Hallo,
kürzlich trat bei mir folgendes Problem auf: Mein Online Banking gaukelte mir eine Steuererstattung in Höhe von ca. 7.000 € vor. Zusätzlich war der Online Banking Account gesperrt und zwar solange bis die Rücküberweisung der ca. 7.000 € getätigt wurde. Das habe ich dummerweise auch getan und danach war das Online Banking wieder zugänglich. Die Überweisung wurde daraufhin von der Bank zurückgeholt, so dass glücklicherweise nichts passiert ist.

Ich hab dann die anderen Überweisung im Online Banking über den Info Button im Detail angeschaut und festgestellt, dass der Verwendungszweck bei sämtlichen Überweisungen, Banktransaktionen auf "Steuererstattung 2015" geändert wurde.

Siehe konkrete Meldung über das Online Banking im Anhang.

Die nächsten Schritten waren, dass das Online Banking von der Bank gesperrt wurde. Ich habe danach den Sophos Virenscanner über den PC laufen lassen und tatsächlich Malware gefunden, die ich bereinigt habe. Zusätzlich tauchte wieder einmal eine Buffer-Overflow-Meldung auf. Diese hatte ich schon mehrfach.

Wie kann das passieren?
Danke für Euere Hilfe!
Henner

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Kannst du mir eine Logdatei mit den Funden von Sophos posten?

Sollen wir den Rechner auf Malware überprüfen?

Hi Matthias,

danke für die Rückmeldung. Hilft Dir das? Siehe 20160302 124256 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.

und ****************** Sophos Anti-Virus Protokoll - 05.03.2016 11:38:23 **************

...
20160304 191955 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 191958 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde bereinigt.
...
(2 Objekte)

VG
Marcus

****************** Sophos Anti-Virus Protokoll - 05.03.2016 11:26:50 **************

20160302 073642 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 073650 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784589 Objekte erkennen.
20160302 073651 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 073652 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160302 073652 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" für folgenden Benutzer verweigert: Hent-Note\hentschel
20160302 073830 Das Scanning von "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde gestoppt, da zu viele Objekte erkannt wurden.
20160302 073830 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160302 073831 Virus/Spyware 'Mal/Generic-S' entfernt.
20160302 121428 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784589 Objekte erkennen.
20160302 121429 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 124255 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 124256 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 124540 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 124543 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784610 Objekte erkennen.
20160302 124545 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 140027 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 140034 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784634 Objekte erkennen.
20160302 140036 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 220443 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784634 Objekte erkennen.
20160302 220444 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 221608 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 222328 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 222400 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784667 Objekte erkennen.
20160302 222403 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 222859 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 230154 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 230155 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784688 Objekte erkennen.
20160302 230155 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 080408 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784688 Objekte erkennen.
20160303 080409 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 101536 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160303 101541 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784704 Objekte erkennen.
20160303 101543 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 164658 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160303 164658 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160303 190033 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160303 190039 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784746 Objekte erkennen.
20160303 190042 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 203403 Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xls' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 020524 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 020525 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784775 Objekte erkennen.
20160304 020525 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 060159 Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 060159 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" für folgenden Benutzer verweigert: Hent-Note\hentschel
20160304 060222 Das Scanning von "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" wurde gestoppt, da zu viele Objekte erkannt wurden.
20160304 060222 Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 060225 Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" wurde bereinigt.
20160304 060225 Virus/Spyware 'Mal/Generic-S' entfernt.
20160304 061525 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 061526 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784804 Objekte erkennen.
20160304 061526 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 143617 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 143626 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784821 Objekte erkennen.
20160304 143629 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 144527 Scan 'Computer scannen' gestartet.
20160304 152451 Der Scan von 'C:\HS Coburg\WiSe 2015-16\Wirtschaftswissenschaft_zwischen_und_Erkenntnisinteresse_und_Handlungsbedarf_1_.docx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 152607 Datei "C:\Program Files\DAEMON Tools Lite\OC1.exe" gehört zu erlaubter Adware/PUA 'Generic PUA HA'.
20160304 154423 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 154553 Der Scan von 'C:\Users\hentschel\Box Sync\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154752 Der Scan von 'C:\Users\hentschel\Privates\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154821 Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xls' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154821 Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 160459 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\wajam_update[1]" gehört zu erlaubter Adware/PUA 'Generic PUA JN'.
20160304 162507 Virus/Spyware 'Mal/Generic-S' erkannt.
20160304 162507 Scan 'Computer scannen' abgeschlossen.
20160304 162507 Ergebniszusammenfassung für Scan 'Computer scannen':
Gescannte Objekte: 222456
Fehler: 5
Objekte in Quarantäne: 1
Behandelte Objekte: 0
20160304 191025 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 191026 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784855 Objekte erkennen.
20160304 191026 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 191955 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 191958 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde bereinigt.
20160304 191958 Virus/Spyware 'Mal/Generic-S' entfernt.
20160304 193729 Scan 'Neuer Scan (2)' gestartet.
20160304 194006 Scan 'Neuer Scan (2)' abgebrochen.
20160304 194007 Ergebniszusammenfassung für Scan 'Neuer Scan (2)':
Gescannte Objekte: 18
Fehler: 0
Objekte in Quarantäne: 0
Behandelte Objekte: 0
20160304 194058 Scan 'Computer scannen' gestartet.
20160304 194103 Scan 'Computer scannen' abgebrochen.
20160304 194103 Ergebniszusammenfassung für Scan 'Computer scannen':
Gescannte Objekte: 1
Fehler: 0
Objekte in Quarantäne: 0
Behandelte Objekte: 0
20160304 232024 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 232025 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784877 Objekte erkennen.
20160304 232025 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 042024 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160305 042025 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784897 Objekte erkennen.
20160305 042025 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 080527 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160305 080528 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784905 Objekte erkennen.
20160305 080528 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
(105 Objekte)

