|
TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt Hallo, das System meiner Freundin wurde mit Malware/AdWare unterwandert. Sie hat auf der Seite h**p://videoplay - to.com den angeblichen Codec heruntergeladen und seit einem Neustart werden die AdWords Anzeigen auf Google durch andere ausgetauscht. Desweiteren kann man nicht mehr auf die oben genannte URL zugreifen sondern wird nach h**p://ipmsg . org/ tools/ fastcopy.html.en weitergeleitet. Ich habe mir auf einem anderem System die EXE noch einmal angeschaut und AntiVir hat am Anfang nicht gemeckert. Nach einem Tag jedoch wurde in der Datei das Trojanische Pferd TR/Shakat.o.300 entdeckt, auf dem System selber findet AntiVir aber nichts. Auf virustotal.com schlagen auch einige Virusscanner an. IWie in der Anleitung beschrieben habe ich die verschiedenen Schritte ausgeführt. Nach dem ausführen von TFC.exe waren die AdWords Anzeigen für die nächsten paar Reboots wieder in Ordnung, aber nach ca. 4 Reboots wurden sie wieder ausgetauscht. Die Anzeigen werden nur im Firefox und im IE ausgetauscht. Unter ChromePlus gibt es keine Probleme. Die ausgetauschten Anzeigen gehen immer auf folgende URL: h**p://pagead2 . googlesyntication .com Mit Gmer konnte ich keine Log Datei erstellen, da das Programm nach ca. 5 Sekunden mit einem Bluescreen "BAD_POOL_HEADER" abstürzt. Vielen, vielen Dank für jede Hilfe! |
videoplay - to.com ist das die komplette seite oder ist der link gekürtzt? falls ja mal den ganzen bitte. |
Hallo, ja, das ist der gesamte link: h**p://videoplay-to.com/ . Der direkte Download der EXE ist hier zu finden: h**p://vplay-to.com/dl/?d=freeload.to |
gib mir mal ne minute zur analyse |
Aber gerne. Vielen Dank für deine Zeit! |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Combofix stürzt bei mir nach Schritt 50 beim löschen der Dateien mit dem Bluescreen "BAD_POOL_HEADER" ab. Habe es 3 Mal versucht und beim letzten Mal wirklich alle laufenden Programme beendet (auch im SysTray usw.) aber trotzdem ist das Programm abgestürzt. Ich habe allerdings eine Datei unter C mit dem Namen Combofix, jedoch sind dort nur Namen aufgelistet (siehe Anhang). |
UPDATE: Combofix scheint wohl ein versteckter Ordner zu sein mit sehr viele Dateien. Ich habe die Datei/Order gezippt und auf mediafire.com hochgeladen (ist über 6 MB groß). Vielleicht hilft es... hxxp://www.mediafire.com/?manfq57rvnrco94 |
wie siehts aus wenn du combofix im abgesicherten modus laufen lässt, ohne netzwerk verbindung, starte dazu den pc neu, drücke f8 und wähle abgesicherter modus. |
Combofix ging im abgesicherter Modus. Ich habe auch Gmer versucht, aber leider kam wieder ein Bluescreen nach ca. 5 Minuten. Combofix.txt ist angehängt |
download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
Alles ausgeführt. |
1. noch umleitungen? 2. lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Die Weiterleitungen sind immer noch aktiv. Was mir aufgefallen ist: Wenn ZoneAlarm läuft finden keine Weiterleitungen statt. Ist ZoneAlarm beendet tauchen diese wieder auf. CCleaner log ist angehängt. |
deinstaliere: Adobe Reader 9 ersetzen: Adobe - Adobe Reader herunterladen - Alle Versionen bitte den mcafee security scan nicht mit instalieren. öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken. unter update, auf instalieren stellen. klicke übernehmen /ok deinstaliere. DivxToDVD Dropbox DVD Shrink IcoFX LoudMo MailStore Microsoft Advertising Intelligence Microsoft SQL alle OutlookAddInNet3Setup PDF Blender bereinige mit dem ccleaner. surfst du immer in der sandbox? schon mal die sandbox entleert? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board