Creature | 14.01.2015 15:26 | eDeals Werbeeinblendungen, dubiose Links und PopUp-Werbung Hallo zusammen,
diesmal hat es den Rechner meiner Freundin erwischt, für die ich hier nochmal um Hilfe bitten möchte.
Seit einigen Tagen werden auf nahezu sämtlichen Websites nach Aufbau der Seite Ads nachgeladen, die mit eDeals unterschrieben sind. Außerdem sind in Texten wahllos Wörter mit Werbelinks hinterlegt und von Zeit zu Zeit öffnet sich beim Klick ins Browserfenster (nicht auf eine Schaltfläche, einen Link o.ä.) ein neues Fenster mit Werbung.
Unter Software in der Systemsteuerung findet sich nichts auf den ersten Blick Verdächtiges. MBAM hat zunächst etwas gefunden und bereinigt (1. MBAM-Log), und findet jetzt nichts mehr (2. MBAM-Log). Die Symptome bestehen jedoch weiterhin.
FRST lässt sich nicht starten (Fehlermeldung: FRST64.exe ist keine zulässige Win32-Anwendung). Ich hab's ersatzweise dann nochmal mit der 32-Bit-Variante probiert, die sich zwar öffnet, aber dann richtigerweise meckert, dass diese Version mit dem Betriebssystem nicht kompatibel sei.
Anbei die Logfiles:
1. MBAM-Log: Code:
Malwarebytes Anti-Malware
www.malwarebytes.org
Suchlauf Datum: 12.01.2015
Suchlauf-Zeit: 17:22:11
Logdatei: MBAM1.txt
Administrator: Ja
Version: 2.00.4.1028
Malware Datenbank: v2015.01.12.05
Rootkit Datenbank: v2015.01.07.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Vampy
Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 316859
Verstrichene Zeit: 11 Min, 30 Sek
Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 1
PUP.Optional.WindowsProtectManger.A, C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe, 1120, Löschen bei Neustart, [14719a5c3554db5b06de01c25ea325db]
Module: 0
(Keine schädliche Elemente erkannt)
Registrierungsschlüssel: 8
PUP.Optional.WindowsProtectManger.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WindowsMangerProtect, In Quarantäne, [14719a5c3554db5b06de01c25ea325db],
PUP.Optional.GamesDesktop.A, HKLM\SOFTWARE\WOW6432NODE\GAMESDESKTOP, In Quarantäne, [8afb7f776b1e340268036806778c0ef2],
PUP.Optional.WPM.A, HKLM\SOFTWARE\WOW6432NODE\supWindowsMangerProtect, In Quarantäne, [90f522d486033402b66810d5f70dd12f],
PUP.Optional.WebsSearches.A, HKLM\SOFTWARE\WOW6432NODE\webssearchesSoftware, In Quarantäne, [1c699462b5d43105bb24cfd3ca3950b0],
PUP.Optional.WordProser.A, HKLM\SOFTWARE\WOW6432NODE\WordProser_1.10.0.1, In Quarantäne, [e5a0fef82f5a4de958b3c4b2956e48b8],
PUP.Optional.WordProser.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\wpnfd_1_10_0_1, In Quarantäne, [2362f8fe2267c27433d75323719235cb],
PUP.Optional.WindowsMangerProtect.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\WindowsMangerProtect, In Quarantäne, [790c8b6bd2b73df9998de88d966df010],
PUP.Optional.Tuto4PC.A, HKU\S-1-5-21-175604572-3385958568-956151697-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\TutoTag, In Quarantäne, [cabb0ee86821ab8b19347177788ca35d],
Registrierungswerte: 1
PUP.Optional.GamesDesktop.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|gmsd_de_33, In Quarantäne, [2b5a8d69d7b2d85e9a4aea84b0532bd5],
Registrierungsdaten: 6
PUP.Optional.WebsSearches.A, HKLM\SOFTWARE\CLIENTS\STARTMENUINTERNET\IEXPLORE.EXE\SHELL\OPEN\COMMAND, C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC, Gut: (iexplore.exe), Schlecht: (C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC),Ersetzt,[dea76e885b2e1620daec770f867f7090]
PUP.Optional.WebsSearches.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}),Ersetzt,[0085579fa4e5d75f9a23f096a95c8080]
PUP.Optional.WebSearches, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}),Ersetzt,[4a3b787e6d1c979faa31434fc045d927]
PUP.Optional.WebsSearches.A, HKLM\SOFTWARE\WOW6432NODE\CLIENTS\STARTMENUINTERNET\IEXPLORE.EXE\SHELL\OPEN\COMMAND, C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC, Gut: (iexplore.exe), Schlecht: (C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC),Ersetzt,[9ee715e12b5ea88e794d20664fb6ef11]
