Trojaner-Board - FraudTool.Win32.Noadware.a

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - FraudTool.Win32.Noadware.a | nervt den User (https://www.trojaner-board.de/44532-fraudtool-win32-noadware-a-nervt-user.html)

FraudTool.Win32.Noadware.a | nervt den User

Moin,

ich glaube, ich habe mir was neues eingefangen:

FraudTool.Win32.Noadware.a

Google hat auch nichts ausgespuckt und ich bin am verzweifeln. Hier meine HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:09:19, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
M:\programme\G DATA InternetSecurity\AVK\AVKService.exe
M:\programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\SkyTel.EXE
M:\programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
M:\programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
M:\programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\svchost.exe
M:\programme\Mozilla Firefox\firefox.exe
M:\programme\MSN Messenger\msnmsgr.exe
M:\programme\ICQ6\ICQ.exe
M:\programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - M:\Programme\IE7pro\IE7pro.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - M:\programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - M:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - M:\programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - M:\programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVKTray] "M:\programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "M:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "M:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "M:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = M:\programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: phase6_18_erinnerung.lnk = M:\programme\phase6\phase6_18\WinStart\WinStart.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - M:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - M:\Programme\IE7pro\IE7pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - M:\Programme\IE7pro\IE7pro.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - M:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - M:\programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - M:\programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - M:\programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - M:\programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - M:\programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - M:\programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6501 bytes

grr :snyper:

Andyy2k3

Woher weisst du von der Infizierung? G-DATA?

Fraud Tools sind nomalerweise Programme die du ersteinmal ganz normal über die Systemsteuerung deinstallieren kannst. Einige legen allerdings Maleware auf der Platte ab die man dann runterkämpfen muss aber ich kann keine schädlichen Einträge in deinem Log erkennen.

Poste bitte den Fund-Bericht. Dateipfad und Name sind dabei bes. wichtig.

Gruß

Undoreal

Hier die Logs:

-Beim Öffnen der Datei "M:\programme\NoAdware5.0\NoAdware5.exe" wurde der Virus "not-a-virus:FraudTool.Win32.NoAdware.a" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

-Beim Öffnen der Datei "M:\programme\NoAdware5.0\nutils.dll" wurde der Virus "not-a-virus:FraudTool.Win32.NoAdware.a" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Das hat mir GDATA mit einer Virusmeldung gemeldet.

Der eigentliche Schaden ist dieser: Immer wenn ich einen Player starte (bisher bei WMP und PowerDVD), kackt Windows nach ein paar Minuten ab: der Mauscursor lässt sich bewegen, die Leiste des WMP erscheint dann auch (unten die im Vollbildmodus), ich kann weder klicken, noch die Mediatasten auf meiner Tastatur drücken. Der Taskmanager lässt sich aufrufen, aber ich kann auch hier nicht klicken.

Ich habe Noadware schon deinstalliert und das Programm tritt weiterhin auf.
An einem anderen Rechner in meinem Netzwerk gab es exakt dieses Problem vor ein paar Tagen auch. Auf diesem Rechner war auch Noadware istalliert.

mfg Andyy2k3

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen ( wie dein " No Adware " ). Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

Wechsel in den abgesicherten Modus und mache einen kompletten G_DATA Scan. Lösche die angeprangerten Dateien. Räume danach mit cCleaner auf.

Tritt das Problem weiterhin auf folge bitte nachstehender Anleitung:

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Silentrunners laufen und poste die logFiles..

-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

omg
Das Forum hat so einen wie dich echt verdient :):)
Du meinst also, dass mein heiß geliebtes Noadware 5 eine Spyware ist und sich als Scanner tarnt? Im ernst ich hatte sowas schon vor Jahren in Form von SpySheriff. :heulen:
Ich meine ich glaube es dir gerne und leicht, aber bitte bestätige das nochmal :eek:

Andyy2k3

Zitat:

Ich meine ich glaube es dir gerne und leicht, aber bitte bestätige das nochmal

was meinst du warum ich dir fette Links schicke?

^^

#Strg.+F# wenn du auf der Seite bist -> " Noadware " #Enter# -> Lesen :daumenhoc

Zitat:

Das Forum hat so einen wie dich echt verdient

Eins verstehe ich noch nicht: wieso hat GDATA erst jetzt Alarm geschlagen und nicht schon vor einem halben Jahr, als ich Noadware gutgläubig runtergeladen habe. So träge sind Virensignaturen auch wieder nicht.

So, in den abgesicherten Modus komme ich auch nicht mehr rein. Kurz nachdem ich den Benutzer ausgewählst habe und das Passwort eingegeben habe, startet der PC mit einer Fehlermeldung, die typisch Microdoof ein paar nanosekunden lang ist :kloppen::kloppen:
Gehts jetzt ans Formatieren? :schrei:

Andyy2k3

Zitat:

Gehts jetzt ans Formatieren?

wäre das beste.

Ansonsten mache bitte einen scan mit MWAVE (siehe Signatur) im normalen Modus!

Der findet hier ziemlich viel:

Datei C:\Dokumente und Einstellungen\Andy\Desktop\Fritz_Box_reconnect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Object "websearch Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "stylexp Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "stylexp Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gmsoft Dialer" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Was sollte ich löschen und wie sollte ich das mit der Freeversion löschen?

Andyy2k3

Du hast die Anleitung nicht richtig gelesen ! !

LIES die meine Post AUFMERKSAM durch. Ansonsten kann dir hier niemand helfen.

Werte das log mit Hilfe der Find.bat aus und poste das Ergebnis!

Schon klar was du meinst ;-)
Ich wollte das nur als Zwischenergebnis posten, weil es sucht und sucht

ok :)

das dauert immer so verflixt lange..