|
Zitat:
|
Sowohl im IE als auch im soeben frisch installierten FF... EDIT: Habe soeben von Ashampoo.com eine Mail bekommen, zumindest weiß ich jetzt, wie die an meine Mailadresse gekommen sind... :stirn: Zitat:
Exakt diese Email von PurelyGadgets habe ich bekommen... |
Hier die Infos zur pdf selbst: hxxp://www.virustotal.com/file-scan/report.html?id=e6413b226f18f1832cacab266bebeccbe7948a613fc27a3d302283a51e938713-1302905111 System neu aufsetzen? Scheint sich schon tief eingebuddelt zu haben das Mistvieh. |
Und diese LayerAds im Browser haben genau was mit den Mails von Ashampoo zu tun? Hast du über Software vonAshampoo installiert? |
Hallo Arne... Zitat:
Unabhängig davon, gibt es noch etwas, das ich probieren könnte? Mittlerweile werden auf dem befallenen System Downloads aktiv ausgebremst und Avira ist z.B. nicht in der Lage, das Onlineupdate zu ziehen. Seh ich das richtig, das dieses Overlay nur von einem aktiven und versteckten Prozess kommen kann, bzw. ggf. auch ein infizierter systemeigener Prozess, der von den Scannern als vertrauenswürdig eingestuft wird? Neu aufsetzen wäre wohl das vernünftigste, oder? Reicht es dabei die System- und die Programme-Partition zu löschen und neu anzulegen, oder sollte ich besser meine Datenpartitionen ebenfalls neu anlegen? Die Daten würde ich auf eine USB-HDD ziehen, sollte ich dabei unbedingt etwas beachten, an das ich gerade nicht denke? |
Irgendwie hast du meine Frage noch nicht richtig beantwortet. Aber kannst du eh sein lassen, wenn du formatieren willst... |
Du hast Recht, den lezten Schritt habe ich vergessen: Das Overlay ist aufgetreten, nachdem ich die verseuchte PDF aus der gefakten PurelyGadgets-Mail geöffnet habe, die scheinbar an die vom Ashampoo-Server geklauten Emailadressen geschickt worden ist. Oder meintest du eine andere Frage? Du hast dich schon viel mit meinem Problem beschäftigt, dafür möchte ich danke sagen. Siehst du noch eine Möglichkeit, die am Formatieren vorbei führt? Wo könnte das Overlay seinen Ursprung haben? Ich verstehe nicht, wie es auch im frisch installierten FF sofort auftauchen kann. Wie ist das möglich? |
Ist das Overlay denn nur beim Firefox da? Wenn ja, erstell mal ein neues Profil im Firefox. Den FF neu zu installieren bringt nichts. |
Ach die Frage meintest du. Die hab ich bereits im Post nach deiner Frage beantwortet. ;) Zitat:
|
Poste nochmal frische OTL-Logs. |
Sie bestellen, wir liefern prompt... |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Mir ist noch was aufgefallen: taskeng.exe ist zweimal gestartet, ist das im Rahmen des Möglichen bei einem nicht infizierten System? Hier das OTL-Log: All processes killed ========== OTL ========== C:\ProgramData\REPORTS folder moved successfully. C:\ProgramData\LOGFILES folder moved successfully. C:\ProgramData\INFECTED folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults\preferences folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\chrome folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions folder moved successfully. Folder C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Advlib deleted successfully. C:\Users\Heiko\AppData\Roaming\Dvdpack\modfree.exe moved successfully. C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780}\en-us folder moved successfully. C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780}\de-de folder moved successfully. C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780} folder moved successfully. C:\Users\Heiko\AppData\Local\temp\WPDNSE folder moved successfully. C:\Users\Heiko\AppData\Local\temp\Low folder moved successfully. C:\Users\Heiko\AppData\Local\temp folder moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Heiko ->Temporary Internet Files folder emptied: 4907195 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 12988501 bytes ->Flash cache emptied: 456 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2115372 bytes RecycleBin emptied: 270479 bytes Total Files Cleaned = 19,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04222011_124915 Files\Folders moved on Reboot... File\Folder C:\Users\Heiko\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VEU39YWB\ads[1].htm not found! Registry entries deleted on Reboot... |
taskeng sollte ok sein => taskeng.exe Windows Prozess - Was ist das? Sind die Overlays im Browser noch da? Windows hastdu neu gestartet? |
Windows habe ich durchgestartet, ja. Das Overlay ist weg, in beiden Browsern. OSAM hat allerdings schon wieder uxldypow.sys gefunden: uxldypow C:\Users\Heiko\AppData\Local\Temp\uxldypow.sys Was mich auch etwas wundert: In der Dienstliste wird der getPlusHelper angezeigt, das Modul kann aber nicht gefunden werden und der übliche Adobe-Pfad (C:/Programme/NOS) ist auch nicht vorhanden. Eine Datenleiche? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:39 Uhr. |
Copyright ©2000-2024, Trojaner-Board