PUP.Optional.WebsSearches.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}),Ersetzt,[454093638aff0e2805b8493d55b0639d]
PUP.Optional.WebSearches, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://istart.webssearches.com/web/?type=ds&ts=1419424559&from=slbnew&uid=MaxtorX51024H2_K21LV2SC&q={searchTerms}),Ersetzt,[7c0947af37520a2c9843415147bebd43]
Ordner: 7
Rogue.Multiple, C:\ProgramData\1078601655, In Quarantäne, [f68fc630dbaedd59a76e51d3ae55e21e],
Rogue.Multiple, C:\ProgramData\2355320829, In Quarantäne, [5035fff75732191d769fa0847192cb35],
PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect, Löschen bei Neustart, [018470861f6ac670cda13318e91a31cf],
PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\update, In Quarantäne, [018470861f6ac670cda13318e91a31cf],
PUP.Optional.TinyWallet.A, C:\ProgramData\TinyWallet, In Quarantäne, [3154ca2c8affc670171e0c51bf4451af],
PUP.Optional.TinyWallet.A, C:\Program Files (x86)\TinyWallet, In Quarantäne, [1c69da1caedb89adc670372605fee020],
PUP.Optional.Shopperz.A, C:\Program Files\shopperz, In Quarantäne, [fc899e5894f596a06d9078ef5ca73cc4],
Dateien: 21
PUP.Optional.WindowsProtectManger.A, C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe, Löschen bei Neustart, [14719a5c3554db5b06de01c25ea325db],
PUP.Optional.Solimba, C:\Program Files (x86)\PC Speed Up\Uninstall_PCSpeedUp.exe, In Quarantäne, [4a3bf8fe434601357ab1a655738ece32],
PUP.Optional.WindowsProtectManger.A, C:\Users\Vampy\AppData\Local\Temp\6449E0794570489fBF7FF81581AA287A\tmp\wpm_v20.0.0.1277_.exe, In Quarantäne, [1b6a15e192f72c0a31b38142a65bd32d],
PUP.Optional.Clara.A, C:\Users\Vampy\AppData\Local\Temp\n2739\BoBrowser04_12-6c3841b8.exe, In Quarantäne, [acd9f7ff3257ec4a80295b78a65bb44c],
PUP.Optional.EDeals.A, C:\Users\Vampy\AppData\Local\Temp\n2739\eDealInstaller_2611-3bef6bce.exe, In Quarantäne, [0382ed09d6b30e28d7efd28560a0fb05],
PUP.Optional.Tuto4PC.A, C:\Users\Vampy\AppData\Local\Temp\n2739\GamesDesktop-deInstaller.exe, In Quarantäne, [f78e599de9a03df9ca96e318b24f837d],
PUP.Optional.Solimba, C:\Users\Vampy\AppData\Local\Temp\n2739\GUSetup_pub-460b299f.exe, In Quarantäne, [0481c531e1a8f6405f7e777d7190b24e],
PUP.Optional.Wajam.A, C:\Users\Vampy\AppData\Local\Temp\n2739\WIE_2.21.2.26.exe, In Quarantäne, [780d2dc92c5db482fc1e35301de37090],
PUP.Optional.CrossRider.A, C:\Users\Vampy\AppData\Local\Temp\DwlTempFolder\temp.exe, In Quarantäne, [a3e2b145d2b71422a89ccb172ed3cd33],
PUP.Optional.Solimba, C:\Users\Vampy\Downloads\Nero_9.exe, In Quarantäne, [20655d9996f37cba1f7de37f97691ce4],
PUP.Optional.WebInstr.A, C:\Windows\System32\drivers\Msft_Kernel_webinstrNewH_01009.Wdf, In Quarantäne, [6421c82e474261d58a1f5b0e44bf11ef],
PUP.Optional.BoBrowser.A, C:\Windows\System32\Tasks\Run_Bobby_Browser, In Quarantäne, [0a7b3fb7a2e763d3fd76b7b361a218e8],
PUP.Optional.Vitruvian.A, C:\Users\Vampy\AppData\Local\Temp\vitruvian-installer-install-v0003, In Quarantäne, [008527cf800966d0235a03ebe12348b8],
PUP.Optional.Vitruvian.A, C:\Users\Vampy\AppData\Local\Temp\vitruvian-installer-processes-v0002, In Quarantäne, [e99cb73f4d3cbf77c8b56b83f60eb848],
PUP.Optional.Vitruvian.A, C:\Users\Vampy\AppData\Local\Temp\vitruvian-installer-scheduledtasks-v0001, In Quarantäne, [96efea0c5039da5c314c7b732fd5867a],
PUP.Optional.Vitruvian.A, C:\Users\Vampy\AppData\Local\Temp\vitruvian-installer-softwareregkeys-v0002, In Quarantäne, [1d68f204b8d1ad8988f5ce207490aa56],
PUP.Optional.Vitruvian.A, C:\Users\Vampy\AppData\Local\Temp\vitruvian-installer-uninstall-v0002, In Quarantäne, [a9dc589e117823135627d01e3bc91ee2],
PUP.Optional.Vitruvian.A, C:\Users\Vampy\AppData\Local\Temp\vitruvian-installer-vmdetect-v0001, In Quarantäne, [cfb613e33c4dc373cfaef1fddb292fd1],
Rogue.Multiple, C:\ProgramData\1078601655\BITEBBD.tmp, In Quarantäne, [f68fc630dbaedd59a76e51d3ae55e21e],
PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\update\conf, In Quarantäne, [018470861f6ac670cda13318e91a31cf],
