Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Avast! warnt vor JS:Downloader-DO (https://www.trojaner-board.de/76611-avast-warnt-js-downloader-do.html)

ShrewOne 21.08.2009 10:37
Avast! warnt vor JS:Downloader-DO
 
Oh man, sich auf dieser Seite zu einzuloggen macht mir irgendwie immer ein schlechtes Gewissen. Das ist so ein Gefühl wie damals, als ich meine Oma nur deshalb besuchte, um mir ein zusätzliches Taschengeld abzustauben.

Also: Ihr seid die Besten!! ;)
(war Oma übrigens auch)

Seit einiger Zeit meldet sich Avast wenn ich in Google Suchbegriffe mit Firefox 3.5 eingebe.
(PopUp mit der Option die Verb. zu trennen und am unteren Bildschirmrand dann woher der Angriff stammt) Dies sowohl unter XP SP3 als auch Win 7 RC.

Hinweis von AVAST!:
Sign of "JS:Downloader-DO [Trj]" has been found in "http://v1.adwarefeed.com/ffjs.php?u=1356109612-1935655697-1078145449-1417001333&a=303572&s=169&v=icv13040901ff&e=google&q=was+ich+gerade+eingebe\http:\\v1.adwarefeed.com\ffjs" file

Anbei die HJT-Logdatei aus Win 7 RC

ich entdecke da nix ungewöhnliches...

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:09:32, on 21.08.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Topos\cFosSpeed\cfosspeed.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MagicISO\MagicDisc\MagicDisc.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\system32\NOTEPAD.EXE
C:\Users\Ich-DAU\Desktop\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h123://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h123://abc.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h123://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h123://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h123://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h123://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-1A2B3C4D5E6F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-1A2B3C4D5E6F} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-1A2B3C4D5E6F} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-1A2B3C4D5E6F} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-1A2B3C4D5E6F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\Topos\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicISO\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-1A2B3C4D5E6F} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-1A2B3C4D5E6F} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-1A2B3C4D5E6F} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-1A2B3C4D5E6F} - C:\Program Files\IEPro\iepro.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C111060-9D10-4522-A95E-1A2B3C4D5E6F}: NameServer = 123.123.100.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C111060-9D10-4522-A95E-1A2B3C4D5E6F}: NameServer = 123.123.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C111060-9D10-4522-A95E-1A2B3C4D5E6F}: NameServer = 123.123.100.100
O18 - Protocol: wot - {C2A11A6B-CB9F-4663-88A6-1A2B3C4D5E6F} - C:\Program Files\WOT\WOT.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\Topos\cFosSpeed\spd.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Ich-DAU - C:\Program Files\BurnAware Professional\nmsaccessu.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ProtexisLicensing - Ich-DAU - C:\Windows\system32\PSIService.exe

--
End of file - 6915 bytes
Wie schlimm ist es Doktor? :(

cosinus 21.08.2009 18:36
Hallo,

das Logfile sieht okay aus- aaber:

Du weißt, dass der RC von Win7 NICHT die Finalversion ist und sehr bald (Anfang März 2010) ein totes Pferd sein wird? :rolleyes:

ShrewOne 22.08.2009 16:10
Okay, dann mal eben "out of topic"
Hi Arne,
jep, dass ist mir durchaus klar *sigh* und ich hoffe, dass ich diese Version einfach nur freischalten brauche, denn ich werde mir Win 7 auf jeden Fall kaufen. Das ist das zweite Mal, dass ich ein Betriebssystem wirklich gut finde. (Das erste war weiland "OS2 warp"(!)). Ich meine irgendwo etwas in der Richtung gelesen zu haben. Ansonsten vertraue ich voll auf die Community ;)
VISTA hatte ich irgendwann mal eine viertel Stunde auf dem Rechner. Davon war ich so genervt, dass ich es gleich wieder gelöscht habe. Derzeit läuft bei mir hauptsächlich XP pro. Die Win 7 RC habe ich zum probieren, auf einer anderen Partition. Aber so nach und nach benutze ich es immer öfter, zumal XP-Problemspiele (Fallout 3) tatsächlich nahezu ohne zicken laufen.

Was meinen Virus angeht: Ich hoffe mal, dass Avast! irgendetwas schon im Vorfelde blockt (pray!) und ich mir nicht allzu große Sorgen machen muß. Denn all die Scans mit verschiedenen Tools, die ich gemacht habe, zeigen soo gar nichts an. (Sowohl unter XP als auch 7 RC) In den gängigen Foren habe ich auch nichts wirklich interessantes gefunden, nur soviel: Dieser Trojaner "JS:Downloader-DO" ist nicht gerade der Frischeste. Habe Beiträge von 2006 entdeckt.

So, genug der netten Worte. Ich muß die Welt vorm verdursten retten! (zum zweiten Mal) Dir ein schickes WE

ShrewOne 23.08.2009 11:27
Ich habe mal einen Screenshot von dem Avast!-Hinweis gemacht. Vielleicht kann da ja jemand was mit anfangen.

NACHTRAG:

Ich habe eine Lösung gefunden , denke (hoffe) ich:

In einem engl.sprachigen Forum las ich ich von jemandem mit genau meinem Problem. Dieser schrieb, dass sich unbemerkt ein PlugIn in Firefox schreibt. Dieses PlugIn, sowie deren Registryeinträge lassen sich mit dem Tool "GooredFix" entfernen.

Ich habe dieses Programm dann im abges. Modus laufen lassen. GooredFix erstellt ein Backup des gelöschten PlugIns(?!) sowie ein Logfile (GooredFix.txt)
Leider habe ich bisher noch nichts finden köönen, was vor der Installation diese PlugIns schützt - aber immerhin!

Anbei der Inhalt dieser Datei:

Zitat:
GooredFix by jpshortstuff (12.07.09)
Log created at 12:53 on 23/08/2009 (Ich-DAU)
Firefox version 3.5.2 (de)

========== GooredScan ==========

Deleting C:\Programme\Mozilla Firefox\extensions\{108391B6-AEB1-4F1D-B49C-070262C23FCA} -> Success!

C:\Programme\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [19:01 29/07/2009]
{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} [19:01 29/07/2009]
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} [19:01 29/07/2009]
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} [19:01 29/07/2009]
{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} [22:35 08/08/2009]
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} [19:01 29/07/2009]
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} [19:01 29/07/2009]
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} [22:35 08/08/2009]
{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} [08:04 10/08/2009]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{20a82645-c095-46ed-80e3-08825760534b}"="C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [00:41 08/08/2009]
"jqs@sun.com"="C:\Programme\Java\jre6\lib\deploy\jqs\ff" [08:04 10/08/2009]

-=E.O.F=-

cosinus 23.08.2009 14:17
Zitat:
Zitat von ShrewOne (Beitrag 458484)
jep, dass ist mir durchaus klar *sigh* und ich hoffe, dass ich diese Version einfach nur freischalten brauche, denn ich werde mir Win 7 auf jeden Fall kaufen.
Da würde ich nicht drauf hoffen, denn die Finalversionen kann erhebliche Unterschiede zum RC beinhalten. Du solltest damit rechnen, neuaufsetzen zu müssen wenn Win7 RC am 02.03.10 ausläuft. :rolleyes:


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131