Trojaner-Board - Registerkarten öffnen sich permanent mit Werbung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Registerkarten öffnen sich permanent mit Werbung (https://www.trojaner-board.de/71316-registerkarten-oeffnen-permanent-werbung.html)

Registerkarten öffnen sich permanent mit Werbung

Hallo liebe User,

vielleicht könnt Ihr mir helfen,...:heulen:
mich nerven schon seit einger Zeit Werbefenster die sich permanent über die Registerkarte öffnen, z.b. bei Online-Banking, Kreditkartenwerbung, Quelle, Handy und alles mögliche.
Habe bereits sämtliche Anti-Virus und Maleware programme scannen lassen, ohne Ergebnis
Auch bei dem hochgelobten Firefox dasselbe Problem.
Bi kein Pc-Profi, bei den Tipps bitte daran denken.
Auf jeden Fall vielen Dank für Eure Hilfe :heilig:

Hi,
geh auf den Link und installiere dir Adblock für Firefox. Dann bist du die lästige Werbung los.

http://filepony.de/download-adblock_firefox/

Hallo

Zitat:

geh auf den Link und installiere dir Adblock für Firefox. Dann bist du die lästige Werbung los.

Es wäre vielleicht schlauer, der Ursache an die Wurzel zu gehen, als wie die Auswirkungen zu bekämpfen:rolleyes:

@Stella-Marie wir benötigen mehr Informationen, daher arbeite bitte mal diese Anleitung ab, dann sehen wir weiter.
http://www.trojaner-board.de/69886-a...-beachten.html
poste bitte alle Logs hierher.

MFG

Hi,
das kann man natürlich nie ausschliessen aber Werbeeinblendungen ohne Adblock sind völlig normal und müssen nicht eine schlimme Ursache haben. Einfach mal ohne Adblock mit dem FF surfen :-) Da kriegst du auf vielen Seiten das blanke kotzen. Und die Tatsache dass mit diversen Scannerngescannt worden ist und der HJT unauffällig war (laut eigener Aussage) lässt den Schluss zu das mit grosser Wahrscheinlichkeit (< 100%) nix ist.

Aber ausschliessen kann man wie immer nix.

Vielen Dank für die Info,......aber trotz Adblock und auch no script, öffnen sich leider auch im Firefox immer wieder Werbefenster.
Zum IE, das Problem ist erst seit einer Woche so, irgendwas muss da doch passiert sein oder,...?

Hallo

Zitat:

das kann man natürlich nie ausschliessen aber Werbeeinblendungen ohne Adblock sind völlig normal und müssen nicht eine schlimme Ursache haben.

Darum wollte ich ja gern nachschauen;)

Zitat:

aber trotz Adblock und auch no script, öffnen sich leider auch im Firefox immer wieder Werbefenster.

Folge bitte der verlinkten Anleitung (oben).

Hast du neue Software installiert oder ist etwas außergewöhnliches passiert ind er letzten Woche?

MFG

Hallo

habe eigentlich nicht viel installiert, mails werden auch vorher gecheckt,..
,bei malewarebyt`s schnellscan wurde folgendens gefunden und entfernt:

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.

Ich hoffe das war es sonst muss ich wohl weitersuchen,...

Hallo

es gab aber noch einige Punkte mehr in der Anleitung, oder:teufel2:?

Zitat:

Ich hoffe das war es sonst muss ich wohl weitersuchen,...

Lass Malwarebytes einen Fullscan machen (vorher upgedatet?) und poste dann bitte das Log sowie ein Hijackthis Log hierher.

MFG

Hallo
habe nun beide Auswertungen, wie muss ich nun konkret vorgehen, sieht alles sehr kompliziert ,..aus
1. Malwarbytes:alwarebytes' Anti-Malware 1.34
Datenbank Version: 1835
Windows 6.0.6001 Service Pack 1

24.03.2009 11:54:32
mbam-log-2009-03-24 (11-54-32).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 168209
Laufzeit: 5 hour(s), 48 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2.Hijackthis

Scan saved at 12:22:41, on 24.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\TMController.exe
C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\phonostar\ps_agent.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Users\xxxxxxxx\AppData\Local\aswyk.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ArcSoft\TotalMedia 3\TMMonitor.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\phonostar\ps_radio.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\phonostar\ps_olect.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Google
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [HWSetup] \HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [TMController] C:\Windows\system32\TMController.exe
O4 - HKLM\..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Program Files\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [toscdspd] TOSCDSPD.EXE
O4 - HKCU\..\Run: [aswyk] "c:\users\xxxxxxxxx\appdata\local\aswyk.exe" aswyk
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TMMonitor.lnk = C:\Program Files\ArcSoft\TotalMedia 3\TMMonitor.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - [url=hxxp://rover.ebay.com/rover/1/707-44556-9400-3/4](file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - hxxp://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl? (file missing)
O13 - Gopher Prefix:
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - hxxp://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Program Files\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TempoSVC.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 11677 bytes

Lade bitte diese files bei Virustotal hoch und lasse sie analysieren, auch wenn dort steht, dass diese bereits überprüft worden sind.

