Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vodafone .pdf Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.10.2012, 19:38   #1
DerHänger
 
Vodafone .pdf Virus - Standard

Vodafone .pdf Virus



Hallo trojaner-board,

ich denke ich habe mir heute einen Virus eingefangen. Habe den Anhang einer Email, die angeblich von Vodafone stammte geöffnet. Es war eine .pdf Datei, keine .exe. Habe die Dateiendungen eingeblendet! Als ich die .pdf öffnete hat sich Adobe Reader nicht merklich gestartet, er war jedoch im taskmanager aktiv und hatte eine sehr große Speicherauslastung bis er sich von selbst wieder beendet hat. Laut LKA wird "beim Öffnen der Datei unter Ausnutzung der Schwachstelle Adobe Libtiff Libtiff integer overflow (CVE-2010-0188) im Adobe Reader schädlicher Shellcode ausgeführt wird. Dabei soll weiterer Schadcode (Trojaner) von zwei in Deutschland gehosteten Web-Servern nachgeladen werden. Dieser wird derzeit nur von wenigen Antivirenprodukten erkannt." (Aktuelle Pressemitteilungen - Landespolizei Mecklenburg-Vorpommern)

Habe hier zwar schon einige Threads zu diesem Thema gefunden, jedoch keinen, der eine zufriendestellende Lösung angeboten hat. Kaspersky hat nichts gefunden und Microsoft Security Essentials auch nicht.

Hier der malwarebyte log.

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.22.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
xxxx:: xxxx [Administrator]

Schutz: Deaktiviert

22.10.2012 20:26:08
mbam-log-2012-10-22 (20-26-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203819
Laufzeit: 8 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 12
HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ClickPotatoLiteAx.Info (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ClickPotatoLiteAx.Info.1 (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Mozilla\Firefox\extensions|ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Daten: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0\firefox\extensions -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 9
C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sebastian Vollmer\AppData\Roaming\ClickPotatoLite (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0 (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0\firefox (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0\firefox\extensions (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0\firefox\extensions\plugins (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 18
C:\Program Files (x86)\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sebastian Vollmer\Downloads\XvidSetup.exe (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\lame_enc.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\no23xwrapper.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ogg.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\vorbis.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\vorbisenc.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\vorbisfile.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\ClickPotatoLite\bin\10.0.631.0\firefox\extensions\plugins\npclntax_ClickPotatoLiteSA.dll (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Alt 22.10.2012, 19:53   #2
markusg
/// Malware-holic
 
Vodafone .pdf Virus - Standard

Vodafone .pdf Virus



hi
bitte in zukunft verdächtige mails an uns weiterleiten, wie das geht, steht in meiner signatur.
welchen adobe reader nutzt du?
__________________

__________________

Alt 22.10.2012, 19:59   #3
DerHänger
 
Vodafone .pdf Virus - Standard

Vodafone .pdf Virus



Ich nutze den Adobe Reader 9
Version 9.1.0
__________________

Alt 22.10.2012, 20:08   #4
markusg
/// Malware-holic
 
Vodafone .pdf Virus - Standard

Vodafone .pdf Virus



der ist zwar veraltet, aber nicht mehr von der lücke betroffen.
wir sehen uns dein system an, denn da ist auf jeden fall einiges zu aktualisieren.
und ich möchte sicher gehen, dass hier nicht evtl. andere malware läuft.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Vodafone .pdf Virus
administrator, adobe, aktiv, anti-malware, appdata, autostart, beendet, datei, email, explorer, firefox, gelöscht, kaspersky, lib, lösung, malwarebytes, microsoft, mozilla, quarantäne, rechnung, roaming, schadcode, security, software, taskmanager, test, trojaner-board, virus, vodafone



Ähnliche Themen: Vodafone .pdf Virus


  1. Vodafone Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (21)
  2. gefälschte Vodafone-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (11)
  3. Vodafone Rechnungsvirus
    Plagegeister aller Art und deren Bekämpfung - 23.01.2014 (7)
  4. Vodafone Spam: Ihr Vodafone-Anschalttermin: 001537882370
    Diskussionsforum - 05.11.2013 (2)
  5. Virus in Vodafone Rechnung? Rechner startet nicht mehr nach öffnen von PDF
    Plagegeister aller Art und deren Bekämpfung - 23.02.2013 (2)
  6. Gefälsche Vodafone Rechung mit Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (7)
  7. Vodafone PDF Trojaner
    Plagegeister aller Art und deren Bekämpfung - 26.11.2012 (14)
  8. Vodafone Online-Rechnung
    Log-Analyse und Auswertung - 18.11.2012 (1)
  9. Vodafone MMS Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (8)
  10. spammail mms@ vodafone geöffnet
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (1)
  11. virus vodafone mms
    Log-Analyse und Auswertung - 06.11.2012 (3)
  12. Vodafone PDF Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (43)
  13. Was macht der vodafone Trojaner?
    Diskussionsforum - 11.06.2012 (9)
  14. Vodafone Rechnungs- Trojaner
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (1)
  15. Gefälschte Vodafone Rechnung geöffnet, bin ich jetzt mit duqu Virus infiziert???
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (12)
  16. Erneut Mariposa-Virus auf Vodafone-Smartphones
    Nachrichten - 21.03.2010 (0)
  17. vodafone internetstickproblem
    Netzwerk und Hardware - 25.02.2010 (4)

Zum Thema Vodafone .pdf Virus - Hallo trojaner-board, ich denke ich habe mir heute einen Virus eingefangen. Habe den Anhang einer Email, die angeblich von Vodafone stammte geöffnet. Es war eine .pdf Datei, keine .exe. Habe - Vodafone .pdf Virus...
Archiv
Du betrachtest: Vodafone .pdf Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.