Trojaner-Board - Pop-ups mit Werbung im Firefox

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop-ups mit Werbung im Firefox (https://www.trojaner-board.de/71464-pop-ups-werbung-firefox.html)

Pop-ups mit Werbung im Firefox

Hi,
seit das letzte Firefox-Update installiert wurde (Zufall?) öffnen sich trotz aktiviertem Popup-Blocker einfach Seiten mit Werbung, zB Quelle, auch wenn ich auf Seiten ohne Werbung surfe.

Ich habe schon von ähnlichen Fällen, auch hier im Forum, gelesen, aber keine richtige Lösung gefunden. MEist ist von einem spezifischen Problem mit Mal- oder Spyware die Rede.

Habe von diesem Thema wenig Ahnung, aber da ich hier davon gelesen habe Malewarebyte, Spybot und Antivir durchlaufen lassen. Gab auch einen Fund bei Malewarebyte, aber das Problem besteht trotzdem noch.

Also poste ich hier mal mein Hijack-Log und hoffe ihr könnt mir helfen:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:57:47, on 28.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

E:\Programme\DAEMON Tools\daemon.exe

E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Lexmark X1100 Series\lxbkbmon.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\kcakysq.exe

E:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

e:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

H:\Downloads\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [DAEMON Tools] "e:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [kcakysq] "c:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\kcakysq.exe" kcakysq

O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: h**p://asia.msi.com.tw

O15 - Trusted Zone: h**p://global.msi.com.tw

O15 - Trusted Zone: h**p://www.msi.com.tw

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - h**p://liveupdate.msi.com.tw/autobios/LOnline/install.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
 

--

End of file - 7262 bytes

Hoffentlich habe ich alles richtig gemacht und danke schonmal, für eure (am besten leicht verständlichen^^) Antworten

Hallo und :hallo:

Zitat:

Gab auch einen Fund bei Malewarebyte, aber das Problem besteht trotzdem noch.

poste bitte das Log von MBAM hierher.
Hast du vor Auftreten der Popups Software installiert?

Überprüfe dein System mit Navilog

Zitat:

Bitte lade Dir Navilog von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

poste bitte das entstandene Log hierher, dann sehen wir weiter.

MFG

Zitat:

c:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\

Bitte diese Datei auf www.virustotal.com/de überprüfen lassen und Ergebnis hier posten

TIPP: Gehe auf Ordneroptionen und lasse ALLE ORDER anzeigen (Auch versteckte)

kcakysq.exe hört sich für mich nach Virus an! Vor allem, weil sich normalerweise in diesem Order keine .exe Datei befindet

:kloppen:Lass und den Virus umhauen:kloppen:

Ob ich Software installiert habe weiß ich nicht mehr genau, das Problem besteht schon ca. seit nem Monat, also seit dem Firefox-Update, aber da wird wohl kein Virus drin gewesen sein.

Ich hab Malewarebyte leider deinstalliert und nur noch Spybot drauf, werde aber nach Bedarf Malewarebyte nochmal durchlaufen lassen.

Hab jetzt die kcakysq.exe hochgeladen und das ist das Ergebnis:

Code:

Datei kcakysq.exe empfangen 2009.03.28 12:58:52 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 1/39 (2.57%)
 

McAfee-GW-Edition        6.7.6        2009.03.28        Trojan.LooksLike.Dropper

Soll ich das jetzt mit hijckthis fixen?

In dem Ordner waren auch noch 3 ?NeroShowTime.Files9.dat? Dateien mit ähnlichem, bzw. eine mit gleichem Namen.

Hallo

überprüfe das System mit Navilog und poste den Bericht bitte hierher.

MFG

Code:

Search Navipromo version 3.7.6 began on 28.03.2009 at 16:02:37,89
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )

BIOS : Default System BIOS

USER : Daniel ( Administrator )

BOOT : Normal boot
 

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
 
 

C:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)

D:\ (CD or DVD)

E:\ (Local Disk) - NTFS - Total:195 Go (Free:134 Go)

F:\ (Local Disk) - NTFS - Total:53 Go (Free:50 Go)

G:\ (CD or DVD)

H:\ (Local Disk) - NTFS - Total:124 Go (Free:40 Go)

Z:\ (Local Disk) - NTFS - Total:24 Go (Free:24 Go)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Daniel\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\******~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\******~1\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Daniel\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\******~1\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\******~1\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"kcakysq"="\"c:\\dokumente und einstellungen\\daniel\\lokale einstellungen\\anwendungsdaten\\kcakysq.exe\" kcakysq"
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" : 
 

kcakysq.exe found !

kcakysq.dat found !

kcakysq_nav.dat found !

kcakysq_navps.dat found !
 

