man soltle je nach Situation darüber nachdenken, ggf frisch zu installieren oder ein backup einzuspielen.

lks

Nhactrag:

Hijackthis & co helfen dagegen nicht, weil diese nur Registry-werte anzeigen. Diese malware verankert sich aber an mindestens einem dutzen stellen. u.a.:

  • Registry an diversen stellen zum automatischen Starten (-> autoruns zum anschauen)
  • cache aller browser
  • konfiguration aller browser
  • in den verknüpfungen zum aufrufen der Browser und andere Programme, die Internetzugriffe erlauben (z.B. Mailer)
  • binaries im programmsuchpfad,
  • u.s.w.

eine Manuelle Suche ist da sehr aufwendig.

lks
Sheogorath
Sheogorath 12.08.2014 um 10:32:08 Uhr
Goto Top
Moin,

zunächst solltest du deine Registry und autostart Pfade prüfen,
"%appdata%\Microsoft\Windows\Start Menu\startup", alles verdächtige raus
"%programdata%\Microsoft\Windows\Start Menu\startup", alles verdächtige raus
"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run", alles verdächtige raus
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", alles verdächtige raus
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", alles verdächtige raus
"HKEY_CURRENT_USER\­Software\Microsoft\Command Processor", hier Eintrag "Autorun"
"HKEY_LOCAL_MACHINE\­Software\Microsoft\Command Processor" , auch hier Eintrag "Autorun"

damit solltest du die Autstarts raus haben, wenn nicht nochmal mit msconfig nachprüfen.

jetzt den Taskmanager Starten, "Befehlszeile" bzw. command Prompt einblenden und nach verdächtigen Pfaden schauen, solltest du nicht fündig werden, probier es mal mit Progmon, da bekommst du angezeigt, welche Exe wohin kommunizieren will, was durchaus wichtig ist, um mögliche spyware zu entlarven, die der Virus miteinagespielt hat.

Hast du das Alles geprüft und die Verdächtigen Dateien gelöscht, sollte das System wieder sauber sein. vor dem Neustart nochmal die autostartplätze prüfen und nach dem Neustart die aktiven Prozesse prüfen.

Wenn das geklappt hat, bist du sehr wahrscheinlich wieder sauber unterwegs. (sogar ganz ohne Virenscanner)

Gruß
Chris
Lochkartenstanzer
Lochkartenstanzer 12.08.2014 um 10:43:10 Uhr
Goto Top
Zitat von @Sheogorath:

Wenn das geklappt hat, bist du sehr wahrscheinlich wieder sauber unterwegs. (sogar ganz ohne Virenscanner)

Viel Glück.

Wehe Du vergißt oder übersiehst einen einzigen eintrag. Dann hast Du sofort alles wieder drin. Die Dinger sind sehr hatnäckig. Ohen Unterstützugn durch spezialisierte Programme ist man da hoffnungslos verloren, wenn man an die richtige Malware kommt.

lks
LordNicon79
LordNicon79 12.08.2014 um 10:48:03 Uhr
Goto Top
Also erst mal ein großes DANKE an Euch !!

Habe mir jetzt grad schon mal mit CurrPorts die offenen Ports und Programme dazu angeschaut..
Entweder versteckt sich das Ding echt gut .. oder es konnte sich nicht komplett installieren.
Wenn ich www.google.de eingebe.. dann meldet er, dass er den Proxy nicht finden kann...

Ich schaue mir gleich mal die ganzen anderen Vorschläge noch an .. Da ich momentan nicht direkt an dem Rechner sitze .. werde ich wohl erst heut Abend oder morgen etwas dazu schreiben können !
Danke noch mal Euch .. ich halte Euch auf dem Laufenden !
Sheogorath
Sheogorath 12.08.2014 um 11:12:27 Uhr
Goto Top
Moin lks,

also ich habe schon ein paar Rechner mit dieser Methode behandelt. Klar, ich habe auch AV Software drauf, aber die greift ja meist so oder so erst, wenn das Kind schon in den Brunnen gefallen ist. Zumindest jetzt mal ganz Spontan aus meiner Erfahrung heraus, wobei ich auch eigentlich nie AV-Verwalter war, ich bekam also nur die, wo es wirklich zuspät war.

Auch Moin der ganze Rest,
Bei Adware sollte übrigens man auch noch den Browser neuinstallieren und händisch Lesezeichen und aus eigener Sicht wichtige Addons rausschreiben. (wenn man unbedingt IE nutzt, ist das natürlich bescheiden...).

Dazu kommen die goldenen Policen: Arbeite nie mit direkten Adminrechten, nutze Softwarevirtualisierung und isntalliere nicht jeden Müll (schon garnicht irgendwelche Downloader... da sind ja torrentloader sauberer, auch wenn es scheinbar totaler Trend wird ein extra Stück software nur für einen einzelnen download installieren zu müssen -,-).

Naja, einen angenehmen Diensttag allerseits.

Gruß
Chris
medikopter
medikopter 13.08.2014 um 09:12:58 Uhr
Goto Top
Hast du vielleicht versehentlich irgendwelche Suchleisten oder sowas installiert?

Hatte das Problem auch mal, schau dir auch die Dienste an ob da irgendwelche ohne Beschreibung drin sind, oder mit komischer Beschreibung.

Es gibt auch ein Tool was den PC danach scannt, glaube habe ich bei Computerbild oder Chip runtergeladen. Weiß allerdings nicht mehr wie es heißt
Lochkartenstanzer
Lösung Lochkartenstanzer 13.08.2014, aktualisiert am 01.09.2014 um 09:43:12 Uhr
Goto Top
Zitat von @medikopter:

Es gibt auch ein Tool was den PC danach scannt, glaube habe ich bei Computerbild oder Chip runtergeladen. Weiß allerdings
nicht mehr wie es heißt

Habe ich oben schon geschrieben: Malwarebytes Antimalware, Hitman Pro und AdwCleaner sind die Standardtools dafür.

lks

Ach ja. Nicht bei softonic & Co. downlaoden. Die werfen da noch "Werbe"-Software dazu. Nur bei beim Hersteller direkt oder bei Heise oder PCWelt, zur Not geht auch Computerblöd oder Chip.
medikopter
medikopter 13.08.2014 um 12:08:11 Uhr
Goto Top
Ah sorry habe ich wohl überlesen
LordNicon79
LordNicon79 01.09.2014 um 09:46:04 Uhr
Goto Top
Fettes Danke von mir !

Ich habe noch einiges versucht und auch Eure Tools eingesetzt.
Das ding ist aber immer wieder aufgetaucht.

Letztendlich werde ich diese Woche den Rechner neu installieren. Ist zwar nicht schön, aber hoffentlich effektiv !

Danke noch mal und eine Malware freie Zeit für Euch!