Zitat:

das Overlay kommt noch immer.

Nur im FF, IE oder in allen Browsern?

Sowohl im IE als auch im soeben frisch installierten FF...
EDIT: Habe soeben von Ashampoo.com eine Mail bekommen, zumindest weiß ich jetzt, wie die an meine Mailadresse gekommen sind...

Zitat:

[...]Hacker verschafften sich Zugriff auf einen unserer Server.[...]
[...]Es handelt sich bei den gestohlenen Informationen um Adressdaten wie Name und E-Mail-Adresse.[...]
[...]Das Unternehmen PurelyGadgets hat z.B. über Facebook bekanntgegeben, dass ihre Server zum Versand von fingierten Bestellbestätigungen genutzt wurden. Die E-Mails enthalten ein manipuliertes PDF-Dokument im Anhang, welches offenbar eine Sicherheitslücke ausnutzt, um schadhaften Code nachzuladen, sobald man das PDF versucht zu öffnen.[...]

Quelle: hxxp://www.ashampoo.com/de/eur/dth

Exakt diese Email von PurelyGadgets habe ich bekommen...

Hier die Infos zur pdf selbst:
hxxp://www.virustotal.com/file-scan/report.html?id=e6413b226f18f1832cacab266bebeccbe7948a613fc27a3d302283a51e938713-1302905111

System neu aufsetzen? Scheint sich schon tief eingebuddelt zu haben das Mistvieh.

Und diese LayerAds im Browser haben genau was mit den Mails von Ashampoo zu tun? Hast du über Software vonAshampoo installiert?

Hallo Arne...

Zitat:

Zitat von cosinus

Und diese LayerAds im Browser haben genau was mit den Mails von Ashampoo zu tun? Hast du über Software vonAshampoo installiert?

Nein, aber ich war mal Kunde von Ashampoo. Von deren Server sind Emailadressen geklaut worden und sie gehen lustigerweise in ihrer Stellungnahme genau auf den Vorfall mit PurelyGadgets ein. In deren Namen wiederum sind besagte Emails mit der Exploit-PDF verschickt worden, deren Opfer auch ich geworden bin. Ich dachte, dass diese Zusatzinfo evtl. nützlich sein könnte.

Unabhängig davon, gibt es noch etwas, das ich probieren könnte? Mittlerweile werden auf dem befallenen System Downloads aktiv ausgebremst und Avira ist z.B. nicht in der Lage, das Onlineupdate zu ziehen.

Seh ich das richtig, das dieses Overlay nur von einem aktiven und versteckten Prozess kommen kann, bzw. ggf. auch ein infizierter systemeigener Prozess, der von den Scannern als vertrauenswürdig eingestuft wird?

Neu aufsetzen wäre wohl das vernünftigste, oder? Reicht es dabei die System- und die Programme-Partition zu löschen und neu anzulegen, oder sollte ich besser meine Datenpartitionen ebenfalls neu anlegen?

Die Daten würde ich auf eine USB-HDD ziehen, sollte ich dabei unbedingt etwas beachten, an das ich gerade nicht denke?

Irgendwie hast du meine Frage noch nicht richtig beantwortet. Aber kannst du eh sein lassen, wenn du formatieren willst...

Du hast Recht, den lezten Schritt habe ich vergessen: Das Overlay ist aufgetreten, nachdem ich die verseuchte PDF aus der gefakten PurelyGadgets-Mail geöffnet habe, die scheinbar an die vom Ashampoo-Server geklauten Emailadressen geschickt worden ist.
Oder meintest du eine andere Frage?

Du hast dich schon viel mit meinem Problem beschäftigt, dafür möchte ich danke sagen.
Siehst du noch eine Möglichkeit, die am Formatieren vorbei führt? Wo könnte das Overlay seinen Ursprung haben? Ich verstehe nicht, wie es auch im frisch installierten FF sofort auftauchen kann. Wie ist das möglich?

Ist das Overlay denn nur beim Firefox da?
Wenn ja, erstell mal ein neues Profil im Firefox. Den FF neu zu installieren bringt nichts.

Ach die Frage meintest du. Die hab ich bereits im Post nach deiner Frage beantwortet.

Zitat:

Sowohl im IE als auch im soeben frisch installierten FF...

Poste nochmal frische OTL-Logs.

Sie bestellen, wir liefern prompt...

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2011.04.20 21:34:02 | 000,000,000 | ---D | C] -- C:\ProgramData\REPORTS
[2011.04.20 21:34:02 | 000,000,000 | ---D | C] -- C:\ProgramData\LOGFILES
[2011.04.20 21:34:02 | 000,000,000 | ---D | C] -- C:\ProgramData\INFECTED
[2011.04.21 02:34:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions
[2011.04.21 02:34:19 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
O4 - HKCU..\Run: [Advlib] C:\Users\Heiko\AppData\Roaming\Dvdpack\modfree.exe ()
[2011.04.19 20:13:28 | 000,000,000 | ---D | C] -- C:\Users\Heiko\AppData\Local\temp
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Mir ist noch was aufgefallen: taskeng.exe ist zweimal gestartet, ist das im Rahmen des Möglichen bei einem nicht infizierten System?

Hier das OTL-Log:

All processes killed
========== OTL ==========
C:\ProgramData\REPORTS folder moved successfully.
C:\ProgramData\LOGFILES folder moved successfully.
C:\ProgramData\INFECTED folder moved successfully.
C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults\preferences folder moved successfully.
C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults folder moved successfully.
C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\chrome folder moved successfully.
C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully.
C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions folder moved successfully.
Folder C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Advlib deleted successfully.
C:\Users\Heiko\AppData\Roaming\Dvdpack\modfree.exe moved successfully.
C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780}\en-us folder moved successfully.
C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780}\de-de folder moved successfully.
C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780} folder moved successfully.
C:\Users\Heiko\AppData\Local\temp\WPDNSE folder moved successfully.
C:\Users\Heiko\AppData\Local\temp\Low folder moved successfully.
C:\Users\Heiko\AppData\Local\temp folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Heiko
->Temporary Internet Files folder emptied: 4907195 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 12988501 bytes
->Flash cache emptied: 456 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2115372 bytes
RecycleBin emptied: 270479 bytes

Total Files Cleaned = 19,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04222011_124915

Files\Folders moved on Reboot...
File\Folder C:\Users\Heiko\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VEU39YWB\ads[1].htm not found!

Registry entries deleted on Reboot...

taskeng sollte ok sein => taskeng.exe Windows Prozess - Was ist das?

Sind die Overlays im Browser noch da? Windows hastdu neu gestartet?

Windows habe ich durchgestartet, ja. Das Overlay ist weg, in beiden Browsern. OSAM hat allerdings schon wieder uxldypow.sys gefunden:

uxldypow C:\Users\Heiko\AppData\Local\Temp\uxldypow.sys

Was mich auch etwas wundert: In der Dienstliste wird der getPlusHelper angezeigt, das Modul kann aber nicht gefunden werden und der übliche Adobe-Pfad (C:/Programme/NOS) ist auch nicht vorhanden. Eine Datenleiche?