Guten Tag!

Irgendwie scheint sich Yontoo bei mir eingeschlichen zu haben (JDownloader Beta und Normalinstallation von der Herstellerseite; Java Update). Außerdem habe ich noch LNK Dateien verstellt gehabt und mit einer Reg von hier beheben wollen:
hxxp://www.winhelponline.com/blog/file-asso-fixes-for-windows-7/
Allerdings wollte er das nicht korrekt ausführen, es kam eine Meldung in der Art der zu ändernde Schlüssel befindet sich in Benutzung oder ähnliches. Nach dem Neustart war das LNK Problem jedoch behoben.

Nach dem Neustart wurde ich von Firefox gefragt, ob ich Yontoo wirklich hinzufügen möchte. In Panik schnell gegoogelt und gesehen, dass ein Yontoo Prozess existieren müsste. Diesen gekillt und nach kurzer Suche per adwcleaner entfernt. Neustart.

Nun bin ich mir nicht sicher ob das System wirklich sauber ist. Ich bin gerade dabei einen umfassenden Scan mit Avira zu machen (zum Zeitpunk des Fundes kein Schutz installiert).

Die Logs von adwcleaner sehen so aus:

Vorher:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.200 - Datei am 20/04/2013 um 15:34:34 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : kernel - HOMEBASE
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\kernel\Downloads\Firefox Download\adw22cleaner.exe
# Option [Suche]


**** [Dienste] ****

Gefunden : Yontoo Desktop Updater

***** [Dateien / Ordner] *****

Datei Gefunden : C:\Users\kernel\AppData\Roaming\Mozilla\Firefox\Profiles\hyg7a0p6.default\foxydeal.sqlite
Ordner Gefunden : C:\Program Files (x86)\Yontoo
Ordner Gefunden : C:\ProgramData\Tarma Installer
Ordner Gefunden : C:\Users\kernel\AppData\Roaming\Mozilla\Firefox\Profiles\hyg7a0p6.default\extensions\plugin@yontoo.com
Ordner Gefunden : C:\Users\kernel\AppData\Roaming\Yontoo

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\InstallCore
Schlüssel Gefunden : HKCU\Software\Softonic
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Schlüssel Gefunden : HKLM\SOFTWARE\Tarma Installer

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0.1 (en-US)

Datei : C:\Users\kernel\AppData\Roaming\Mozilla\Firefox\Profiles\hyg7a0p6.default\prefs.js

Gefunden : user_pref("extentions.y2layers.defaultEnableAppsList", "DropDownDeals,buzzdock,YontooNewOffers");
Gefunden : user_pref("extentions.y2layers.installId", "2c0f5542-a057-4649-9ab3-d5043b591ae3");

*************************

AdwCleaner[R1].txt - [3512 octets] - [20/04/2013 15:34:34]

########## EOF - C:\AdwCleaner[R1].txt - [3572 octets] ##########
         

Nachher:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.200 - Datei am 20/04/2013 um 15:50:31 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : kernel - HOMEBASE
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\kernel\Downloads\Firefox Download\adw22cleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Users\kernel\AppData\Roaming\Mozilla\Firefox\Profiles\hyg7a0p6.default\foxydeal.sqlite

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Ask.com.tmp

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0.1 (en-US)

Datei : C:\Users\kernel\AppData\Roaming\Mozilla\Firefox\Profiles\hyg7a0p6.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3633 octets] - [20/04/2013 15:34:34]
AdwCleaner[R2].txt - [993 octets] - [20/04/2013 15:37:20]
AdwCleaner[R3].txt - [1021 octets] - [20/04/2013 15:50:31]
AdwCleaner[S1].txt - [3806 octets] - [20/04/2013 15:34:59]

########## EOF - C:\AdwCleaner[R3].txt - [1141 octets] ##########
         

Wie kann ich weiter vorgehen?

Vielen Dank!

Wenn du von Yontoo nix mehr siehst sollte es weg sein. Wir haben die meisten Zeilen bereits in AdwCleaner eingepflegt.

Hallo Ryder,
Ich wüsste gar nicht wie sich Yontoo bemerkbar machen würde, Werbung ist bei mir generell blockiert.

MfG kernelpanic

Na dann ....

Wenn du keine Fragen mehr hast?

Nun, wenn die adwcleaner Maßnahme gereicht hat habe ich keine weiteren Fragen.
Mir ging es nur darum, dass Yontoo auch als Rootkit missbraucht werden kann etc.

Zitat:

Yontoo auch als Rootkit missbraucht werden kann

Das wäre mir neu. Hast du eine Quelle zu der Aussage?

http://www.trojaner-board.de/132191-...kitaccess.html
^

Bitte: Das eine hat mit dem anderen nichts zu tun. Aussagen vom Chip-Forum bitte sehr skeptisch betrachten und auch hier die Vermutungen unserer hilfesuchenden User nicht auf die Goldwaage legen. Yontoo hat absolut nichts mit einem Rootkit zu tun, es ist nur relativ harmlose wenn auch nervige Werbung. Yontoo und ein Rootkit können auch mal zusammen auftreten. So wie man sich bei einem Schnupfen auch mit einem Hammer den Arm zertrümmern kann, wenn man Lust drauf hat. Aber diese beiden Erkrankungen bedingen sich natürlich nicht.

Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/