Servus,


ich vermute stark, dass dein Rechner noch nicht ganz sauber ist.





Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!




Zur ersten Analyse bitte FRST und TDSS-Killer ausführen:


Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.







Bitte poste mit deiner nächsten Antwort

• die Logdatei von TDSS-Killer,
• die beiden neuen Logdateien von FRST.

Code: Alles auswählenAufklappen

ATTFilter

****************** Sophos Anti-Virus Protokoll - 05.03.2016 13:42:59 **************

20160302 073642	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 073650	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784589 Objekte erkennen.
20160302 073651	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 073652	Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160302 073652	On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" für folgenden Benutzer verweigert: Hent-Note\hentschel
20160302 073830	Das Scanning von "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde gestoppt, da zu viele Objekte erkannt wurden.
20160302 073830	Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160302 073831	Virus/Spyware 'Mal/Generic-S' entfernt.
20160302 121428	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784589 Objekte erkennen.
20160302 121429	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 124255	Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf. 
		Vorgang unterbrochen.
20160302 124256	Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf. 
		Vorgang unterbrochen.
20160302 124540	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 124543	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784610 Objekte erkennen.
20160302 124545	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 140027	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 140034	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784634 Objekte erkennen.
20160302 140036	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 220443	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784634 Objekte erkennen.
20160302 220444	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 221608	Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf. 
		Vorgang unterbrochen.
20160302 222328	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 222400	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784667 Objekte erkennen.
20160302 222403	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 222859	Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf. 
		Vorgang unterbrochen.
20160302 230154	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 230155	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784688 Objekte erkennen.
20160302 230155	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 080408	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784688 Objekte erkennen.
20160303 080409	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 101536	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160303 101541	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784704 Objekte erkennen.
20160303 101543	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 164658	Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf. 
		Vorgang unterbrochen.
20160303 164658	Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf. 
		Vorgang unterbrochen.
20160303 190033	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160303 190039	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784746 Objekte erkennen.
20160303 190042	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 203403	Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xls' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 020524	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 020525	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784775 Objekte erkennen.
20160304 020525	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 060159	Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 060159	On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" für folgenden Benutzer verweigert: Hent-Note\hentschel
20160304 060222	Das Scanning von "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" wurde gestoppt, da zu viele Objekte erkannt wurden.
20160304 060222	Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 060225	Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" wurde bereinigt.
20160304 060225	Virus/Spyware 'Mal/Generic-S' entfernt.