Code:

C:\Users\********\AppData\Local\aswyk.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

Die Ergebisse vollständig, also mit Hashes und Prüfsummen hier posten...

Hast du in deinem IE Explorer die Option "Lock homepage from changes" aktiviert?

Diese Einträge erst mal fixen:

Code:

O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - eBay: *********************** (file missing)

O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/**************************** (file missing)

O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - hxxp://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?eBay:****************************alles zu günstigen Preisen (file missing)

Hi Red,
vorerst mal danke für alles,...
anbei zwei Analysen von Virustotal,
Bei den drei 09 Dateien weiss ich nicht wo ich sie finde, kann ich sie nicht einfach über Hijack löschen, sind ja nicht so wichtig ?
da scheint tatsächlich ein Trojaner auf meinem Rechner zu sein, wie entferne ich den jetzt?

Datei aswyk.exe empfangen 2009.03.24 14:29:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 3/40 (7.5%)
a-squared 4.0.0.101 2009.03.24 -
AhnLab-V3 5.0.0.2 2009.03.24 -
AntiVir 7.9.0.120 2009.03.24 -
Antiy-AVL 2.0.3.1 2009.03.24 -
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 -
AVG 8.5.0.283 2009.03.24 -
BitDefender 7.2 2009.03.24 -
CAT-QuickHeal 10.00 2009.03.24 -
ClamAV 0.94.1 2009.03.24 -
Comodo 1082 2009.03.23 -
DrWeb 4.44.0.09170 2009.03.24 -
eSafe 7.0.17.0 2009.03.24 -
eTrust-Vet 31.6.6414 2009.03.24 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.24 -
Fortinet 3.117.0.0 2009.03.24 -
GData 19 2009.03.24 -
Ikarus T3.1.1.48.0 2009.03.24 -
K7AntiVirus 7.10.679 2009.03.23 -
Kaspersky 7.0.0.125 2009.03.24 -
McAfee 5562 2009.03.23 -
McAfee+Artemis 5562 2009.03.23 -
McAfee-GW-Edition 6.7.6 2009.03.24 -
Microsoft 1.4502 2009.03.24 -
NOD32 3957 2009.03.24 -
Norman 6.00.06 2009.03.24 -
nProtect 2009.1.8.0 2009.03.24 -
Panda 10.0.0.10 2009.03.24 -
PCTools 4.4.2.0 2009.03.24 -
Prevx1 V2 2009.03.24 -
Rising 21.22.12.00 2009.03.24 -
Sophos 4.39.0 2009.03.24 -
Sunbelt 3.2.1858.2 2009.03.23 -
Symantec 1.4.4.12 2009.03.24 -
TheHacker 6.3.3.4.288 2009.03.24 -
TrendMicro 8.700.0.1004 2009.03.24 -
VBA32 3.12.10.1 2009.03.23 -
ViRobot 2009.3.24.1661 2009.03.24 -
VirusBuster 4.6.5.0 2009.03.23 -
weitere Informationen
File size: 39792 bytes
MD5...: 8b9145d229d4e89d15acb820d4a3a90f
SHA1..: 7c247e92e43a6e57dca062b771f487476a4653e5
SHA256: f3831d9ae752b6afbd3380e0bc849e4b051d6e06a88c1f61293a6de4f66794e1
SHA512: c704fa61cdf6c6ddd55a6b83e8c88a96d09b9c9895a6197c677f5b2cde1c0b24
fa1c8a9d3540e2da63293059efb5225adb3cecd52f81ca4633e30d73c87d5197
ssdeep: 768:kOnsr7SyE6SbAqbzTAmItEP/vycZiOL38DL4Ibc:WnfEpbBzTNItEP32OL38
Dlc