PUP.Optional.Shopperz.A, C:\Program Files\shopperz\installLog.txt, In Quarantäne, [fc899e5894f596a06d9078ef5ca73cc4],
Physische Sektoren: 0
(Keine schädliche Elemente erkannt)
(end) 2. MBAM-Log: Code:
Malwarebytes Anti-Malware
www.malwarebytes.org
Suchlauf Datum: 12.01.2015
Suchlauf-Zeit: 18:35:48
Logdatei: MBAM2.txt
Administrator: Ja
Version: 2.00.4.1028
Malware Datenbank: v2015.01.12.07
Rootkit Datenbank: v2015.01.07.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Vampy
Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 316357
Verstrichene Zeit: 12 Min, 9 Sek
Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(Keine schädliche Elemente erkannt)
Module: 0
(Keine schädliche Elemente erkannt)
Registrierungsschlüssel: 0
(Keine schädliche Elemente erkannt)
Registrierungswerte: 0
(Keine schädliche Elemente erkannt)
Registrierungsdaten: 0
(Keine schädliche Elemente erkannt)
Ordner: 0
(Keine schädliche Elemente erkannt)
Dateien: 0
(Keine schädliche Elemente erkannt)
Physische Sektoren: 0
(Keine schädliche Elemente erkannt)
(end) Defogger: Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 14:38 on 14/01/2015 (Vampy)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=- GMER: Code:
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-01-14 14:54:03
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T1L0-5 ST380819AS rev.8.03 74,51GB
Running: Gmer-19357.exe; Driver: C:\Users\Vampy\AppData\Local\Temp\fgloypoc.sys
---- User code sections - GMER 2.1 ----
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[2012] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076bf1465 2 bytes [BF, 76]
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[2012] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000076bf14bb 2 bytes [BF, 76]
.text ... * 2
---- Threads - GMER 2.1 ----
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2276:2840] 0000000074de7587
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2276:2952] 0000000073318aa6
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2276:1472] 00000000770d2e65
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2276:3032] 00000000770d3e85
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2276:1524] 00000000770d3e85
Thread C:\Program Files\Microsoft Security Client\msseces.exe [2528:2780] 000007fefb222bf8
---- Processes - GMER 2.1 ----
Process C:\Users\Vampy\AppData\Local\netperftrackProvider\netperftrackProvider.exe (*** suspicious ***) @ C:\Users\Vampy\AppData\Local\netperftrackProvider\netperftrackProvider.exe [1836](2014-12-24 12:37:03) 0000000000f90000
Library C:\Users\Vampy\AppData\Local\netperftrackProvider\QtNetwork4.dll (*** suspicious ***) @ C:\Users\Vampy\AppData\Local\netperftrackProvider\netperftrackProvider.exe [1836] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-12-24 12:37:03) 0000000073b00000
Library C:\Users\Vampy\AppData\Local\netperftrackProvider\QtCore4.dll (*** suspicious ***) @ C:\Users\Vampy\AppData\Local\netperftrackProvider\netperftrackProvider.exe [1836] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-12-24 12:37:02) 0000000073880000
Process C:\Users\Vampy\AppData\Local\netperftrackProvider\interpreterurlmonBckp.exe (*** suspicious ***) @ C:\Users\Vampy\AppData\Local\netperftrackProvider\interpreterurlmonBckp.exe [2832](2014-12-24 12:37:03) 0000000000ce0000
Library C:\Users\Vampy\AppData\Local\netperftrackProvider\QtNetwork4.dll (*** suspicious ***) @ C:\Users\Vampy\AppData\Local\netperftrackProvider\interpreterurlmonBckp.exe [2832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-12-24 12:37:03) 0000000073b00000
Library C:\Users\Vampy\AppData\Local\netperftrackProvider\QtCore4.dll (*** suspicious ***) @ C:\Users\Vampy\AppData\Local\netperftrackProvider\interpreterurlmonBckp.exe [2832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-12-24 12:37:02) 0000000073880000
---- EOF - GMER 2.1 ---- Schonmal vielen Dank für Eure Mühen! |