You are not logged in.

Thursday, July 24th 2014, 7:04pm

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

1

Sunday, February 17th 2013, 9:30am

Trojaner „Ihavenet.com“ macht Ärger

Hallo,

als Neuling begrüße ich alle Mitglieder dieses Forums und
möchte gleich zu meinem Problem kommen.

Seit einigen Wochen werde ich bei bei der Google-Suche mit
Firefox oder M-Explorar auf andere Internetseiten umgeleitet, meistens ist die
"Ihavenet.com" Seite :!:

Bei meinen Recherchen im Internet erfahre ich, dass es sich hierbei um
einen Trojaner handelt, den ich wohl eingefangen habe.

Mit meinem Antivirenprogramm (Avira, Freeware) habe ich bereits meinen Laptop
gescannt. Es wurden zwei Funde registriert (s. unten). Mein Laptop arbeitet mit
dem Betriebssystem Windows 7.

Es würde mich freuen, wenn jemand mir hierbei seine Hilfe anbieten würde.
Wäre mein Problem mit einer Systemwiederherstellung, welche das
System vor dem Auftritt des Virenproblems zurücksetzt, damit behoben?

Vielen Dank im Voraus
Gruß
Carlos94

Source code

1
2
3
4
5
6
7
8
9
10
11
12
13
Exportierte Ereignisse:

01.02.2013 16:37 [System-Scanner] Malware gefunden
  	Die Datei 'C:\Windows\SysWOW64\d3dimo.dll'
  	enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen8' [trojan].
  	Durchgeführte Aktion(en):
  	Die Datei wurde ignoriert.

01.02.2013 16:33 [Echtzeit-Scanner] Malware gefunden
  	In der Datei 'C:\Windows\SysWOW64\d3dimo.dll'
  	wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen8' [trojan] 
  	gefunden.
  	Ausgeführte Aktion: Zugriff verweigern

2

Sunday, February 17th 2013, 12:42pm

Lass mal schauen was noch bei rauskommt:

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten


Systemwiederherstellung behebt nix zuverlässig - wenn dann nur die Recovery mit zurücksetzen auf den Auslieferungszustand - dann sind aber alle deine Einstellungen und Daten verloren wenn nicht gesichert. Bitte noch abwarten.

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

3

Friday, March 1st 2013, 11:10pm

Trojaner "ihavenet.com" macht Ärger

Hallo Nighthawk,

danke, dass Du mir Deine Hilfe anbietest.

hiermit schicke ich Dir das Ergebnis des Scannvorganges.

Den Schritt mit dem "Remove selected (Ausgewähltes entfernen - damit geht alles in die Quarantäne) habe ich nicht durchgeführt, da ich nach dem Scannvorgang das Programm aus Versehen verlassen hatte, bevor ich diesen Schritt mache. Ich hoffe , dass Du dennoch etwas mit dem Ergebnis anfangen kannst.

Viele Grüße
Carlos

Source code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.01.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
*** :: ***-PC [Administrator]

01.03.2013 21:57:32
mbam-log-2013-03-01 (21-57-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 457492
Laufzeit: 45 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

http://forum.avira.com/wbb/index.php?page=User&userID=62560

4

Saturday, March 2nd 2013, 11:09am

Das liegt daran das nix gefunden wurde - also konntest du auch nix entfernen. Ist die d3dimo.dll immer noch in deinem System und wird immer noch gefunden von Antivir?

Lade dir die Software ADW Cleaner von hier: http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
Programm starten und Search wählen
Anschließend Logfile posten

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

5

Monday, March 4th 2013, 6:38pm

Trojaner "ihavenet.com" macht Ärger

Hallo Nighthawk,

danke für Deine schnelle Rückmeldung.

Hier das Suchergebnis von AWDCLEANER.

Aufgrund der Textlänge lasse ich Dir das Suchergebnis in zwei Teilen zukommen.

