Trojaner-Board - Fake AdobeReader

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fake AdobeReader (https://www.trojaner-board.de/61948-fake-adobereader.html)

Fake AdobeReader

Guten Abend =)

also zu meinem Problem:
Ich brauchte den AdobeReader zum lesen einer pdf Datei und bin dann durch google auf diese Website gestoßen:

http://www.reader-pdfs.com/

Natürlich habe ich erst nach dem download, während der installation bemwerkt, dass die Datei nur ein paar kb groß ist. Da das entpacken aufällig lang dauerte brach ich dann ab. Bei genauer Betrachtung viel mehr dass auf, dass die website nicht besonders seriös zu sein scheint.
Nunja sowohl mein Virenscanner (antivir) als auch SpyBot konnten nichts finden, jedoch ist mein PC merklich langsamer und die Downloadgeschwindigkeit stark begrenzt (6000er Leitung jetzt mit maximal 50kb/s)
In den AGB's der Datei hab ich auch sehr interessante Passagen gefunden, natürlich erst nach der (abgebrochenen) Installation -.-
Leider hat sich dieser "virus" nun schon auf die beiden anderen PC's in unserm Home-Netzwerk ausgebreitet (auch langsamer etc...)

Bleibt für mich jetzt nur noch die Formatierung aller 3 Rechner als Variante?

Betriebssystem ist bei uns allen Windows XP service packe 2/3

Ich würde mich sehr über Lösungsansätze oder weitere Infos freuen.

MfG, dude

scheint was neues zu sein. hab die Datei bei virustotal und jotti hochgeladen.

lade dir malwarebytes runter umd mache einen scan, poste ausserdem ein Hijackthis Log.

Hey, danke für die Antwort.
Der DL speed ist jetzt wieder normal, aber sicher ob ich das überstandenhabe bin ich mir nicht.

Hier die Log-file

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:02:17, on 13.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe

C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

D:\Progs\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Progs\adobe\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
 

--

End of file - 5777 bytes

Ich freu mich über jede Hilfe.
dude

Hast du mit Malwarebytes gescannt? Bitte noch das Log posten.

Dein Hijackthis Log sieht soweit ok aus.

den hier kannst du fixen
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)

Anschliessend mit Avira und aktuellen Definitionen sowie diesen Einstellungen scannen.

Hi,

nix Fake. Ich hab es ausprobiert und habe einen Adobe Reader Version 9 installiert bekommen. Der Download des Installers dauert halt einen Moment, ist eine etwas größere Datei.

Vorher wurde allerdings ein Vertrag mit der

Zitat:

Consumer Benefit LTD
Pecerady 119, Okr. benesov
cz - 25741 Tynec nad sazavou

präsentiert, fängt an mit

Zitat:

AGB der Consumer Benefit Ltd. für die deutschsprachigen Kunden -
Bitte aufmerksam lesen!

Ich hoffe Du hast aufmerksam gelesen, denn Du hast zugestimmt, dass eine Werbesoftware auf deinem System installiert wird:

Zitat:

§ 03. Vertragsgegenstand:

Der Kunde erhält unentgeltlich eine einfache Lizenz an einer Werbesoftware. Als Gegenleistung kooperiert der Kunde mit der Consumer Benefit Ltd. im Bereich des Marketings und ist mit der Installation der Consumer Benefit Ltd. Werbesoftware einverstanden. Der Kunde wird darauf hingewiesen, dass bei Aktivierung der Consumer Benefit Ltd. Werbesoftware eine Reihe von Änderungen am PC des Kunden vorgenommen werden können, mit dem Ziel dem Kunden ein auf seine individuellen Bedürfnisse und Interessen zugeschnittenes Surf - Erlebnis zu gewährleisten unter Nutzung der technischen Ressourcen des Kunden.

Aber keine Panik, es ist nichts verloren:

Zitat:

§ 04. Vertragsannahme durch die Consumer Benefit Ltd., Dauer des Vertrages, Kündigung:

Die Consumer Benefit Ltd. GmbH kann ohne Angabe von Gründen ablehnen, mit einem Kunden ein Vertragsverhältnis einzugehen. Der Vertrag tritt mit der Zustimmung des Kunden zur Aktivierung der Software in Kraft. Das Vertragsverhältnis wird auf eine Dauer von 24 Monaten abgeschlossen. Eine Kündigung aus wichtigem Grunde ist für beide Seiten jederzeit möglich. Im Falle einer vorzeitigen Vertragsauflösung kann der Kunde eine kostenpflichtige De- Installationssoftware von der Consumer Benefit Ltd. erhalten.

undsoweiter undsofort.

Meinen nächsten Adobe Reader lade ich mir doch wieder bei Adobe :D So und jetzt lösche ich dieses System, sollte sowieso neu installiert werden, da kam das recht mal vorher noch was auszuprobieren.

Gruß, Karl