Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Plötzlich Proxy eintrag

Frage Sicherheit Viren und Trojaner

Mitglied: LordNicon79

LordNicon79 (Level 1) - Jetzt verbinden

12.08.2014, aktualisiert 01.09.2014, 8895 Aufrufe, 11 Kommentare

Hallo zusammen,

ich habe hier folgendes Phänomen :

Ein aktuelles Windows 7 mit allen Updates etc. ( Flash, Java, avira, ie11 aktuell und Chrome eben so, etc.)
Seit Montag tragen sich immer wieder aufs neue Proxyeinstellungen im IE ein .

Normalerweise benötige ich keine Proxy Einstellungen, aber nun ist es angehakt und als Proxy ist, in den LAN Einstellungen immer wieder, die 127.0.0.1 Port 8897 eingetragen.
Als Ausnahme ist dort <-Loopback>;www.joosoft.com eingetragen.

Nehme ich es raus, erscheint es nicht beim nächsten Neustart , aber am nächsten Tag wieder.

Was ist gemacht habe:
Hijackthis ist durch und hat keine Besonderheiten gezeigt. Zwei Einträge habe ich am Anfang entfernt, aber das hatte damit nichts zu tun.
AV Software Komplettscan mit aktuellen Signaturen hat nichts ergeben.
Autostart habe ich kontrolliert und über msconfig den Systemstart kontrolliert. = nichts bemerkenswertes gefunden.
Alle Tempdateien vom IE sowie Cookies etc. gelöscht !
Kontrolle der oben angegebenen Webseite ist nichtssagend. (auch keine Software auf dem PC, die etwas damit zu tun haben könnte)


Bin etwas ratlos.. kennt Ihr dieses Verhalten ?
Gibt es noch eine Ecke in der ich Suchen könnte ?

Ich lade grad ne AV CD herunter und werde das System mal damit Scannen... ( Hoffnung stirbt zuletzt ! )

Ich bin um jeden Hinweis dankbar ...


Viel Erfolg..

Gruß


Mitglied: catachan
12.08.2014 um 10:06 Uhr
Hi

ich würde mal mit den Sysinternals Tools prüfen was auf Port 8897 läuft

LG
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 10:12 Uhr
Moin,
zu 90% Malware die sich vor dir im laufenden System versteckt und einen Proxy auf dem Loopback Interface startet und deinen Traffic über ein System des Angreifers leitet, also mit Offline-System auf Malware/Viren und Rootkits scannen.

Grüße Uwe
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2014, aktualisiert um 10:25 Uhr
Moin,

Garantiert Malware (meist Adware). Wenn Du nicht Av-Software installiert hast, die einen lokalen Proxy zum Filtern benutzt.

Hitman Pro und malwarebytes Antimalware helfen oft dagegen.

Man soltle je nach Situation darüber nachdenken, ggf frisch zu installieren oder ein backup einzuspielen.

lks

Nhactrag:

Hijackthis & co helfen dagegen nicht, weil diese nur Registry-werte anzeigen. Diese malware verankert sich aber an mindestens einem dutzen stellen. u.a.:

  • Registry an diversen stellen zum automatischen Starten (-> autoruns zum anschauen)
  • cache aller browser
  • konfiguration aller browser
  • in den verknüpfungen zum aufrufen der Browser und andere Programme, die Internetzugriffe erlauben (z.B. Mailer)
  • binaries im programmsuchpfad,
  • u.s.w.

eine Manuelle Suche ist da sehr aufwendig.

lks
Bitte warten ..
Mitglied: Sheogorath
12.08.2014 um 10:32 Uhr
Moin,

zunächst solltest du deine Registry und autostart Pfade prüfen,
"%appdata%\Microsoft\Windows\Start Menu\startup", alles verdächtige raus
"%programdata%\Microsoft\Windows\Start Menu\startup", alles verdächtige raus
"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run", alles verdächtige raus
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", alles verdächtige raus
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", alles verdächtige raus
"HKEY_CURRENT_USER\­Software\Microsoft\Command Processor", hier Eintrag "Autorun"
"HKEY_LOCAL_MACHINE\­Software\Microsoft\Command Processor" , auch hier Eintrag "Autorun"

damit solltest du die Autstarts raus haben, wenn nicht nochmal mit msconfig nachprüfen.

jetzt den Taskmanager Starten, "Befehlszeile" bzw. command Prompt einblenden und nach verdächtigen Pfaden schauen, solltest du nicht fündig werden, probier es mal mit Progmon, da bekommst du angezeigt, welche Exe wohin kommunizieren will, was durchaus wichtig ist, um mögliche spyware zu entlarven, die der Virus miteinagespielt hat.

Hast du das Alles geprüft und die Verdächtigen Dateien gelöscht, sollte das System wieder sauber sein. vor dem Neustart nochmal die autostartplätze prüfen und nach dem Neustart die aktiven Prozesse prüfen.

