TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt

killerboy · 17.02.2011, 11:56

Hallo,

das System meiner Freundin wurde mit Malware/AdWare unterwandert. Sie hat auf der Seite h**p://videoplay - to.com den angeblichen Codec heruntergeladen und seit einem Neustart werden die AdWords Anzeigen auf Google durch andere ausgetauscht. Desweiteren kann man nicht mehr auf die oben genannte URL zugreifen sondern wird nach h**p://ipmsg . org/ tools/ fastcopy.html.en weitergeleitet.

Ich habe mir auf einem anderem System die EXE noch einmal angeschaut und AntiVir hat am Anfang nicht gemeckert. Nach einem Tag jedoch wurde in der Datei das Trojanische Pferd TR/Shakat.o.300 entdeckt, auf dem System selber findet AntiVir aber nichts. Auf virustotal.com schlagen auch einige Virusscanner an.

IWie in der Anleitung beschrieben habe ich die verschiedenen Schritte ausgeführt. Nach dem ausführen von TFC.exe waren die AdWords Anzeigen für die nächsten paar Reboots wieder in Ordnung, aber nach ca. 4 Reboots wurden sie wieder ausgetauscht.

Die Anzeigen werden nur im Firefox und im IE ausgetauscht. Unter ChromePlus gibt es keine Probleme.

Die ausgetauschten Anzeigen gehen immer auf folgende URL: h**p://pagead2 . googlesyntication .com

Mit GMER konnte ich keine Log Datei erstellen, da das Programm nach ca. 5 Sekunden mit einem Bluescreen "BAD_POOL_HEADER" abstürzt.

Vielen, vielen Dank für jede Hilfe!

markusg · 17.02.2011, 12:19

videoplay - to.com
ist das die komplette seite oder ist der link gekürtzt? falls ja mal den ganzen bitte.

killerboy · 17.02.2011, 12:31

Hallo,

ja, das ist der gesamte link: h**p://videoplay-to.com/ . Der direkte Download der EXE ist hier zu finden: h**p://vplay-to.com/dl/?d=freeload.to

markusg · 17.02.2011, 12:34

gib mir mal ne minute zur analyse

killerboy · 17.02.2011, 12:35

Aber gerne. Vielen Dank für deine Zeit!

markusg · 17.02.2011, 12:42

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

killerboy · 17.02.2011, 13:26

Combofix stürzt bei mir nach Schritt 50 beim löschen der Dateien mit dem Bluescreen "BAD_POOL_HEADER" ab. Habe es 3 Mal versucht und beim letzten Mal wirklich alle laufenden Programme beendet (auch im SysTray usw.) aber trotzdem ist das Programm abgestürzt.

Ich habe allerdings eine Datei unter C mit dem Namen Combofix, jedoch sind dort nur Namen aufgelistet (siehe Anhang).

killerboy · 17.02.2011, 13:55

UPDATE: Combofix scheint wohl ein versteckter Ordner zu sein mit sehr viele Dateien. Ich habe die Datei/Order gezippt und auf mediafire.com hochgeladen (ist über 6 MB groß). Vielleicht hilft es...

hxxp://www.mediafire.com/?manfq57rvnrco94

markusg · 17.02.2011, 15:17

wie siehts aus wenn du combofix im abgesicherten modus laufen lässt, ohne netzwerk verbindung, starte dazu den pc neu, drücke f8 und wähle abgesicherter modus.

killerboy · 17.02.2011, 16:50

Combofix ging im abgesicherter Modus. Ich habe auch GMER versucht, aber leider kam wieder ein Bluescreen nach ca. 5 Minuten. Combofix.txt ist angehängt

markusg · 17.02.2011, 17:09

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

killerboy · 17.02.2011, 22:04

Alles ausgeführt.

markusg · 18.02.2011, 10:40

1. noch umleitungen?
2.
lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

killerboy · 18.02.2011, 12:28

Die Weiterleitungen sind immer noch aktiv. Was mir aufgefallen ist: Wenn ZoneAlarm läuft finden keine Weiterleitungen statt. Ist ZoneAlarm beendet tauchen diese wieder auf.

CCleaner log ist angehängt.

markusg · 18.02.2011, 13:06

deinstaliere:

Adobe Reader 9
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
DivxToDVD
Dropbox
DVD Shrink
IcoFX
LoudMo
MailStore
Microsoft Advertising Intelligence
Microsoft SQL alle
OutlookAddInNet3Setup
PDF Blender
bereinige mit dem ccleaner.
surfst du immer in der sandbox? schon mal die sandbox entleert?

17.02.2011, 12:19	#2
markusg /// Malware-holic	TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt videoplay - to.com ist das die komplette seite oder ist der link gekürtzt? falls ja mal den ganzen bitte. __________________ __________________

17.02.2011, 12:34	#4
markusg /// Malware-holic	TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt gib mir mal ne minute zur analyse __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

17.02.2011, 12:42	#6
markusg /// Malware-holic	TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ --> TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt

TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt

Plagegeister aller Art und deren Bekämpfung: TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt