Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   not-a-virus:AdWare.Win32.Softomate.u (https://www.trojaner-board.de/34576-not-a-virus-adware-win32-softomate-u.html)

nasher 20.12.2006 21:07
not-a-virus:AdWare.Win32.Softomate.u
 
Hallo mein AVK zeigt folgende Meldung an: not-a-virus:AdWare.Win32.Softomate.u.

Die Dateien befinden sich in diesem Ordner C:\Programme\Gemeinsame Dateien\{10B9E5BD-07CF-1031-0113-060707060031}.

Es sind zwei Dateien einmal update.exe und system.dll.

Die Update.exe schreibt sich immer wieder in autostart.

Hab schon versucht im abgesicherten Modus, ohne Systemwiederherstellung zu löschen, kein Erfolg.

Virustotal zeigt nichts an.

Logfile of HijackThis v1.99.1
Scan saved at 21:03:30, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\svchosts.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Spybot - Search & Destroy\TeaTimer.exe
C:\Free Download Manager\fdm.exe
C:\Skype\Phone\Skype.exe
C:\Programme\Eraser\eraser.exe
C:\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\SEAMON~1\SEAMON~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WinRAR\WinRAR.exe
C:\DOKUME~1\Andi\LOKALE~1\Temp\Rar$EX00.204\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Free Download Manager\iefdmcks.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [{10B9E5BD-07CF-1031-0113-060707060031}] "C:\Programme\Gemeinsame Dateien\{10B9E5BD-07CF-1031-0113-060707060031}\Update.exe" mc-110-12-0001291
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Skype] "C:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\eBay\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\jre1.5.0_06\bin\npjpi150_06.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155815801562
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A778E73-0EDA-450C-95A4-0D6164829723}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAF32314-4B00-4B77-BBDC-0BE029D9ACAB}: NameServer = 192.168.1.1
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0001291 (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe


Ich habe es auch schon mit Killbox, regclener versucht, kann den Ordner nicht löschen.

Hoffentlich kann mir jemand helfen. Hoffentlich muß ich nicht System neu aufsetzen.

felix1 20.12.2006 21:46
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

nasher 21.12.2006 19:22
Result: 4 malware found
Stealth_file (hidden item)

* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\FOLDER LOCK\FOLDER LOCK.LNK (Submitted)
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\FOLDER LOCK\UNINSTALL FOLDER LOCK.LNK (Submitted)
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\FOLDER LOCK\USER'S GUIDE.LNK (Submitted)
* C:\SCCFG.SYS (Submitted)

Statistics
Scanned:

* Files: 33259
* System: 4282
* Not scanned: 6

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 4
* Submitted: 4

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\DTSCSI.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\VAXSCSI.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\PROGRAMME\GEMEINSAME DATEIEN\{10B9E5BD-07CF-1031-0113-060707060031}\SYSTEM.DLL

Options
Scanning engines:

* F-Secure Libra: 2.4.2, 2006-12-21
* F-Secure AVP: 7.0.171, 2006-12-21
* F-Secure Orion: 1.2.37, 2006-12-21
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Draco: 1.0.35, 0260-02-44
* F-Secure Pegasus: 1.19.0, 2006-11-19

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics




+ Scan-Ergebnis:



:mozilla.22:H:\mozilla neu 290805\Mozilla 1.7.12 (en) - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Fehler während der Säuberung.
:mozilla.22:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Fehler während der Säuberung.
:mozilla.22:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails2 - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Fehler während der Säuberung.
:mozilla.22:H:\mozilla neu 290805\fgcmzgde280706.slt\cookies.txt -> TrackingCookie.Adnet : Gesäubert.
:mozilla.23:H:\mozilla neu 290805\Mozilla 1.7.12 (en) - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Fehler während der Säuberung.
:mozilla.23:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Fehler während der Säuberung.
:mozilla.23:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails2 - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Fehler während der Säuberung.
:mozilla.23:H:\mozilla neu 290805\fgcmzgde280706.slt\cookies.txt -> TrackingCookie.Adnet : Gesäubert.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.39:H:\mozilla neu 290805\Mozilla 1.7.12 (en) - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Fehler während der Säuberung.
:mozilla.39:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Fehler während der Säuberung.
:mozilla.39:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails2 - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Fehler während der Säuberung.
:mozilla.39:H:\mozilla neu 290805\fgcmzgde280706.slt\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.8:H:\mozilla neu 290805\Mozilla 1.7.6 - 29.08.2005.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Fehler während der Säuberung.
:mozilla.8:H:\mozilla neu 290805\fgcmzgde.slt\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.


::Berichtende

Sobald diese Datei C:\Programme\Gemeinsame Dateien\{10B9E5BD-07CF-1031-0113-060707060031} gescannt wird, geht der AVK 2006 an und der jeweilige Scanner geht erst wieder, wenn ich mit AVK die Datei lösche oder in Quarantäne verschiebe

nasher 21.12.2006 20:35
Darf ich jetzt noch Passwörter benutzen, oder soll ich es lassen.
Brauche morgen umbedingt einen funktionierenden PC.

thx

felix1 21.12.2006 21:17
Wo ist das Ergebnis von F-Secure Blacklight?
Stelle mal beim Scannen AVK 2006 ab.

nasher 21.12.2006 22:30
Habe F-Secure BlackLight Beta runtergeladen und ausgeführt. Wo find ich das Logfile.

nochdigger 21.12.2006 22:36
mOIn

das log sieht etwa so aus fsbl-20061221214051.log und befindet sich im selben Ordner wie Blacklight auch.

MFG

Nabend Felix:party:

nasher 21.12.2006 22:43
thx habs gefunden:

12/21/06 22:10:23 [Info]: BlackLight Engine 1.0.47 initialized
12/21/06 22:10:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/21/06 22:10:25 [Note]: 7019 4
12/21/06 22:10:25 [Note]: 7005 0
12/21/06 22:10:34 [Note]: 7006 0
12/21/06 22:10:34 [Note]: 7011 228
12/21/06 22:10:34 [Note]: 7026 0
12/21/06 22:10:35 [Note]: 7026 0
12/21/06 22:10:43 [Note]: FSRAW library version 1.7.1020
12/21/06 22:10:45 [Info]: Hidden file: c:\sccfg.sys
12/21/06 22:10:45 [Note]: 10002 1
12/21/06 22:33:44 [Note]: 7007 0

und hier noch mal ewido

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 22:47:03 21.12.2006

+ Scan-Ergebnis:



:mozilla.22:H:\mozilla neu 290805\Mozilla 1.7.12 (en) - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.22:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.22:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails2 - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.23:H:\mozilla neu 290805\Mozilla 1.7.12 (en) - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.23:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.23:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails2 - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.39:H:\mozilla neu 290805\Mozilla 1.7.12 (en) - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.39:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.39:H:\mozilla neu 290805\Mozilla 1.7.12 (en) ohne mails2 - 28.07.2006.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.8:H:\mozilla neu 290805\Mozilla 1.7.6 - 29.08.2005.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.


::Berichtende

AVK war aus

felix1 21.12.2006 22:59
Schalte den AVK wieder ein und berichte, ob er wieder meckert.

nasher 21.12.2006 23:10
AVK zeigt nichts mehr an kann den Ordner jetzt auch löschen und im Systemstart ist auch nichts mehr.

Hab zwar keine Ahnung was ich jetzt eigentlich gemacht habe, aber es scheint wieder sauber zu sein.

Vielen Dank für eure(deine) Hilfe.

Soll ich meine Passwörter ändern?


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131