WIN7: Pricepeep-Popup

BerndB · 04.08.2013, 19:14

Hallo zusammen,

seit einigen Tagen öffnet sich beim surfen mit Firefox ständig ein Popup-Fenster von Pricepeep, obwohl ich einen popup-blocker installiert habe. Zudem ist die Rechnerperformance beim hochfahren des Rechners, sowie beim surfen seitdem relativ schlecht. Es braucht oft eine Minute, bis eine Internetseite aufgerufen wird.

Daher habe ich einen Quick-Scan mit Anti-Malewarebytes gemacht und dabei 10 Infizierte Dateien, die offensichtlicht etwas mit dem popup zu tun haben, gefunden.

Hier das logfile:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.04.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Go :: GO-ACER [Administrator]

04.08.2013 18:17:52
MBAM-log-2013-08-04 (18-26-05).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 226934
Laufzeit: 7 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{3BF3DED5-0FC8-4207-AC09-AA7B5AF4E408} (Adware.Agent) -> Keine Aktion durchgeführt.
HKCR\Interface\{1B97A696-5576-43AC-A73B-E1D2C78F21E8} (Adware.Agent) -> Keine Aktion durchgeführt.
HKCR\PricePeep.PricePeepBho.1 (Adware.Agent) -> Keine Aktion durchgeführt.
HKCR\PricePeep.PricePeepBho (Adware.Agent) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Program Files (x86)\PricePeep\pricepeep.dll (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Users\Go\AppData\Local\Temp\lyricsPaltmp.exe (PUP.LyricsAd) -> Keine Aktion durchgeführt.
C:\Users\Go\AppData\Local\Temp\LyricsPal_1060-8101_v122.exe (PUP.LyricsAd) -> Keine Aktion durchgeführt.
C:\Users\Go\AppData\Local\Temp\pricepeep_130001_0101.exe (Adware.Agent) -> Keine Aktion durchgeführt.

(Ende)

Zudem habe ich gemäß Anleitung zunächst den Defogger ausgeführt und dann mit GMER einen scan gestartet.

Hier die beiden logfiles:

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:20 on 04/08/2013 (Go)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-08-04 19:32:51
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD64 rev.01.0 596,17GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\Go\AppData\Local\Temp\pxddqpow.sys


---- User code sections - GMER 2.1 ----

.text   C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe[1920] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000077121465 2 bytes [12, 77]
.text   C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe[1920] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000771214bb 2 bytes [12, 77]
.text   ...                                                                                                                                             * 2
.text   c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe[2412] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69              0000000077121465 2 bytes [12, 77]
.text   c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe[2412] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155             00000000771214bb 2 bytes [12, 77]
.text   ...                                                                                                                                             * 2
.text   C:\Program Files (x86)\Citrix\ICA Client\concentr.exe[4052] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                             0000000077121465 2 bytes [12, 77]
.text   C:\Program Files (x86)\Citrix\ICA Client\concentr.exe[4052] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                            00000000771214bb 2 bytes [12, 77]
.text   ...                                                                                                                                             * 2
.text   C:\Program Files (x86)\Citrix\Receiver\Receiver.exe[4672] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                               0000000077121465 2 bytes [12, 77]
.text   C:\Program Files (x86)\Citrix\Receiver\Receiver.exe[4672] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                              00000000771214bb 2 bytes [12, 77]
.text   ...                                                                                                                                             * 2
.text   C:\Program Files (x86)\Citrix\SelfServicePlugin\SelfServicePlugin.exe[5880] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69             0000000077121465 2 bytes [12, 77]
.text   C:\Program Files (x86)\Citrix\SelfServicePlugin\SelfServicePlugin.exe[5880] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155            00000000771214bb 2 bytes [12, 77]
.text   ...                                                                                                                                             * 2
.text   C:\Program Files (x86)\Citrix\ICA Client\wfcrun32.exe[5888] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                             0000000077121465 2 bytes [12, 77]
.text   C:\Program Files (x86)\Citrix\ICA Client\wfcrun32.exe[5888] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                            00000000771214bb 2 bytes [12, 77]
.text   ...                                                                                                                                             * 2

---- Threads - GMER 2.1 ----

Thread  C:\Windows\SysWOW64\ntdll.dll [1640:1644]                                                                                                       000000000102ce26
Thread  C:\Windows\SysWOW64\ntdll.dll [1640:2700]                                                                                                       000000001000e2eb
Thread  C:\Windows\SysWOW64\ntdll.dll [1640:3020]                                                                                                       0000000000b72560
Thread  C:\Windows\SysWOW64\ntdll.dll [1640:3116]                                                                                                       0000000000b766e0
Thread  C:\Windows\SysWOW64\ntdll.dll [1640:4256]                                                                                                       0000000000b766e0
Thread  C:\Windows\SysWOW64\ntdll.dll [1640:3472]                                                                                                       0000000000b766e0
Thread  C:\Windows\SysWOW64\ntdll.dll [4016:4020]                                                                                                       00000000003f72be
Thread  C:\Windows\SysWOW64\ntdll.dll [4016:5348]                                                                                                       00000000730932fb

---- Registry - GMER 2.1 ----

Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c0cb38d4a987                                                                     
Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c0cb38d4a987@0023452bf669                                                        0x1D 0xC7 0xC6 0x89 ...
Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c0cb38d4a987@303855151afd                                                        0x19 0x9F 0x25 0x21 ...
Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c0cb38d4a987@5c17d3011897                                                        0x97 0xB0 0xF7 0x3C ...
Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c0cb38d4a987@00aa70423cd9                                                        0x90 0xF7 0x3C 0xDA ...
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c0cb38d4a987 (not active ControlSet)                                                 
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c0cb38d4a987@0023452bf669                                                            0x1D 0xC7 0xC6 0x89 ...
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c0cb38d4a987@303855151afd                                                            0x19 0x9F 0x25 0x21 ...
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c0cb38d4a987@5c17d3011897                                                            0x97 0xB0 0xF7 0x3C ...
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c0cb38d4a987@00aa70423cd9                                                            0x90 0xF7 0x3C 0xDA ...

---- EOF - GMER 2.1 ----

Den Systemscan mit FRST habe ich nicht ausgeführt, da in der Anleitung dazu steht, dass das Programm an einem "sauberen" Computer heruntergeladen werden soll und ich außer den infizierten keinen habe.
Falls das jedoch zwingend notwendig ist, muss ich mir etwas einfallen lassen?!

Das ist erst einmal alles von meiner Seite. Würde mich freuen, wenn ihr mir helfen könnt, den Schädling von meinem Rechner zu bekommen. Vielen Dank im Voraus!

Gruß, Bernd

WIN7: Pricepeep-Popup

Log-Analyse und Auswertung: WIN7: Pricepeep-Popup

WIN7: Pricepeep-Popup

Ähnliche Themen: WIN7: Pricepeep-Popup