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (72.0%)
Windows Screen Saver (11.0%)
Win32 Executable Generic (7.1%)
Win32 Dynamic Link Library (generic) (6.3%)
Generic Win/DOS Executable (1.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3d84
timedatestamp.....: 0x47885b3e (Sat Jan 12 06:16:30 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x350c 0x3600 6.23 3cc9b10cf211ccd8e6c50ea043e51a26
.rdata 0x5000 0x4086 0x4200 4.14 9bbb5a9e9c137d78c09696de435911fd
.data 0xa000 0x76c 0x400 4.00 14ef9c05686b6419f58d1fbc12d6dfb5
.rsrc 0xb000 0x508 0x600 4.48 5b70504f65574cf69914659ebe040f89

( 6 imports )
> KERNEL32.dll: CloseHandle, TerminateThread, CreateThread, InitializeCriticalSection, CreateEventA, GetSystemInfo, UnmapViewOfFile, CreateFileA, VirtualQueryEx, GetCurrentProcess, MapViewOfFile, CreateFileMappingA, GetFileAttributesA, FindClose, FindNextFileA, FindFirstFileA, ReadFile, DeleteCriticalSection, GetTempPathA, GetWindowsDirectoryA, GetSystemDirectoryA, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, GetSystemTimeAsFileTime, GetCurrentThread, GetModuleHandleA, GetModuleFileNameA, EnterCriticalSection, SetEvent, SetThreadPriority, LeaveCriticalSection, SetFilePointer, WaitForSingleObject
> USER32.dll: GetMessageA, SetTimer, DispatchMessageA, TranslateMessage, KillTimer, DestroyWindow, UnregisterClassA, LoadIconA, LoadCursorA, RegisterClassExA, CreateWindowExA, DefWindowProcA, PostQuitMessage, FindWindowA
> ADVAPI32.dll: OpenSCManagerA, QueryServiceStatus, CloseServiceHandle, RegOpenKeyA, RegQueryValueExA, RegCloseKey, RegQueryValueA, OpenServiceA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
> MSVCP80.dll: _append@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _erase@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@II@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBDI@Z, _append@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _c_str@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEPBDXZ, __$_MDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@0@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z
> MSVCR80.dll: _onexit, _decode_pointer, _invoke_watson, _controlfp_s, _lock, __dllonexit, strrchr, memset, malloc, __CxxFrameHandler3, __1exception@std@@UAE@XZ, __3@YAXPAX@Z, __0exception@std@@QAE@XZ, _invalid_parameter_noinfo, __2@YAPAXI@Z, _CxxThrowException, __0exception@std@@QAE@ABV01@@Z, ___V@YAXPAX@Z, strchr, free, _terminate@@YAXXZ, _amsg_exit, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _crt_debugger_hook, __type_info_dtor_internal_method@type_info@@QAEXXZ, _except_handler4_common, _unlock

( 0 exports )

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.24 -
AhnLab-V3 5.0.0.2 2009.03.24 -
AntiVir 7.9.0.120 2009.03.24 -
Antiy-AVL 2.0.3.1 2009.03.24 -
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 -
AVG 8.5.0.283 2009.03.24 -
BitDefender 7.2 2009.03.24 -
CAT-QuickHeal 10.00 2009.03.24 -
ClamAV 0.94.1 2009.03.24 -
Comodo 1082 2009.03.23 -
DrWeb 4.44.0.09170 2009.03.24 -
eSafe 7.0.17.0 2009.03.24 -
eTrust-Vet 31.6.6414 2009.03.24 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.24 -
Fortinet 3.117.0.0 2009.03.24 -
GData 19 2009.03.24 -
Ikarus T3.1.1.48.0 2009.03.24 -
K7AntiVirus 7.10.679 2009.03.23 -
Kaspersky 7.0.0.125 2009.03.24 -
McAfee 5562 2009.03.23 -
McAfee+Artemis 5562 2009.03.23 -
McAfee-GW-Edition 6.7.6 2009.03.24 Trojan.LooksLike.Dropper Microsoft 1.4502 2009.03.24 -
NOD32 3957 2009.03.24 -
Norman 6.00.06 2009.03.23 Banker.EFTK
nProtect 2009.1.8.0 2009.03.24 -
Panda 10.0.0.10 2009.03.24 -
PCTools 4.4.2.0 2009.03.24 -
Prevx1 V2 2009.03.24 -
Rising 21.22.12.00 2009.03.24 -
Sophos 4.39.0 2009.03.24 -
Sunbelt 3.2.1858.2 2009.03.23 Trojan-Downloader.Tibs.gen (v) Symantec 1.4.4.12 2009.03.24 -
TheHacker 6.3.3.4.288 2009.03.24 -
TrendMicro 8.700.0.1004 2009.03.24 -
VBA32 3.12.10.1 2009.03.23 -
ViRobot 2009.3.24.1661 2009.03.24 -
VirusBuster 4.6.5.0 2009.03.23 -
weitere Informationen
File size: 258048 bytes
MD5...: f6759baea26bc770cc0d934548757d4a
SHA1..: 97b01de68796649103ff7c40f4750e8304b32cc0
SHA256: 595d49d0421d192f190fadcd0b4545645ad640a0ab1d9f0ce7b4e2c0ef2b40db
SHA512: 7918d8713a3bcad6b1cf648b89cbacb3419c4340c069e1f95a83ef2b3a6504ed
98c4f4f07aaef177e2cc6aa4cd56e83c78aafadf2723202e08c00d6f83069d87
ssdeep: 6144:U9LlBQS6u+nJ7iA2+EwF24fQdcVE4Z4ppFhMRHmqci:U9LlBUEA1EwYRd24
pORx