Wenn das geklappt hat, bist du sehr wahrscheinlich wieder sauber unterwegs. (sogar ganz ohne Virenscanner)

Gruß
Chris
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2014 um 10:43 Uhr
Zitat von Sheogorath:

Wenn das geklappt hat, bist du sehr wahrscheinlich wieder sauber unterwegs. (sogar ganz ohne Virenscanner)

Viel Glück.

Wehe Du vergißt oder übersiehst einen einzigen eintrag. Dann hast Du sofort alles wieder drin. Die Dinger sind sehr hatnäckig. Ohen Unterstützugn durch spezialisierte Programme ist man da hoffnungslos verloren, wenn man an die richtige Malware kommt.

lks
Bitte warten ..
Mitglied: LordNicon79
12.08.2014 um 10:48 Uhr
Also erst mal ein großes DANKE an Euch !!

Habe mir jetzt grad schon mal mit CurrPorts die offenen Ports und Programme dazu angeschaut..
Entweder versteckt sich das Ding echt gut .. oder es konnte sich nicht komplett installieren.
Wenn ich www.google.de eingebe.. dann meldet er, dass er den Proxy nicht finden kann...

Ich schaue mir gleich mal die ganzen anderen Vorschläge noch an .. Da ich momentan nicht direkt an dem Rechner sitze .. werde ich wohl erst heut Abend oder morgen etwas dazu schreiben können !
Danke noch mal Euch .. ich halte Euch auf dem Laufenden !
Bitte warten ..
Mitglied: Sheogorath
12.08.2014 um 11:12 Uhr
Moin lks,

also ich habe schon ein paar Rechner mit dieser Methode behandelt. Klar, ich habe auch AV Software drauf, aber die greift ja meist so oder so erst, wenn das Kind schon in den Brunnen gefallen ist. Zumindest jetzt mal ganz Spontan aus meiner Erfahrung heraus, wobei ich auch eigentlich nie AV-Verwalter war, ich bekam also nur die, wo es wirklich zuspät war.

Auch Moin der ganze Rest,
Bei Adware sollte übrigens man auch noch den Browser neuinstallieren und händisch Lesezeichen und aus eigener Sicht wichtige Addons rausschreiben. (wenn man unbedingt IE nutzt, ist das natürlich bescheiden...).

Dazu kommen die goldenen Policen: Arbeite nie mit direkten Adminrechten, nutze Softwarevirtualisierung und isntalliere nicht jeden Müll (schon garnicht irgendwelche Downloader... da sind ja torrentloader sauberer, auch wenn es scheinbar totaler Trend wird ein extra Stück software nur für einen einzelnen download installieren zu müssen -,-).

Naja, einen angenehmen Diensttag allerseits.

Gruß
Chris
Bitte warten ..
Mitglied: medikopter
13.08.2014 um 09:12 Uhr
Hast du vielleicht versehentlich irgendwelche Suchleisten oder sowas installiert?

Hatte das Problem auch mal, schau dir auch die Dienste an ob da irgendwelche ohne Beschreibung drin sind, oder mit komischer Beschreibung.

Es gibt auch ein Tool was den PC danach scannt, glaube habe ich bei Computerbild oder Chip runtergeladen. Weiß allerdings nicht mehr wie es heißt
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 13.08.2014, aktualisiert 01.09.2014
Zitat von medikopter:

Es gibt auch ein Tool was den PC danach scannt, glaube habe ich bei Computerbild oder Chip runtergeladen. Weiß allerdings
nicht mehr wie es heißt

Habe ich oben schon geschrieben: Malwarebytes Antimalware, Hitman Pro und AdwCleaner sind die Standardtools dafür.

lks

Ach ja. Nicht bei softonic & Co. downlaoden. Die werfen da noch "Werbe"-Software dazu. Nur bei beim Hersteller direkt oder bei Heise oder PCWelt, zur Not geht auch Computerblöd oder Chip.
Bitte warten ..
Mitglied: medikopter
13.08.2014 um 12:08 Uhr
Ah sorry habe ich wohl überlesen
Bitte warten ..
Mitglied: LordNicon79
01.09.2014 um 09:46 Uhr
Fettes Danke von mir !

Ich habe noch einiges versucht und auch Eure Tools eingesetzt.
Das ding ist aber immer wieder aufgetaucht.

Letztendlich werde ich diese Woche den Rechner neu installieren. Ist zwar nicht schön, aber hoffentlich effektiv !

Danke noch mal und eine Malware freie Zeit für Euch!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Transparenter Proxy funktioniert nicht? (1)

Frage von mrserious73 zum Thema Router & Routing ...

Sicherheits-Tools
Tor hinter (eigenem) Proxy (12)

Frage von mrserious73 zum Thema Sicherheits-Tools ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Internet Domänen
gelöst Domain Host Eintrag In Richtfunk Netz (7)

Frage von Betact zum Thema Internet Domänen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...