| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Firefox und WerbefensterWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.08.2008, 23:14
| #1 |
 |  Firefox und Werbefenster Hallo, ich habe folgendes und wohl bekanntes Problem. Seit ca. 1,5 Wochen öffnet Firefox selbstständig neue Browserfenster mit Werbungen von verschiedensten Unternehmen. Ich habe jetzt gegoogelt und bin auf dieses Forum gestoßen. In einem anderen Thread, wo das gleiche Problem beschrieben wurde, habe ich gelesen, dass jeder sein eigenen Thread erstellen soll, damit es einfach ist individuell zu helfen. Ich hoffe also, dass ich das jetzt richtig gemacht habe und nicht unnütz einen weiteren Thread zu demselben Thema eröffnet habe. Aus dem anderen Thread habe ich das durchgeführt, was dort empfohlen wurde. Ich habe mit HijackThis ein Logfile erstellt, was ich auch gleich hier einstellen werde. Mir ist übrigens aufgefallen, dass ich zwischenzeitlich mal gefragt werde, folgende Exe installieren soll: Spywaresecure_trial_setup.exe Auch hier habe ich erstmal nichts getan und gegoogelt und dann das Installieren unterbunden. Während sich der Button öffnete, mit dem Hinweis diese Software zu installieren schlug Antivir an mit einem Trojanischen Pferd in einer Mozilla-Datei. Leider habe ich sie sofort gelöscht, so dass ich keine weiteren Bezeichnungen dazu bekannt machen kann. So, jetzt zu meinem Logfile, ich hoffe alle Dinge zu löschen, wozu ich hier aufgefordert wurde und natürlich auf Hilfe. Ach so, kurz noch: Mein PC ist ein Monat alt, habe Vista und benutze Firefox 3.0 Jetzt aber: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:44, on 06.08.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\aol\1214588237\ee\aolsoftware.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Users\name\Program Files\DNA\btdna.exe C:\Windows\ehome\ehtray.exe C:\Program Files\ICQ6\ICQ.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\Steffi\AppData\Local\wnogogo.exe C:\Program Files\AOL 9.0 VR\waol.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\NETGEAR\WG111v3\WG111v3.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\AOL 9.0 VR\shellmon.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\AOL\Topspeed\3.0\aoltpsd3.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\name\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Link gelöscht R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Link gelöscht R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Link gelöscht R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Link gelöscht R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Link gelöscht R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O1 - Hosts: ::1 localhost O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [NPCTray] C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1214588237\ee\AOLSoftware.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [recinfo] c:\recinfo\recinfo.exe O4 - HKCU\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe 20080727 O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\name\Program Files\DNA\btdna.exe" O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VR\AOL.EXE" -b O4 - HKCU\..