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x308de
timedatestamp.....: 0x409407ca (Sat May 01 20:25:46 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2fa6c 0x30000 7.41 d296dfc190b0295a66986fe93e946ba6
.rdata 0x31000 0x99ba 0xa000 5.59 63713e59a443d4a662274f1d07c4432f
.data 0x3b000 0x39bc 0x4000 5.32 544f88f1ca1467e0b8e46b1784deadbf

( 11 imports )
> WINSPOOL.DRV: DeletePortA
> ADVAPI32.dll: RegCreateKeyA, OpenServiceW, GetFileSecurityW, RegQueryValueW, RegFlushKey, StartServiceCtrlDispatcherW
> ole32.dll: CreateOleAdviseHolder, CoRevokeClassObject, CreateILockBytesOnHGlobal, CoGetClassObject, SetConvertStg, CoResumeClassObjects, MkParseDisplayName, CoDisconnectObject
> SHELL32.dll: ExtractIconA
> KERNEL32.dll: SetProcessWorkingSetSize, GetModuleHandleA, GetPrivateProfileIntA, SizeofResource, ReleaseSemaphore, ExitProcess, GetCurrentDirectoryA, GetWindowsDirectoryA, WideCharToMultiByte, VirtualAlloc, SearchPathA, lstrcpyA, LocalFree, GlobalFindAtomA, CompareStringW, GetVersionExW, GlobalDeleteAtom, GetPrivateProfileStringW, CreateDirectoryA, GetUserDefaultUILanguage, GetProcessAffinityMask, BackupRead, GetCurrentDirectoryW, LockResource, MoveFileW, SetEnvironmentVariableA, GetTempPathW, SetWaitableTimer, GetSystemPowerStatus, EnterCriticalSection, InterlockedCompareExchange, GetThreadLocale, GetLogicalDrives, DeleteTimerQueueEx, InterlockedExchange, FindNextFileA, EnumResourceLanguagesA, FindResourceExA, MapViewOfFile, IsDBCSLeadByteEx, GetLogicalDriveStringsW, GetFileAttributesA, InitializeCriticalSectionAndSpinCount, GlobalAddAtomA, LocalUnlock, FreeEnvironmentStringsA, CreateEventW, UnmapViewOfFile, WriteFile, DeleteCriticalSection, GetDriveTypeW, GlobalReAlloc, GetModuleFileNameW, GetFullPathNameA, GetSystemWindowsDirectoryW, GetShortPathNameW, SetCurrentDirectoryA, OpenFile, SetFilePointerEx, FindResourceA, IsDBCSLeadByte, UnhandledExceptionFilter, MapViewOfFileEx, IsProcessorFeaturePresent, FindClose, lstrcatA, GetPrivateProfileIntW, DebugBreak, CreateEventA, GlobalSize, GetLocaleInfoA, SetLastError, CreateTimerQueue, CreateToolhelp32Snapshot, GetFullPathNameW, AddAtomA, TlsAlloc, TerminateThread, DuplicateHandle, CreateProcessA, OpenMutexA, GetExitCodeProcess, GetConsoleCP, _lopen, GetVersion, EnumResourceLanguagesW, GetStartupInfoW, GlobalGetAtomNameW, TransactNamedPipe, GetVersionExA, GetStartupInfoA, SetErrorMode, GetTempFileNameA, GetTickCount, GetModuleFileNameA, Beep
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> USER32.dll: GetMessageTime, GetClassNameA, GetDC, FindWindowW, DestroyCaret, LoadImageA, ModifyMenuA, EndPaint, SetTimer, AdjustWindowRectEx, GetActiveWindow, IsMenu, GetQueueStatus, TrackPopupMenu, ValidateRgn, SetForegroundWindow, EmptyClipboard, DestroyMenu, DestroyWindow, DrawStateW, CopyIcon, GetDoubleClickTime, DdeUnaccessData, ShowScrollBar, GetInputState, CharLowerBuffA, EnableScrollBar, SetScrollRange, ScrollWindowEx
> GDI32.dll: CreateSolidBrush, SetWindowExtEx
> comdlg32.dll: GetSaveFileNameA
> OLEAUT32.dll: -
> MSVCRT.dll: malloc, localtime, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _wtoi64, iswspace, toupper, setlocale, rand, wcstol, _expand, _CxxThrowException, strrchr, wcsncmp, floor, tolower, strncpy, _ltow, _wcslwr, strncmp, _msize, _mbsrchr, longjmp, wcscspn, wcstoul, _stricmp, _wcsupr, ctime, calloc, wcstod, _snwprintf