Viele Grüße
Carlos

1. Teil:

Source code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
# AdwCleaner v2.113 - Datei am 04/03/2013 um 18:27:58 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : *** - ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Gast\Downloads\AdwCleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
Datei Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\searchplugins\Askcom.xml
Datei Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\searchplugins\askcomsearch.xml
Datei Gefunden : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
Datei Gefunden : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\searchplugins\11-suche.xml
Ordner Gefunden : C:\Program Files (x86)\adawaretb
Ordner Gefunden : C:\Program Files (x86)\Ask.com
Ordner Gefunden : C:\Program Files (x86)\SweetIM
Ordner Gefunden : C:\Program Files (x86)\sweetpacks bundle uninstaller
Ordner Gefunden : C:\ProgramData\Ask
Ordner Gefunden : C:\ProgramData\blekko toolbars
Ordner Gefunden : C:\ProgramData\boost_interprocess
Ordner Gefunden : C:\Users\***\AppData\LocalLow\adawaretb
Ordner Gefunden : C:\Users\***\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Users\***\AppData\LocalLow\pdfforge
Ordner Gefunden : C:\Users\***\AppData\LocalLow\Search Settings
Ordner Gefunden : C:\Users\***\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\adawaretb
Ordner Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\extensions\toolbar@ask.com
Ordner Gefunden : C:\Users\***\AppData\Roaming\OpenCandy
Ordner Gefunden : C:\Users\***\AppData\Roaming\pdfforge
Ordner Gefunden : C:\Users\Gast\AppData\Local\AskToolbar
Ordner Gefunden : C:\Users\Gast\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Users\Gast\AppData\LocalLow\pdfforge
Ordner Gefunden : C:\Users\Gast\AppData\LocalLow\Search Settings
Ordner Gefunden : C:\Users\Gast\AppData\LocalLow\SweetIM
Ordner Gefunden : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\adawaretb
Ordner Gefunden : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\jetpack
Ordner Gefunden : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\SweetPacksToolbarData
Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\APN
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gefunden : HKCU\Software\Ask.com
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gefunden : HKCU\Software\pdfforge
Schlüssel Gefunden : HKCU\Software\Search Settings
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\Software\AedgePerformanceBCN
Schlüssel Gefunden : HKLM\Software\APN
Schlüssel Gefunden : HKLM\Software\AskToolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\95FA1DD41215F1249BD2EEFBF30243A5
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\B2FD9C0A5B9838449838816A28001F4B
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\EB6AF8AEEB922FA4392548F13812E50B
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\95FA1DD41215F1249BD2EEFBF30243A5
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\B2FD9C0A5B9838449838816A28001F4B
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\EB6AF8AEEB922FA4392548F13812E50B
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Schlüssel Gefunden : HKLM\Software\pdfforge
Schlüssel Gefunden : HKLM\Software\Search Settings
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKU\S-1-5-21-746099090-312496325-1089877124-1001\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Wert Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

6

Monday, March 4th 2013, 6:40pm

Ist einiges da. Bitte den ADW starten und löschen klicken - danach gibt es nen Neustart. Diese Prozedur dann nochmal - anschließend nach dem 2ten löschen das Log posten, welches du dann mit einem Scan erzeugst.

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

7

Monday, March 4th 2013, 6:43pm

Trojaner "ihavenet.com" macht Ärger

Hallo noch mal

hier Teil 2:

Source code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
-\\ Internet Explorer v8.0.7601.17514

[HKCU\Software\Microsoft\Internet
 Explorer\Main - Start Page] = 
hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?crg=3.27010003&st=12

-\\ Mozilla Firefox v19.0 (de)

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\prefs.js

Gefunden : user_pref("browser.search.defaultengine", "Ask.com");
Gefunden : user_pref("browser.search.defaultenginename", "Ask.com");
Gefunden : user_pref("browser.search.order.1", "Ask.com");
Gefunden
 : user_pref("keyword.URL", 
"hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10261&loc[...]

