Western Union als Startseite

    Guten Tag,
    auch ich habe seit gestern das Problem, dass auf meiner Firefox Startseite Western Union abgebildet ist. Da ich die posts hier gelesen habe, habe ich direkt mal einen Virenscan gemacht und habe bemerkt dass ich den Virus c..\plugin-jtbwxndpiugqcry5.pdf auf mein Laptop bekommen habe und es in Quarantäne verschoben. Als ich heute mich bei hotmail.de anmelden wollte war anstatt des Buttons " Anmelden" das Button " Daten versenden" zu sehen.. Bei meinem Profil user,js kam dies raus :

    user_pref("network.cookie.cookieBehavior", 0);
    user_pref("privacy.clearOnShutdown.cookies", false);
    user_pref("security.warn_viewing_mixed", false);
    user_pref("security.warn_viewing_mixed.show_once", false);
    user_pref("security.warn_submit_insecure", false);
    user_pref("security.warn_submit_insecure.show_once", false);
    user_pref("browser.startup.homepage", "http://www.westernunion.de/");
    user_pref("browser.startup.page", 1);

    und bei der der Untersuchung mit Malwarebytes kam dies raus :


    Malwarebytes' Anti-Malware 1.51.2.1300
    http://www.malwarebytes.org

    Datenbank Version: 7973

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    18.10.2011 16:58:28
    mbam-log-2011-10-18 (16-58-21).txt

    Art des Suchlaufs: Flash-Scan
    Durchsuchte Objekte: 147260
    Laufzeit: 48 Sekunde(n)

    Infizierte Speicherprozesse: 1
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 1
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 1

    Infizierte Speicherprozesse:
    c:\Users\freakiish\AppData\Roaming\Hoen\koolyfx.exe (Spyware.Passwords.XGen) -> 2380 -> No action taken.

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{4155063D-4674-4926-C500-DEC576D8B82A} (Spyware.Passwords.XGen) -> Value: {4155063D-4674-4926-C500-DEC576D8B82A} -> No action taken.

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    c:\Users\freakiish\AppData\Roaming\Hoen\koolyfx.exe (Spyware.Passwords.XGen) -> No action taken.


    Soll ich jetzt nun mein Windows neu installieren oder soll ich direkt zum Profi? Könnt ihr mir villeicht helfen X( ? Viel dank im Vorraus :)

    Hallo Filos24,

    statt eines Flash-Scans wäre ein Full-Scan aussagekräftiger gewesen. Aber wie es aussieht, würde das deine Situation in einem noch schlechteren Licht erscheinen lassen.


    Code
    c:\Users\freakiish\AppData\Roaming\Hoen\koolyfx.exe


    Lade diese Datei bitte bei VirusTotal.com hoch und poste den Link zu dem Analyseergebnis. - Und bitte nichts löschen!!

    gruß,
    docc

    Danke für die schnelle Antwort. Ja sorry ich habe Flash Scan mit Full Scan verwechselt x) Ich hab versucht die Datei circa 9x auf der Seite VirusTotal.com hochzuladen, geht leider nicht.. Bei 99.9% stoppt es und zeigt danach ne Fehlermeldung an Ich bring mein Laptop einfach morgen früh zum Profi danke nochmals für ihre Hilfe :)

    Versuche bitte mal die Datei hier hochzuladen: http://virscan.org/

    Es würde hier vielen helfen, wenn wir wenigstens eine Datei komplett analysieren könnten.

    Bislang wissen wir nur, dass es sich um einen Dropper handelt, der Daten einsammelt, und sich hinter einer unverfänglichen Startseite versteckt.

    Die Analyse käme natürlich auch dir zugute, da man dann das Schadpotential einschätzen könnte.

    Ich hab schon eine Neu-Installation durchgeführt und jetzt ist alles wieder in Ordnung. Ich hoffe Sie finden die Person die dafür verantwortlich ist. Ich glaube auch dass der Ursprung in Facebook liegt, anders kann ich mir das nicht erklären.

    Zitat von Filos24

    Ich hab schon eine Neu-Installation durchgeführt und jetzt ist alles wieder in Ordnung.


    Das ist Zeus:
    -> http://www.kaspersky.com/de/news?id=207566330
    -> http://www.viruslist.com/de/analysis?pubid=200883691

    Ein richtiges Neuaufsetzen des Systems ist ausgesprochen wichtig (nicht einfach nur drüberinstallieren ohne Partitionen aufzulösen).

    Zitat

    Ich hoffe Sie finden die Person die dafür verantwortlich ist.


    Das sind Web-Kriminelle, die im Ausland sitzen. Da ist kaum was zu machen.

    Zitat

    Ich glaube auch dass der Ursprung in Facebook liegt, anders kann ich mir das nicht erklären.


    Ich sehe das Problem eher in einer Drive-by-Infektion und nicht aktuell gehaltener Software durch betroffene Nutzer!

    Die Erkennungsraten der Virenscanner sind wie bei solcher Malware üblich schlecht (Prüfung via virscan.org):
    -> http://malwareanalyse.de/chip/img/zbot/…g-scan_zbot.png

    Die Umleitungsadresse ist in einer *.dat-Datei gespeichert:
    -> http://malwareanalyse.de/chip/img/zbot/zbot_uml.png

    Infektion erfolgt, wie gesagt, Drive-by. Vermutlich ist Dein Flash-Player oder Java veraltet, das reicht schon aus.

    Ich hab das System mit Vaio Recovery neu installiert. Wie kann ich mir denn sicher sein, ob die Malware jetzt weg ist? Nicht dass des noch unbemerkt im System ist. Ja danke für die Info ich habe jetzt alle Programme aktualisiert :D