20160304 061525	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 061526	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784804 Objekte erkennen.
20160304 061526	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 143617	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 143626	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784821 Objekte erkennen.
20160304 143629	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 144527	Scan 'Computer scannen' gestartet.
20160304 152451	Der Scan von 'C:\HS Coburg\WiSe 2015-16\Wirtschaftswissenschaft_zwischen_und_Erkenntnisinteresse_und_Handlungsbedarf_1_.docx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 152607	Datei "C:\Program Files\DAEMON Tools Lite\OC1.exe" gehört zu erlaubter Adware/PUA 'Generic PUA HA'.
20160304 154423	Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 154553	Der Scan von 'C:\Users\hentschel\Box Sync\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154752	Der Scan von 'C:\Users\hentschel\Privates\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154821	Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xls' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154821	Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 160459	Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\wajam_update[1]" gehört zu erlaubter Adware/PUA 'Generic PUA JN'.
20160304 162507	Virus/Spyware 'Mal/Generic-S' erkannt.
20160304 162507	Scan 'Computer scannen' abgeschlossen.
20160304 162507	Ergebniszusammenfassung für Scan 'Computer scannen':
		Gescannte Objekte: 222456
		Fehler: 5
		Objekte in Quarantäne: 1
		Behandelte Objekte: 0
20160304 191025	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 191026	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784855 Objekte erkennen.
20160304 191026	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 191955	Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 191958	Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde bereinigt.
20160304 191958	Virus/Spyware 'Mal/Generic-S' entfernt.
20160304 193729	Scan 'Neuer Scan (2)' gestartet.
20160304 194006	Scan 'Neuer Scan (2)' abgebrochen.
20160304 194007	Ergebniszusammenfassung für Scan 'Neuer Scan (2)':
		Gescannte Objekte: 18
		Fehler: 0
		Objekte in Quarantäne: 0
		Behandelte Objekte: 0
20160304 194058	Scan 'Computer scannen' gestartet.
20160304 194103	Scan 'Computer scannen' abgebrochen.
20160304 194103	Ergebniszusammenfassung für Scan 'Computer scannen':
		Gescannte Objekte: 1
		Fehler: 0
		Objekte in Quarantäne: 0
		Behandelte Objekte: 0
20160304 232024	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 232025	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784877 Objekte erkennen.
20160304 232025	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 042024	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160305 042025	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784897 Objekte erkennen.
20160305 042025	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 080527	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160305 080528	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784905 Objekte erkennen.
20160305 080528	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 133349	Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784905 Objekte erkennen.
20160305 133349	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
      (107 Objekte)
         

Farbar txt und addittion Datei

nun die TDSSKiller log Datei

Servus,


dein Rechner ist schwer infiziert. Wir versuchen zuerst, die Schadsoftware im normalen Modus zu entfernen. Sollte das dann nicht klappen, müssen wir in den Reparaturmodus.



Wir versuchen es zuerst im normalen Modus.



Zukünftig bitte beachten:

Zitat:

Gestartet von C:\Downloads from Internet

Leider hast du unsere Anleitung nicht richtig befolgt:
Bitte alle Tools direkt auf den Desktop downloaden bzw. dorthin verschieben und vom Desktop starten, da unsere Anleitungen daraufhin ausgelegt sind.
Zudem lassen sich dann am Ende der Bereinigung alle verwendeten Tools sehr einfach entfernen.
Alle Tools bis zum Ende der Bereinigung auf dem Desktop lassen, evtl. benötigen wir manche öfter.




bei Schritt 1 beachten:
Chrome Richtlinien zurücksetzen NICHT auswählen

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die Logdatei von JRT,
• die beiden neuen Logdateien von FRST.