\Run: [wnogogo] c:\users\name\appdata\local\wnogogo.exe wnogogo O4 - HKUS\S-1-5-18\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: FSCLBaseUpdaterService - Unknown owner - C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe -- End of file - 9042 bytes So, was ich geändert habe, weil ich der Meinung war, dass das zu den Bordregeln gehört, war mein Name, den ich durch "name" geändert habe und zur besseren Erkennung rot hervor gehoben habe. Ich hoffe, ich habe alle Angaben richtig. Die Empfehlung war, dass man als Laie nichts unter hijacksthis fixen soll oder anderweitig unternehmen. Es ist also der erste und einzige Log und ich habe bisher nichts verändert, gelöscht oder sonstiges. Sollten noch Fragen offen sein, bitte posten, ich bin auf dem Gebiet echt unwissend. Vielen Dank im Voraus LG Jana EDIT: Ich habe vor ca. 15 Minuten ein neues Profil in Firefox erstellt, weil ich irgendwo gelesen habe, dass das eventuell hilft. Hat es aber nicht. Geändert von Shajana (06.08.2008 um 23:22 Uhr) Grund: Links gelöscht |
|
06.08.2008, 23:38
| #2 |
  | Firefox und Werbefenster Hallo Shajana, Jana, Steffi
__________________ , user,lade bitte folgende Dateien bei Virustotal hoch und poste das komplette Ergebnis. c:\recinfo\recinfo.exe C:\ProgramData\fsc-reg\fscreg.exe C:\Users\Steffi\AppData\Local\wnogogo.exe |
|
06.08.2008, 23:44
| #3 |
| | Firefox und Werbefenster falls die dateien "ok" sein sollten... --> recinfo.exe, fscreg.exe wahrscheinlich Fujitsu
__________________dann bitte Blacklight von F-secure runterladen, scannen und log posten. |
|
06.08.2008, 23:48
| #4 |
| | Firefox und Werbefenster Na, das hat ja geklappt mit dem Namen....  Okay, jetzt zu c:\recinfo\recinfo.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.7.0 2008.08.06 - AntiVir 7.8.1.19 2008.08.06 - Authentium 5.1.0.4 2008.08.07 - Avast 4.8.1195.0 2008.08.06 - AVG 8.0.0.156 2008.08.06 - BitDefender 7.2 2008.08.06 - CAT-QuickHeal 9.50 2008.08.06 - ClamAV 0.93.1 2008.08.06 - DrWeb 4.44.0.09170 2008.08.06 - eSafe 7.0.17.0 2008.08.06 - eTrust-Vet 31.6.6016 2008.08.06 - Ewido 4.0 2008.08.06 - F-Prot 4.4.4.56 2008.08.06 - F-Secure 7.60.13501.0 2008.08.06 Suspicious:W32/DataSneak.b!Gemini Fortinet 3.14.0.0 2008.08.06 - GData 2.0.7306.1023 2008.08.06 - Ikarus T3.1.1.34.0 2008.08.06 - K7AntiVirus 7.10.405 2008.08.06 - Kaspersky 7.0.0.125 2008.08.07 - McAfee 5355 2008.08.06 - Microsoft 1.3807 2008.08.06 - NOD32v2 3333 2008.08.06 - Norman 5.80.02 2008.08.06 - Panda 9.0.0.4 2008.08.06 - PCTools 4.4.2.0 2008.08.06 - Prevx1 V2 2008.08.07 - Rising 20.56.22.00 2008.08.06 - Sophos 4.31.0 2008.08.06 - Sunbelt 3.1.1537.1 2008.08.06 - Symantec 10 2008.08.07 - TheHacker 6.2.96.393 2008.08.04 - TrendMicro 8.700.0.1004 2008.08.06 - VBA32 3.12.8.2 2008.08.06 - ViRobot 2008.8.6.1326 2008.08.06 - VirusBuster 4.5.11.0 2008.08.06 - Webwasher-Gateway 6.6.2 2008.08.06 Virus.Win32.FileInfector.gen!94 (suspicious) weitere Informationen File size: 52224 bytes MD5...: fb94d196638a61c33b58c47149ce62a7 SHA1..: 07cb66d752d883f5230c7304b75f80813438c794 SHA256: e0e38853b9cf12f44685130ff3a4dfd600c5c1ba293654c1df1983b134238db2 SHA512: 34e6a2ff09a9921993bc462ecb8792cf9afe7fe865d00a20b466cce7f826ac58 a59b47c996aaaf0a0d5a0a9c5ca825ab75b4b0043c5bf5631619a8b01c2e89c2 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401000 timedatestamp.....: 0x47b2d861 (Wed Feb 13 11:45:37 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .code 0x1000 0x927 0xa00 4.98 de5c7cca303b817cfc64ce9062da4fa7 .text 0x2000 0xdfc 0xe00 6.25 a7cadac654f663f61dd275f79b5f19f4 .rdata 0x3000 0xb 0x200 0.19 5abc593b582acf97cc6a7763b503373c .data 0x4000 0x6d24 0x6e00 5.64 3d19c4fe74907b55810537b11764a294 .rsrc 0xb000 