Hallo Zusammen,

ich muss mir wohl oder über einen Plagegeist auf meinem Samsung N220 Netbook mit Windows 7 Ultimate eingefangen haben.

Abgesehen davon, dass das Netbook mittlerweile eh viel zu langsam unterwegs ist, ist mir die potenzielle Malware dadurch aufgefallen, dass nach Start des IE9 auf der Google-Startseite unmittelbar über dem Suche-Feld stest die folgende ominöse Werbung eingeblendet war:

"Google Recommends: Monthly Income up to 11,7% from Bank of Hawaii"

Leider ergab die Google-Suche hierzu praktisch überhaupt nichts, auch im Trojaner-Board bin ich in Bezug auf "Bank of Hawaii" nicht fündig geworden.

Nächste Auffälligkeit: Ich konnte keine Software downloaden. Der Versuch, Malwarebytes von FilePony zu laden, schlug immer mit der Warnung, die Datei enthalte einen Virus, fehl. Schließlich habe ich das Installationsfile per USB auf mein Netbook installiert, die Datenbanken aktualisiert und zunächst einen QuickScan gemacht, mit folgendem Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.21.10

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin-User :: WIN7-NB [Administrator]

22.01.2013 01:12:44
mbam-log-2013-01-22 (01-12-44).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 233515
Laufzeit: 13 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Standard-User\AppData\Roaming\Arlyte\irvu.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Standard-User\AppData\Local\Temp\firefox.dll (Trojan.Phex.Tgen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Nach System-Restart waren das Fehlerbild mit der Google-Recommend-Werbung und die Problematik mit dem Download von Installationsdateien verschwunden.

Als nächsten Schritt habe ich nunmehr einen FullScan mit Malwarebytes durchgeführt, der folgendes Ergebnis lieferte:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.21.10

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin-User :: WIN7-NB [Administrator]

22.01.2013 01:37:18
mbam-log-2013-01-22 (01-37-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 384961
Laufzeit: 2 Stunde(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Ich bitte euch, dass ihr euch die Logfiles einmal anschaut und eure fachkundige Meinung darüber abgebt, wie die Logfiles nunmehr einzuwerten sind und welche Schritte ggf. als nächstes erforderlich wären, um weitere Schadsoftware in meinem System ausschließen bzw. erkennen und/oder beseitigen zu können.

Vielen Dank und viele Grüße
JackBug

Hier noch eine Ergänzung:

Ich bin in einem anderen Forum (Spielerboard.de) nun doch fündig geworden, indem ein anderer User vom gleichen Problem berichtet. Die Werbeeinblendung erscheint bei ihm zusätzlich wohl auch bei facebook.

Ich habe ein Bild eingefügt, dass der User eingestellt hat. Zumindest für Google zeigte sich bei mir das identische Bild:


Quelle: hxxp://www.spielerboard.de/software-internet/343921-bank-hawaii-ein-virus-2.html; hxxp://www.abload.de/img/bankofhawaiiscreenshogcks3.jpg

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.