Problem: Wahrend der Löschaktion kam eine Fehlermeldung: Autolt Error, dann Line 8198... , dann Error parsing funcion call. Ich hab dann die Fehlermeldung weggeklickt, den Rechner heruntergafahren und neu gestartet. Dateien im Anhang. Danke für die Mühe!!!

Hallo M-K-D-B,
so ich hoffe ich habe nun alles komplett! Beim AdwCleaner habe ich beide Dateien hochgeladen, da ich nicht wusste welche!
Danke!
Henner

Servus,

Zitat:

Wahrend der Löschaktion kam eine Fehlermeldung: Autolt Error, dann Line 8198... , dann Error parsing funcion call.

ich weiß... deshalb habe ich ja in roter, großer, dicker Schrift geschrieben, dass du die Option CHR Richtlinien zurücksetzen nicht setzen sollst... das hast du halt nicht beachtet.




So und jetzt bitte genau lesen:

1)
Vergewissere dich, dass ein Rechner ab jetzt keine Internetverbindung mehr hat (entweder LAN-Kabel entfernen oder WLAN deaktivieren oder beides), da sich die Schadsoftware auf deinem Rechner jedes Mal aktualisiert und wir so nicht alles wegbekommen.

2)
Die Internetverbindung erst wieder herstellen, wenn ich es sage.
Dringende Geschäfte bitte von einem anderen, sauberen Rechner durchführen. Von diesem anderen Rechner bitte alle Online-Passwörter ändern!

3)
FRST neu ausführen (nicht vergessen: kein Internet mehr):

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

so,
aber zwischenzeitlich hatte sich mein DrahtlosWlan Adapter mal kurz wieder automatisch aktiviert, obwohl ich die automatische Aktivierung entfernt habe. Danach habe ich den Adapter selbst deaktiviert und jetzt natürlich wider aktiviert.

WLan Adapter wurde nur kurz fürs Posten aktiviert. Ist jetzt noch deaktiviert. Schreibe vom Smartphone aus.

Darf ich Frage, wann ich wieder online gehen kann?
DANKE!
Henner

Hallo M-K-D-B,
ich habe zwischenzeitlich nochmal in die Sophos Quarantäne geschaut. Siehe Protokoll im Anhang.
Laptop ist noch offline. Wie gehts jetzt weiter.
DANKE!!
Henner

Servus,



nochmal:
nicht online gehen... ansonsten versaust du uns die ganze Arbeit.
ggf. musst du dir halt die fixlist für FRST auf einem anderen, sauberen Rechner erstellen und auf den infizierten mit einem usb-stick kopieren.




Alles offline durchführen:




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

start
CloseProcesses:
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\Run: [voltage-38] => C:\ProgramData\voltage-57\voltage-3.exe [610064 2016-03-06] (OpenOffice.org)
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\RunOnce: [cathode-39] => C:\Users\hentschel\AppData\Roaming\cathode-70\cathode-90.exe [715776 2016-03-06] (Fabio Martin)
C:\ProgramData\voltage-57
C:\Users\hentschel\AppData\Roaming\cathode-70
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\Winlogon: [Shell] C:\ProgramData\computer-47\computer-2.exe -1,explorer.exe <==== ACHTUNG
C:\ProgramData\computer-47
C:\Users\hentschel\AppData\Roaming\photon-5
C:\Users\hentschel\AppData\Roaming\nyquist-59
C:\Users\hentschel\AppData\Roaming\prochot-6
C:\Users\hentschel\Downloads\*CHIP-Installer.exe
Folder: C:\ProgramData\sfh
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die beiden neuen Logdateien von FRST.