Trojaner-Board - Laufend neue Registerkarten mit Werbung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Laufend neue Registerkarten mit Werbung (https://www.trojaner-board.de/70664-laufend-neue-registerkarten-werbung.html)

Laufend neue Registerkarten mit Werbung

Hi ich hab mich hier angemeldet da ich langsam nicht mehr weiter weiß . Immer wenn ich im Internet bin ( IE ) öffnen sich neu Registerkarten bzw. sogar neue Fenster. Mein Kaspersky habe ich durchlaufen lassen und der hat nicht gefunden genauso wi Malwarebytes, Ad-aware und sonstige freie Anti- Spy Mittelchen.

Hier mal ein Malwarebytes Report:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1815
Windows 6.0.6001 Service Pack 1

04.03.2009 17:08:42
mbam-log-2009-03-04 (17-08-42).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 244971
Laufzeit: 27 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und nun die Hijack- This :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10:21, on 04.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files (x86)\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Users\*****\AppData\Local\jfbdzuq.exe
C:\Program Files (x86)\Keyboard Driver\OEMDriver.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files (x86)\Internet Explorer\ieuser.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [KBDriver] "C:\Program Files (x86)\Keyboard Driver\OEMDriver.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [jfbdzuq] "c:\users\*****\appdata\local\jfbdzuq.exe" jfbdzuq
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?e=1234703794908&h=10ba1eeef7c1e4dc670efcbb3150e52a/&filename=jinstall-6u12-windows-i586-jc.cab
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - h**p://w*w.lokalisten.de/iup/ImageUploader4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8939 bytes

Auf antworten würde ich mich sehr freuen.

Danke

:hallo:
Ich bin kein Experte, also ich kann mich Irren. Warte besser bis dir einer der Fachmänner antwort gibt. Ich möchte aber versuchen auch hier mitzuhelfen und gebe dir mal zum start was mit:

Du benutzt den Internet Explorer? Benutz lieber firefox! Ist sicherer und besser.

Du hast vieles von Google, google sammelt daten und ich würde solcher software nicht trauen.

Im HiJackTHis log sind viele file not found einträge, ich denke du installierst viel und deinstallierst wieder oder so?

Würde mal CCleaner drüberlaufen lassen q.q

Der eintrag kommt mir spanisch vor:
O4 - HKCU\..\Run: [jfbdzuq] "c:\users\*****\appdata\local\jfbdzuq.exe" jfbdzuq
aber nicht fixen, kenne mich dazu noch zu wenig aus,

und ich glaub du musst java updaten...

aber warte lieber mal auf einen fachmann :Y

Das mit dem Internet Explorer, vieleicht hast du was eingestellt wo die Tabs der letzten sitzung öffnet oder so?

Hi,
also den CCleaner hatte ich vergessen zu erwähnen. Den hab ich auch schon oft genug drüber laufen lassen, hat aber leider keine Besserung gebracht.

Trotzdem danke.

Weiß vielleicht noch jemand was ??? Bitte Bitte..

Grüße Luca_1

Hi,

schau bitte mal ob dieses Programm bei dir läuft:
Navilog1 - von IL-MAFIOSO

Bitte lade Dir Navilog1 herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

lg myrtille

Hi myrtille,

hab es grad ein paar mal versucht aber das Programm funzt bei mir nicht. Kann es sein das ic Vista Ultimate 64 bit habe und es deswegen nicht geht ??

Gruß Luca_1

Ja, das kann sehr gut sein. In einigen Fällen funktioniert das Programm dennoch, in diesem jedoch wohl nicht.

Öffne bitte notepad und kopiere folgendes dort hinein:

Code:

cd \

dir /a /s /o:n /b c:\*.navps.dat > %temp%\resultat.txt

dir /a /s /o:n /b c:\*.nav.dat >> %temp%\resultat.txt

dir "%LOCALAPPDATA%\Microsoft\*.dat" >> %temp%\resultat.txt

dir "%LOCALAPPDATA%\\Local\virtualstore\windows\system32\*.dat" >> %temp%\resultat.txt

notepad %temp%\resultat.txt

speicher die Datei mittels "speichern unter" als suche.bat. (Das Symbol der Datei sollte sich ändern).

Wechsele dann in den abgesicherten Modus und rufe die Datei suche.bat per Doppelklick aus.
Das Programm wird dadurch ausgeführt, was einige minuten dauern kann. Am schluss sollte sich ein Fesnter mit einem Bericht öffnen. Diesen speichern und den Inhalt dann bitte hier posten.

lg myrtille

Hi ,

hab das grad eben gemacht aber wie bekomme ich den Bericht abgespeichert ?

Sorry bin nicht so der große Pc - Held. :-)

Nochmal ich, war eben ein wenig ungeduldig.