* In "C:\DOKUME~1\******~1\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search others known folders and files :
 
 
 

*** Search completed on 28.03.2009 at 16:04:04,46 ***

Also hier wurde auch dieses kcakysq gefunden, wie soll ich das jetzt entfernen?

Nochmal NaviLog diesmal mit der Option [2]

und nochmal posten

Code:

Navipromo Removal version 3.7.6 started on 28.03.2009 at 16:14:29,81
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )

BIOS : Default System BIOS

USER : Daniel ( Administrator )

BOOT : Normal boot
 

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
 
 

C:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)

D:\ (CD or DVD)

E:\ (Local Disk) - NTFS - Total:195 Go (Free:134 Go)

F:\ (Local Disk) - NTFS - Total:53 Go (Free:50 Go)

G:\ (CD or DVD)

H:\ (Local Disk) - NTFS - Total:124 Go (Free:40 Go)

Z:\ (Local Disk) - NTFS - Total:24 Go (Free:24 Go)
 
 

Automatic removal 

with Catchme and GNS results
 
 

Cleanning stage done on Reboot
 

 

*** fsbl1.txt not found ***

(Check that Catchme found nothing in Search Mode)

 
 

*** Deleting with Backups GenericNaviSearch results ***
 

* Deletion in "C:\WINDOWS\System32" *
 
 

* Deletion in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" * 
 
 

* Deletion in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * 
 
 

*** Deleting folders in "C:\WINDOWS" ***
 
 

*** Deleting folders in "C:\Programme" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Daniel\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ELISAB~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Daniel\startm~1\progra~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ELISAB~1\startm~1\progra~1" *** 
 
 
 

*** Deleting files ***
 
 

*** Deleting temporary files ***
 

Cleaning of C:\WINDOWS\Temp done !

Cleaning of C:\Dokumente und Einstellungen\Daniel\lokale~1\Temp done !
 

*** Complementary Search ***

(Search specific files)
 

1)Deletion with backups new Instant Access files:
 

2)Heuristic search and deletion with backups :
 
 

* In "C:\WINDOWS\system32" *
 
 

C:\WINDOWS\prefetch\kcakysq*.pf found ! 

Copy C:\WINDOWS\prefetch\kcakysq*.pf done !

C:\WINDOWS\prefetch\kcakysq*.pf deleted !
 
 

* In "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" * 
 
 

kcakysq.exe found ! 

Copy kcakysq.exe done !

kcakysq.exe deleted !
 

kcakysq.dat found ! 

Copy kcakysq.dat done !

kcakysq.dat deleted !
 

kcakysq_nav.dat found ! 

Copy kcakysq_nav.dat done !

kcakysq_nav.dat deleted !
 

kcakysq_navps.dat found ! 

Copy kcakysq_navps.dat done !

kcakysq_navps.dat deleted !
 
 

* In "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * 
 
 
 

*** Copy Registry to Safebackup folder ***
 

Backing up Registry done !
 

*** Cleaning Registry ***
 

Registry cleaned
 
 

*** Certificates ***
 

Egroup Certificate not found !

Electronic-Group Certificate not found !

Montorgueil Certificate not found !

OOO-Favorit Certificate not found !

Sunny-Day-Design-Ltd Certificate not found !
 

*** Search others known folders and files ***
 
 
 

*** Cleaning stage complete on 28.03.2009 at 16:17:08,25 ***

Ist es damit geschafft?

Hallo

sieht so aus, was machen die Popups?

MFG

Bis jetzt sind keine erschienen und das schon, vorher wären in dieser Zeit mindestens 10 gekommen.

Ich danke auch für eure Hilfe, klasse Board. Jetzt weiß ich, wo ich in solchen Fragen Hilfe finde. Den Spybot-Schutz werde ich jetzt neben Antivir laufen lassen.

Also danke nochmal!! mir wurde geholfen und Thema kann geschlossen werden.