0x3db0 0x3e00 6.13 eb61de1c791f5106ebb06d0dddb1333c .flat 0xf000 0x3d 0x200 0.96 e97cd79fc0ad4d4895c5b1893493a844 ( 7 imports ) > CRTDLL.dll: memset, strncpy, strlen, strcat > KERNEL32.dll: GetModuleHandleA, HeapCreate, CreateMutexA, GetLastError, GetUserDefaultUILanguage, HeapDestroy, ExitProcess, InitializeCriticalSection, GetCommandLineA, GetModuleFileNameA, HeapAlloc, MultiByteToWideChar, HeapFree, GetDriveTypeA, FindFirstFileA, FindClose, GetFileAttributesA, HeapReAlloc > ntdll.dll: RtlWriteRegistryValue, RtlDeleteRegistryValue > USER32.dll: CreateWindowExA, SetTimer, GetMessageA, TranslateMessage, DispatchMessageA, GetSystemMetrics, MoveWindow, ShowWindow, KillTimer, PostMessageA, DestroyWindow > ATL.dll: AtlAxWinInit, AtlAxCreateControl, AtlAxGetControl > OLE32.dll: CoInitialize, CoUninitialize > SHLWAPI.dll: StrCatW, SHCreateMemStream, SHStrDupA ( 0 exports ) Zu C:\ProgramData\fsc-reg\fscreg.exe: Ich finde ProgramData nicht  Zu C:\Users\Steffi\AppData\Local\wnogogo.exe Ich finde unter Steffi auch kein AppData. Liegt das an einer anderen Bezeichnung unter Vista? Oder an mir? LG Jana |
|
06.08.2008, 23:57
| #5 |
| | Firefox und Werbefenster vielleicht unter Jana gesucht ? |
|
06.08.2008, 23:59
| #6 |
| | Firefox und Werbefenster Nein, nein, habe Vista aber auch erst seit einem Monat und bin da noch nicht so fit, ich versuchs mal mit deinen Grafiken... |
|
07.08.2008, 00:08
| #7 |
| | Firefox und Werbefenster Also weiter.... Zu C:\ ProgramData\fsc-reg\fscreg.exe Zuerst kam das: Die Datei wurde bereits analysiert: MD5: fd57509795eb9bf0d713f1a13cf28cb0 First received: 2007.12.11 13:07:03 (CET) Datum 2008.07.29 13:34:07 (CET) [>8D] Ergebnisse 2/35 Permalink: analisis/c5f5b998553166ee7d3f8e3f87fd9337 und da kam ich dann hin... Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.29.1 2008.07.29 - AntiVir 7.8.1.12 2008.07.29 - Authentium 5.1.0.4 2008.07.29 - Avast 4.8.1195.0 2008.07.29 - AVG 8.0.0.130 2008.07.29 - BitDefender 7.2 2008.07.29 - CAT-QuickHeal 9.50 2008.07.28 - ClamAV 0.93.1 2008.07.29 - DrWeb 4.44.0.09170 2008.07.29 - eSafe 7.0.17.0 2008.07.28 Suspicious File eTrust-Vet 31.6.5991 2008.07.29 - Ewido 4.0 2008.07.29 - F-Prot 4.4.4.56 2008.07.28 - F-Secure 7.60.13501.0 2008.07.29 - Fortinet 3.14.0.0 2008.07.29 - GData 2.0.7306.1023 2008.07.29 - Ikarus T3.1.1.34.0 2008.07.29 - Kaspersky 7.0.0.125 2008.07.29 - McAfee 5348 2008.07.28 - Microsoft 1.3704 2008.07.28 - NOD32v2 3306 2008.07.29 - Norman 5.80.02 2008.07.28 - Panda 9.0.0.4 2008.07.28 Suspicious file PCTools 4.4.2.0 2008.07.29 - Prevx1 V2 2008.07.29 - Rising 20.55.12.00 2008.07.29 - Sophos 4.31.0 2008.07.29 - Sunbelt 3.1.1536.1 2008.07.28 - Symantec 10 2008.07.29 - TheHacker 6.2.96.389 2008.07.25 - TrendMicro 8.700.0.1004 2008.07.29 - VBA32 3.12.8.1 2008.07.28 - ViRobot 2008.7.29.1315 2008.07.29 - VirusBuster 4.5.11.0 2008.07.28 - Webwasher-Gateway 6.6.2 2008.07.29 - weitere Informationen File size: 533264 bytes MD5...: fd57509795eb9bf0d713f1a13cf28cb0 SHA1..: c5b9a6873b2c6965ff363be42ae9ec3f1f5d2b5b SHA256: 4f8dd6d374768a8b12bc3d9520eea17927bea0af11c1cb93c973b143d5b10fac SHA512: 41fcedacc6c39a9402e10c947ea2ef9ace7269480d0919f864494467a644f6ce fd857344674e6ca6c853805e9c02e78cdc857acd94ec8bc67fe2a086b6d707d0 PEiD..: UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4d2700 timedatestamp.....: 0x47331391 (Thu Nov 08 13:48:01 2007) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x54000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x55000 