( 0 exports )

Hallo

lade dir bitte Navilog runter

Zitat:

Deaktiviere den UAC-User Account Control -(dran denken ihn danach wieder zu aktivieren).

Start > Systemsteuerung
Doppelklick auf Benutzerkonten
Klicke auf Deaktivieren und bestätige.
Lade dir nun Navilog herunter indem du den Link per Rechtsklick anwählst und Speichern unter anwählst. Speicher die Datei auf deinem Desktop
Rufe navilog1.exe per Rechtsklick auf und wähle "Ausführen als Administrator" aus um das Programm zu installieren.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

poste anschließend bitte das entstandene Log hierher.

Deinstalliere bitte die alte Adobe Reader Version, am Schluss gibts ne neue;).

MFG

Hallo,
vielen dank für Euere tolle Hilfe, obwohl ich eine ziemliche Anfängerin bin was dieses Gebiet betrifft, habe ich mich bis jetz ganz gut zurechtgefunden !
Hier die File von Navilog:
Search Navipromo version 3.7.6 began on 25.03.2009 at 10:18:50,42

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft (R) Windows Script Host, Version 5.7
Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz )
BIOS : Ver 1.00PARTTBL
USER : xxxxxx( Administrator )
BOOT : Normal boot

Antivirus : Norton AntiVirus 15.5.0.23 (Activated)
Firewall : Norton AntiVirus 15.5.0.23 (Activated)

C:\ (Local Disk) - NTFS - Total:93 Go (Free:24 Go)
E:\ (Local Disk) - NTFS - Total:91 Go (Free:74 Go)
F:\ (CD or DVD)

Search done in normal mode

*** Search folders in "C:\Windows" ***

*** Search folders in "C:\Program Files" ***

...\Live-Player found !

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\Live-Player found !

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***

*** Search folders in "C:\ProgramData" ***

*** Search folders in "c:\users\xxxx ~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Search folders in "C:\Users\xxxxxxx \AppData\Local\virtualstore\Program Files" ***

*** Search folders in "C:\Users\xxxxxxx \AppData\Local" ***

*** Search folders in "C:\Users\xxxxxxx \AppData\Roaming" ***

...\Live-Player found !

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\xxxxxxx \AppData\Local\Microsoft" *

* Scan in "C:\Users\xxxxxxx \AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\xxxxxxx \AppData\Local" *

*** Search files ***

c:\users\public\desktop\Live-Player.lnk found !

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"aswyk"="\"c:\\users\\xxxxxxx \\appdata\\local\\aswyk.exe\" aswyk"

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\Windows\system32" :

* In "C:\Users\xxxxxxxxx \AppData\Local\Microsoft" :

* In "C:\Users\xxxxxxx \AppData\Local\virtualstore\windows\system32" :

* In "C:\Users\xxxxxxx \AppData\Local" :

aswyk.exe found !
aswyk.dat found !
aswyk_nav.dat found !
aswyk_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 25.03.2009 at 10:30:17,01 ***

*reinhüpf
Der nochdigger mag mir verzeihen :party:
Er ist nicht da......

Stella, dass gleiche nochmal, aber diesmal mit der Option 2

Poste das Logfile dann hier....
*raushüpf

Was ist Option 2, Was muss ch da machen ?