Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Automatische Werbefenster in Firefox (https://www.trojaner-board.de/60156-automatische-werbefenster-firefox.html)

2008Wandler 18.09.2008 14:48
Automatische Werbefenster in Firefox
 
Servus Board,

mein Problem scheint nicht neu zu sein, jedoch soll man ja nach möglichkeit nichts ohne Anleitung oder Aufforderung machen.

Seit 3 Tagen bekomme ich immer Neckermann-Fenster oder ähnliche eingeblendet, bzw. es geht ein neues Browserfenster auf. Nervige Sache.

Avast läuft als Virenprogram, XP Firewall ist eingeschaltet.

Vermutlich sitzt der Feind in den \Anwendungsdaten\yoaqswo.exe

Ich kann ihn aber nicht löschen. Anbei mein Hijack File.

Könnte mich bitte jemand unterstützen?

Besten Dank
Frank

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:27, on 18.09.2008
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3311)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\DNA\btdna.exe
C:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\yoaqswo.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2008\KSTART32.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [a0f7f27d] rundll32.exe "C:\WINDOWS\system32\eilbddfs.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [yoaqswo] "c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\yoaqswo.exe" yoaqswo
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Telefon- und Branchenbuch Herbst 2008 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2008\KSTART32.EXE
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: vcbxar.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: lmab_device - - C:\WINDOWS\system32\LMabcoms.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8506 bytes

2008Wandler 18.09.2008 15:07
Hier die Ausgabe von virustotal:

Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.18 -
AntiVir 7.8.1.34 2008.09.18 -
Authentium 5.1.0.4 2008.09.18 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.18 -
BitDefender 7.2 2008.09.18 -
CAT-QuickHeal 9.50 2008.09.17 -
ClamAV 0.93.1 2008.09.18 -
DrWeb 4.44.0.09170 2008.09.18 -
eSafe 7.0.17.0 2008.09.17 -
eTrust-Vet 31.6.6091 2008.09.16 -
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.18 -
F-Secure 8.0.14332.0 2008.09.18 -
Fortinet 3.113.0.0 2008.09.18 -
GData 19 2008.09.18 -
Ikarus T3.1.1.34.0 2008.09.18 -
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.18 -
McAfee 5386 2008.09.17 -
Microsoft 1.3903 2008.09.18 -
NOD32v2 3452 2008.09.18 -
Norman 5.80.02 2008.09.17 -
Panda 9.0.0.4 2008.09.18 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.18 Suspicious
Rising 20.62.32.00 2008.09.18 -
Sophos 4.33.0 2008.09.18 -
Sunbelt 3.1.1645.1 2008.09.17 -
Symantec 10 2008.09.18 -
TheHacker 6.3.0.9.086 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.18 -
VBA32 3.12.8.5 2008.09.17 -
ViRobot 2008.9.18.1381 2008.09.18 -
VirusBuster 4.5.11.0 2008.09.17 -
Webwasher-Gateway 6.6.2 2008.09.18 -
weitere Informationen
File size: 299008 bytes
MD5...: efac82ca53542c0163e8f9674d1cad27
SHA1..: 2990eb19edae529a06792a0bebc4539ad29d2763
SHA256: f21abdd883048edcaf3d42b4e16bd7fe15bc4694a17ebbec71dae67bffac2398
SHA512: eb10b11c243f87d4ad1208262cb8e1475a784cf5aa91b7279cec4bca96c92b9e
d7abd636228a0528206b1be926a051b376eb27ac01e1928f1b6192434e015081
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43b5ec
timedatestamp.....: 0x4807def2 (Thu Apr 17 23:36:18 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3a77c 0x3b000 7.40 f7bd2d77a4b3d90a5ff74a0f2786bfb4
.rdata 0x3c000 0x12e8 0x2000 3.85 da60b7503ca05ce16e164e2a978e3deb
.data 0x3e000 0xa9ac 0xb000 4.15 482773037ebcd698494a52cdbb45db95