0x7f000 0x7e400 8.00 27b470ff6dd0d616366ac898b6534a57 .rsrc 0xd4000 0x3000 0x2800 4.03 3cb6461ac5fd067accb6baceae48acb4 ( 12 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.dll: RegCloseKey > CRTDLL.dll: atoi > IMAGEHLP.dll: MakeSureDirectoryPathExists > MSHTML.dll: ShowHTMLDialog > OLE32.dll: CoTaskMemFree > SETUPAPI.dll: UnicodeToMultiByte > SHELL32.dll: StrStrIA > SHLWAPI.dll: SHStrDupA > urlmon.dll: CreateURLMonikerEx > USER32.dll: EnumWindows > WININET.dll: InternetCheckConnectionA ( 0 exports ) ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=fd57509795eb9bf0d713f1a13cf28cb0 packers (Kaspersky): UPX packers (F-Prot): UPX_LZMA Zu C:\Users\Steffi\AppData\Local\wnogogo.exe: wieder zuerst das: Die Datei wurde bereits analysiert: MD5: 56690d3c1d90b8b7c5131301745e8bd6 First received: 2008.07.27 16:42:45 (CET) Datum 2008.07.27 16:42:45 (CET) [>10D] Ergebnisse 3/35 Permalink: analisis/3061b51c41c91b9152bb2362f94ca795 dann das (wie oben "zeige die letzten Ergebnisse") Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - - Fortinet - - - GData - - - Ikarus - - Trojan.Win32.Skintrim.B Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - PCTools - - - Prevx1 - - Fraudulent Security Program Rising - - - Sophos - - - Sunbelt - - Malware.Win32.CodeAnalyzer!cobra (v) Symantec - - - TheHacker - - - TrendMicro - - - VBA32 - - - ViRobot - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: 56690d3c1d90b8b7c5131301745e8bd6 SHA1: c7226010e9f68cd03e69ca8dc0e10ea7f5671c9b SHA256: d68872b0322c5eb6f4090b0a50e9b26b205bd08946b8e83ee43cbf604e7b7f95 SHA512: 44273c123e0c1cbb17232a6efe472c8c013cba2d5e606917cce231f1972ad49fb3c91988cbc6e2443aa23bea2a7372313963060f8a3a2981ed1b48b3ccfe994a Gruß Steffi/Jana, suchs dir aus  |
|
07.08.2008, 00:24
| #8 |
| | Firefox und Werbefenster naja so ähnlich dachte ich mir das schon: Hast du einen fujitsu pc? ich denke die fscreg.exe und die recinfo.exe gehören zu Fujitsu. also dann mal Blacklight. den link findest du im post weiter oben. dann Malwarebytes und SUPERAntiSpyware nach anleitung ausführen und Ergebnisse posten. Morgen gehts dann weiter ok? |
|
07.08.2008, 00:25
| #9 |
| | Firefox und Werbefenster Ok, ich mach das schnell fertig und werde dann in die Federn. Vielen Dank schon mal!! LG du weißt schon wer |
|
07.08.2008, 00:27
| #10 |
| | Firefox und Werbefenster hast du denn einen Fujitsu liebe Steffi? ich frag doch nicht umsonst  |
|
07.08.2008, 00:39
| #11 |
| | Firefox und Werbefenster Ach so ja, hab ich. Sorry, hatte das als Feststellung gelesen, is ja schon spät und dabei noch eklig warm... Blacklist ist fertig: Ich hoffe ist jetzt richtig, weil hab auf "Next" gedrückt Scan targets: Hidden processes Hidden files and folders Status: Scan completed No hiddem items were found Summary: Hidden items found: 0 Items queued for renaming: 0 Nächste folgt... |
|
07.08.2008, 01:41
| #12 |
| | Firefox und Werbefenster Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1030 Windows 6.0.6001 Service Pack 1 02:39:36 07.08.2008 mbam-log-8-7-2008 (02-39-36).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 143009 Laufzeit: 52 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
07.08.2008, 09:57
| #13 |