Datei : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\prefs.js

Gefunden : user_pref("browser.search.defaultengine", "Ask.com");
Gefunden : user_pref("browser.search.defaultenginename", "Ask.com");
Gefunden : user_pref("browser.search.order.1", "Ask.com");
Gefunden : user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://de.search.yahoo.com/search?fr=greentre[...]
Gefunden
 : user_pref("keyword.URL", 
"hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10261&loc[...]
Gefunden : user_pref("sweetim.toolbar.RevertDialog.enable", "false");
Gefunden : user_pref("sweetim.toolbar.UserSelectedSaveSettings", "true");
Gefunden : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");
Gefunden : user_pref("sweetim.toolbar.Visibility.enable", "true");
Gefunden : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");
Gefunden : user_pref("sweetim.toolbar.cargo", "3.27010003");
Gefunden : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.returnValue", "disable");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff.asp?la[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Gefunden : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]
Gefunden : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Gefunden : user_pref("sweetim.toolbar.keywordUrlGuard.enable", "false");
Gefunden : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Gefunden : user_pref("sweetim.toolbar.mode.debug", "false");
Gefunden : user_pref("sweetim.toolbar.newtab.created", "false");
Gefunden : user_pref("sweetim.toolbar.newtab.enable", "true");
Gefunden : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Gefunden : user_pref("sweetim.toolbar.rc.url", "hxxp://www.sweetim.com/simffbar/rc.html?toolbar_version=$ITEM_V[...]
Gefunden : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");
Gefunden : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Gefunden : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Gefunden : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.0.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Gefunden : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");
Gefunden : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Gefunden : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Gefunden : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Gefunden : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Gefunden : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.2.callback", "");
Gefunden : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]
Gefunden : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Gefunden : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Gefunden : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]
Gefunden
 : user_pref("sweetim.toolbar.search.external", "<?xml 
version="1.0"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Gefunden : user_pref("sweetim.toolbar.search.history.capacity", "10");
Gefunden : user_pref("sweetim.toolbar.searchguard.enable", "false");
Gefunden : user_pref("sweetim.toolbar.searchguard.initialized_by_rc", "true");
Gefunden : user_pref("sweetim.toolbar.simapp_id", "{46BF74B5-664B-11E2-9A8E-1C7508E3BFA3}");
Gefunden : user_pref("sweetim.toolbar.version", "1.9.0.0");

*************************

AdwCleaner[R1].txt - [16899 octets] - [31/01/2013 18:22:29]
AdwCleaner[R2].txt - [16184 octets] - [04/03/2013 18:27:58]

########## EOF - \AdwCleaner[R2].txt - [16245 octets] ##########

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

9

Tuesday, March 5th 2013, 7:43pm

Trojaner ihavenet

Hallo Nighthawk,

ich habe den Vorgang "Löschen" mit dem AWDCLEANER zwei
Mal durchgeführt. Jedes Mal wurde der PC neu gestartet. Leider kann ich nach
dem 2ten Löschen kein Log finden. Wo wird es abgelegt? Wie kann ich ein Log mit
Scan erzeugen? Mit welchem Programm?




Bitte mir Anweisungen geben.





schöne Grüße
Carlos

10

Tuesday, March 5th 2013, 7:58pm

Hallo,

Mit "Rootkit.Win32.Podnuha" ist nicht zu Spaßen -> Neuaufsetzen. (http://www.systemlookup.com/CLSID/67003-D3DIMo_dll.html)

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 17 64 Bit Cinnamon

  • Send private message

11

Tuesday, March 5th 2013, 8:09pm

@Gary - wo siehst Du diesen Schädling? 8|
Ceterum censeo Avira Forum non esse delendam.

12

Tuesday, March 5th 2013, 8:11pm

Bitte ADW starten und neu scannen - dann Bericht posten :).

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

13

Tuesday, March 5th 2013, 8:42pm

ihavenet

Hallo,

hier das Scanergebnis.