( 11 imports )
> KERNEL32.dll: GetUserDefaultLangID, lstrcpynA, TryEnterCriticalSection, DebugBreak, GetTickCount, _lclose, OutputDebugStringW, IsProcessorFeaturePresent, SetConsoleMode, EnumResourceNamesW, GlobalAddAtomW, CreateWaitableTimerA, GetSystemInfo, GenerateConsoleCtrlEvent, SetConsoleWindowInfo, CompareStringW, GetDriveTypeW, lstrcmpA, GlobalUnlock, GlobalReAlloc, GetProcessTimes, TlsGetValue, GetTempFileNameA, GetModuleHandleA, GetFileInformationByHandle, LoadLibraryExW, CreateDirectoryExA, GetThreadPriority, UnmapViewOfFile, SetFileTime, FileTimeToLocalFileTime, FindResourceExW, ClearCommBreak, VirtualProtect, FillConsoleOutputCharacterA, GetFileAttributesA, OpenSemaphoreW, CreateMutexW, CreateIoCompletionPort, FlushFileBuffers, FreeLibrary, InitializeCriticalSection, IsBadReadPtr, VirtualAlloc, GetDriveTypeA, GetLocaleInfoW, VirtualQueryEx, LocalFileTimeToFileTime, VirtualLock, SetFileAttributesA, EndUpdateResourceA, lstrlenA, GetStartupInfoA
> USER32.dll: GetMenuStringW, HiliteMenuItem, GetSysColor, ShowOwnedPopups, CreateWindowExA, OpenWindowStationA, SetProcessWindowStation, EnumChildWindows, SendNotifyMessageA, CopyIcon, DrawFrameControl, CloseWindowStation, ExcludeUpdateRgn, EnumWindowStationsW, MsgWaitForMultipleObjects, AdjustWindowRect, EndMenu, FlashWindow, GetClipCursor, GetWindowContextHelpId, WinHelpA, GetTabbedTextExtentW, GetMenuStringA, SetSysColors, CharNextExA, RegisterWindowMessageA, ChangeDisplaySettingsA, ShowWindow, UnregisterDeviceNotification, SetScrollRange, GetCapture, UnregisterClassW, CharNextW, BroadcastSystemMessageA, SetDlgItemInt, CreateAcceleratorTableA, InternalGetWindowText, OffsetRect, GetSystemMetrics, DrawCaption, PeekMessageA, GetTopWindow, ToAscii, IsCharAlphaNumericA, ScrollWindow, DrawTextExA, GetMonitorInfoA, GetCaretPos, RegisterClassExW, SendMessageTimeoutA, GetWindow, CharPrevA, AppendMenuA
> GDI32.dll: GetViewportExtEx, SetROP2, CopyEnhMetaFileW, GetCharWidth32A, GetEnhMetaFileBits, SetAbortProc, CreateBitmap, ExtTextOutA, GetFontData, UpdateColors, EnumFontFamiliesW, CreateDiscardableBitmap, CreateEnhMetaFileW, GetBkMode, EnumMetaFile, EnumFontFamiliesA, CreateRectRgn, GetSystemPaletteEntries
> comdlg32.dll: PrintDlgA, FindTextW, ChooseColorA
> ADVAPI32.dll: MakeSelfRelativeSD, GetServiceKeyNameW, RegOpenKeyA, CreateServiceA
> SHELL32.dll: Shell_NotifyIconA, SHFileOperationW, ExtractIconExW
> ole32.dll: CoMarshalInterface, OleInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> COMCTL32.dll: PropertySheetA, DestroyPropertySheetPage, ImageList_SetImageCount
> SHLWAPI.dll: StrDupA, StrFormatKBSizeW, StrChrW, PathAppendW, SHRegCreateUSKeyW, PathRemoveBlanksW, PathFindNextComponentW, StrRStrIW, PathIsRootW, PathGetDriveNumberA, PathGetArgsW
> MSVCRT.dll: __p__fmode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __set_app_type, _except_handler3, _controlfp, __p__commode


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:56 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129