Hallo,

auf einem meiner PCs wurde leider aus versehen bei einer dieser Telekom-Rechungs-Fälschungen der Anhang geöffnet.
Aufgefallen ist es mir dadurch, dass der entsprechende PC massenweise Spam-Mails von selbst verschickt (über die im Outlook installierten Konten am selben PC).

Wie die Email genau aussah kann ich leider nicht mehr sagen, da sie inzwischen schon gelöscht wurde und nicht von mir geöffnet wurde. Ich weiß aber das es eine der Telekom-Fakes war (erhalten am 26.05.).

Avira Antivir war eigentlich zu dem Zeitpunkt aktuell und aktiviert. Hat sich aber nicht gerührt.
Passiert sein müsste es gestern also am 27.05.

Ich hab mal mit Antivir alles scannen lassen und 3 Funde gemeldet bekommen. Die Funde wurden in Quarantäne verschoben.

Hier mal das Log:

Zitat:

28.05.2014 13:41 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\Dragon\AppData\Local\Temp\87F4.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.Xpack.68507'
[trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3548e8.qua'
verschoben!

28.05.2014 13:41 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\Dragon\AppData\Local\Temp\AE17.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.Xpack.68420'
[trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54df673a.qua'
verschoben!

28.05.2014 13:41 [System-Scanner] Malware gefunden
Die Datei
'C:\ProgramData\InstallMate\{27E73FB3-B68C-4CEB-AE00-FEAEFC041D45}\Custom.dll'
enthielt einen Virus oder unerwünschtes Programm 'Adware/Adload.C' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e591246.qua'
verschoben!

27.05.2014 17:24 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\Dragon\AppData\Roaming\Microsoft\qsrcommon.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56113f02.qua'
verschoben!
Der Registrierungseintrag
<HKEY_USERS\S-1-5-21-1406760817-1336787929-2282818026-1000\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run\qsrcommon.exe> wurde erfolgreich repariert.

27.05.2014 17:24 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\Users\Dragon\AppData\Roaming\Microsoft\qsrcommon.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

Können sich noch Überreste verstecken ? Wie stelle ich fest ob alles weg ist? Bitte um Hilfe !

Hi und

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo,

danke!!

Zitat:

Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISER) (Version: 12.0.6612.1000 - Microsoft Corporation)
Adobe Photoshop CS6 (HKLM\...\{74EB3499-8B95-4B5C-96EB-7B342F3FD0C6}) (Version: 13.0 - Adobe Systems Incorporated)

Ist das ein gewerblich genutztes System oder gibt es eine andere Erklärung für Photoshop CS6 und Enterprise Office?

Hallo,

ist es ja. Hab mich gerade gewundert, warum du danach fragst, hab ich allerdings eben erst selbst in den acht Regeln entdeckt

Sorry, wenn mir das früher aufgefallen wäre hätte ich es gleich dazu geschrieben.

Es gibt allerdings keine eigene IT, Gewerbe kommt ja aus einem komplett anderem Bereich. Wäre aber für eure Hilfe gerne zu einer Spende bereit falls sich da noch was findet. Danke!

Ok, du hast auch Folgendes zur Kenntnis genommen?

Zitat:

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".

Hi,

ok gut bitte das gesamte Thema löschen (hab mich onehin beim Titel vertippt). Danke für die Hilfe, werd dann wohl mal neu aufsetzen !