Gruß
Carlos

Source code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
# AdwCleaner v2.114 - Datei am 05/03/2013 um 20:36:00 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : ***- ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Gast\Downloads\AdwCleaner(1).exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\searchplugins\Askcom.xml
Ordner Gefunden : C:\Program Files (x86)\Ask.com
Ordner Gefunden : C:\ProgramData\boost_interprocess
Ordner Gefunden : C:\Users\***\AppData\Local\Temp\AskSearch
Ordner Gefunden : C:\Users\***\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\extensions\toolbar@ask.com
Ordner Gefunden : C:\Users\Gast\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\jetpack
Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\APN
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gefunden : HKCU\Software\Ask.com
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\Software\APN
Schlüssel Gefunden : HKLM\Software\AskToolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\ScriptHost.Tool
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\ScriptHost.Tool.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Wert Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE

-\\ Mozilla Firefox v19.0 (de)

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\5kmptlmf.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\7eu9ndwh.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [16899 octets] - [31/01/2013 18:22:29]
AdwCleaner[R2].txt - [16282 octets] - [04/03/2013 18:27:58]
AdwCleaner[R3].txt - [1653 octets] - [05/03/2013 19:12:08]
AdwCleaner[R4].txt - [4576 octets] - [05/03/2013 20:36:00]
AdwCleaner[S1].txt - [332 octets] - [04/03/2013 18:45:44]
AdwCleaner[S2].txt - [16337 octets] - [04/03/2013 18:48:06]
AdwCleaner[S3].txt - [1315 octets] - [04/03/2013 18:52:59]
AdwCleaner[S4].txt - [1721 octets] - [05/03/2013 19:12:45]
AdwCleaner[S5].txt - [1448 octets] - [05/03/2013 19:19:04]

########## EOF - \AdwCleaner[R4].txt - [4936 octets] ##########

14

Tuesday, March 5th 2013, 9:37pm

Bitte nicht zwischendrin Toolbars wieder installieren - alles immer schön nach dem anderen - aber gut. ADW starten und deinstallieren. Dann:

Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link. "

15

Tuesday, March 5th 2013, 10:05pm

naja schaut doch mal auf die ursprünglichen Funde von Avira. Denke das das etwa gefährlicher ist,oder irre ich ?

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 17 64 Bit Cinnamon

  • Send private message

16

Tuesday, March 5th 2013, 10:10pm

@Gary: Bitte zeige explizit diesen Fund - ansonsten lass bitte Nighthawk weitermachen. Danke.
Ceterum censeo Avira Forum non esse delendam.

takko

Unregistered

17

Tuesday, March 5th 2013, 10:39pm

Zur Information Crossposting, start 01.02.2013: >>> http://www.trojaner-board.de/130464-troj…cht-aerger.html

boston

Community member

Date of registration:
Mar 25th 2008

  • Send private message

18

Tuesday, March 5th 2013, 11:06pm

hallo,
das ist doch der spaß, der insbesondere durch die goingonearth-umleitungen bekannt geworden ist.
hier der passende job C:\Windows\tasks\ZMBEOY.job zur dll C:\Windows\SysWow64\d3dimo.dll.
gary liegt mit der einordnung des schädlings zwar nicht richtig, aber imo wäre der saubere neuanfang auch nicht verkehrt.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

19

Wednesday, March 6th 2013, 2:39pm

Hallo

Bei Crosspostings und auch After Crossing bitte uns nicht im Dunkeln herumführen ..
das sollte eigentlich klar sein .. oder ? -


Das Neuaufsetzen des Systems kann hier äußert vorteilhaft sein........

Gruss Rajo

  • "carlos94" started this thread

Date of registration:
Feb 17th 2013

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

20

Wednesday, March 6th 2013, 7:26pm

Trojaner "ihavenet.com" macht Ärger

Hallo Nighthawk,

hier den geforderten Link.

Gruß
Carlos

http://www.file-upload.net/download-7294…kument.rtf.html