Hier das Ergebnis:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CC0-0407

Verzeichnis von C:\Users\*****\AppData\Local\Microsoft

Hmm, seltsam.

Hast du den Bericht im abgesicherten Modus gemacht?

Wenn ja kannst du bitte nochmal wechseln und schauen ob du folgende Dateien finden kannst:
(Vorher alle Dateien sichtbar machen nach dieser Anleitung: Link . (Ich weiß dass die Anleitung für XP ist, aber die Einstellungen sind iirc dieselben unter Vista))

c:\users\*****\appdata\local\jfbdzuq.exe
c:\users\*****\appdata\local\jfbdzuq.dat
c:\users\*****\appdata\local\jfbdzuq_nav.dat
c:\users\*****\appdata\local\jfbdzuq_navps.dat

sind dort noch mehr Dateien?

lg myrtille

Hi ,

also ich habe es im abgesicherten Modus gemacht. Nun nochmal das gleiche:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CC0-0407

Verzeichnis von C:\Users\*****\AppData\Local\Microsoft

die anderen Dateien da habe ich nur noch ein zusätzliches gefunden:

jfbdzuq.bat

sonst nichts mehr.

Gruß Luca

Hi,
Dann verusch mal folgendes:

Fixen/Löschen mit Hijackthis

Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Zitat:

O4 - HKCU\..\Run: [jfbdzuq] "c:\users\*****\appdata\local\jfbdzuq.exe" jfbdzuq

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"

Starte (direkt im anschluss) den Rechner in den abgesicherten Modus und lösche die beiden Dateien:

c:\users\*****\appdata\local\jfbdzuq.exe
c:\users\*****\appdata\local\jfbdzuq.dat

Starte danach neu und teste ob die Popups aufgehlört haben.

lg myrtille

Hallo luca_1,

lass bitte nochmal den Code von myrtille laufen, aber mit zwei winzigen Veränderungen:

Code:

cd \

dir /a /s /o:n /b c:\*navps.dat > %temp%\resultat.txt

dir /a /s /o:n /b c:\*nav.dat >> %temp%\resultat.txt

dir "%LOCALAPPDATA%\Microsoft\*.dat" >> %temp%\resultat.txt

dir "%LOCALAPPDATA%\\Local\virtualstore\windows\system32\*.dat" >> %temp%\resultat.txt

notepad %temp%\resultat.txt

Grüße
a5cl3p1o5

Hi,

hab nun die zwei Dateien

c:\users\*****\appdata\local\jfbdzuq.exe
c:\users\*****\appdata\local\jfbdzuq.dat

gelöscht und danach noch ein wenig gesurft und es sind nun keine neuen Registerkarten mehr mit Werbung aufgetaucht.

Soll ich nun den Code von a5cl3p1o5 trotzdem laufen lassen ??

Gruß Luca_1

Hier nochmal die auswertung :

c:\Users\*****\AppData\Local\jfbdzuq_navps.dat
c:\Users\*****\AppData\Local\jfbdzuq_nav.dat
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CC0-0407

Verzeichnis von C:\Users\*****\AppData\Local\Microsoft

Gruß Luca_1

Hi,

da sind die Kollegen, die ich erwartet hab. :D :blabla: :D

Zitat:

c:\Users\*****\AppData\Local\jfbdzuq_navps.dat
c:\Users\*****\AppData\Local\jfbdzuq_nav.dat

Die bitte noch löschen.

@heilergott :D

Nenn mir bitte mal die Unterschiede (mal abgesehen davon, dass deine Version tut und meine nicht), ich bin irgendwie blind. :eek:

lg myrtille

@myrtille

Code:

*.navps.dat -> *navps.dat

*.nav.dat -> *nav.dat

Grüße
a5cl3p1o5

So hab die nun auch entfernt. Bis jetzt schaut so aus wie als wenn es behoben wäre.

Super Danke ihr lieben PC - Engel.:daumenhoc

Jetzt ist nur meine Frage was ist diese jfbdzuq.exe ????

Gruß Luca_1

Hi,

die Malware heißt Navipromo und installiert sich zb mit zahlreichen Programmen als "Sponsor" mit: InternetGameBox, Messengerskinner, Sudokuplanet und einige mehr.

Außerdem versucht sie sich über den Browser zu installieren.

Einmal installiert öffnet sie unerwünschte Werbeseiten und versucht teils einen dazu zu bewegen ein falsches Sicherheitsprogramm zu installieren.

lg myrtille

Vielen Dank für eure Mühe und eure Hilfe.:daumenhoc

So ein nettes und Hilfsbereites Forum habe ich schon lange nicht mehr gesehen.

Danke:aplaus:

Luca_1