| | Firefox und Werbefenster Zu SuperantiySpyware: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 08/07/2008 at 03:34 AM Application Version : 4.15.1000 Core Rules Database Version : 3528 Trace Rules Database Version: 1518 Scan type : Complete Scan Total Scan Time : 00:48:23 Memory items scanned : 943 Memory threats detected : 0 Registry items scanned : 6927 Registry threats detected : 0 File items scanned : 111148 File threats detected : 29 Adware.Tracking Cookie C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@adtech[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@tradedoubler[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@stat.onestat[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@im.banner.t-online[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@ar.atwola[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@ad.yieldmanager[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@ad.zanox[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@fastclick[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@advertising[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@atdmt[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@indextools[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@revsci[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@atwola[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@ad.71i[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@partners.webmasterplan[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@adfarm1.adition[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@adserver.71i[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@www.etracker[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@ar7.atwola[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@a3.adserver01[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@doubleclick[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@bs.serving-sys[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@apmebf[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@statse.webtrendslive[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@serving-sys[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@mediaplex[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@sevenoneintermedia.112.2o7[1].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@ad.labpixies[2].txt C:\Users\Steffi\AppData\Roaming\Microsoft\Windows\Cookies\steffi@2o7[1].txt |
|
07.08.2008, 18:18
| #14 |
| | Firefox und Werbefenster Hallo Steffi, also fixe mit HijackThis diesen Eintrag. R3 - URLSearchHook: (no name) - - (no file) und starte neu. dann gehts weiter... bin noch am überlegen wegen der C:\Users\Steffi\AppData\Local\wnogogo.exe hast du BitTorrent DNA bewußt installiert? ist dein avira up-to-date? hast du mal einen Fullscan mit avira gemacht (evtl. auch im abgesicherten modus)? wenn nein mach das mal bitte. |
|
07.08.2008, 18:34
| #15 |
| | Firefox und Werbefenster Öhm, Bittorrent DNA? Nö, hab ich nicht. Kann einer der anderen gewesen sein, ist aber nicht in gebrauch. Also Bittorrent generell. Ich werde gleich mal manuell avira updaten, normal macht er das täglich automatisch und danach den abgesicherten Modus starten... LG Steffi |
|
| Themen zu Firefox und Werbefenster |
| 5 minuten, antivir, antivirus, avg, avira, bho, defender, desktop, exe, fast start, firefox, frage, google, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla firefox, mozilla thunderbird, netgear, norman, picasa, programdata, rundll, senden, software, system, unnütz, urlsearchhook, vista, werbefenster, windows, windows defender, windows sidebar |
Linear-Darstellung
