Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Scan Tool (x64) Version: 18-07-2017
Ran by yuk (19-07-2017 22:16:48) Run:3
Running from C:\Users\yuk\Downloads
Loaded Profiles: yuk (Available Profiles: yuk)
Boot Mode: Normal
==============================================

fixlist content:
*****************

*****************


==== End of Fixlog 22:16:48 ====
         

EDIT

Moment, ich glaube ich habe etwas falsch gemacht. Habe daraufhin FRST neu gestartet, nochmal kopiert und dann entfernen gedrückt. Dann gab es den Neustart, beim ersten (gescheiterten?) Versuch gab es keinen Neustart. Keine Ahnung was ich dir oben jetzt für output geliefert habe. Hier der vom zweiten Anlauf:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Scan Tool (x64) Version: 18-07-2017
Ran by yuk (19-07-2017 22:19:37) Run:4
Running from C:\Users\yuk\Downloads
Loaded Profiles: yuk (Available Profiles: yuk)
Boot Mode: Normal
==============================================

fixlist content:
*****************

CloseProcesses:
C:\Users\yuk\Desktop\Ravenfield - CHIP-Installer.exe
C:\Windows\Installer\550768.msi
Task: {2888D9A1-CCA5-4869-BE3A-45413E90E92B} - \Microsoft\Windows\Setup\GWXTriggers\Logon -> No File <==== ATTENTION
DeleteKey: HKLM\SOFTWARE\Classes\AppID\{30c5da9e-621a-4acf-8ec2-edb77d72f800}
DeleteKey: HKLM\SOFTWARE\Classes\AppID\{b02b78d8-abf1-4319-bacb-296a60a2690c}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\AppID\{30c5da9e-621a-4acf-8ec2-edb77d72f800}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\AppID\{b02b78d8-abf1-4319-bacb-296a60a2690c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}
DeleteKey: HKU\S-1-5-21-3843242997-120083883-219807361-1001\Software\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}
EmptyTemp:

*****************

Processes closed successfully.
C:\Users\yuk\Desktop\Ravenfield - CHIP-Installer.exe => moved successfully
C:\Windows\Installer\550768.msi => moved successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2888D9A1-CCA5-4869-BE3A-45413E90E92B} => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2888D9A1-CCA5-4869-BE3A-45413E90E92B} => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\GWXTriggers\Logon => key removed successfully
HKLM\SOFTWARE\Classes\AppID\{30c5da9e-621a-4acf-8ec2-edb77d72f800} => key removed successfully
HKLM\SOFTWARE\Classes\AppID\{b02b78d8-abf1-4319-bacb-296a60a2690c} => key removed successfully
HKLM\SOFTWARE\Classes\WOW6432Node\AppID\{30c5da9e-621a-4acf-8ec2-edb77d72f800} => key not found. 
HKLM\SOFTWARE\Classes\WOW6432Node\AppID\{b02b78d8-abf1-4319-bacb-296a60a2690c} => key not found. 
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146} => key removed successfully
HKU\S-1-5-21-3843242997-120083883-219807361-1001\Software\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146} => key removed successfully

=========== EmptyTemp: ==========

BITS transfer queue => 8675328 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11821443 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 97670 B
Edge => 280523639 B
Chrome => 15049340 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 792 B
NetworkService => 4050 B
yuk => 8458716 B

RecycleBin => 152392 B
EmptyTemp: => 309.7 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 22:19:50 ====
         

Du hast alles richtig gemacht.




Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM inklusive Link zum Thema.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Hallo Matthias,

ein paar Fragen, die du vielleicht irgendwann mal Zeit hast zu beantworten:

1.: Was glaubst du ist geschehen, wie habe ich mir die Infektionen eingefangen, mein derzeitiger Stand ist durch simple Downloads im Netz. Oder war ich eher Opfer eines direkten Angriffs speziell auf mich?

2.: "Deine Logdateien sind sauber". Das heißt es besteht nicht die geringste Möglichkeit dass mein System derzeit in irgendeiner Art befallen ist? Absolute Gewissheit würde nur ein neu Aufsetzen des Systems bringen?

3.: Deiner (mit vorbehalten) persönlichen Diagnose nach: Waren meine Daten (Editor .txt Dateien, Passwörter bei Eingaben auf Webseiten, Passworteingaben in Chrome Browser Extensions etc.) zu irgendeinem Zeitpunkt durch die gefunden Bedrohungen gefährdet? (Vielleicht durch Keylogger, Backdoors etc. ?)

4.: Muss ich davon ausgehen dass andere Geräte im LAN / sich das WLAN teilen, auch betroffen sein könnten, nicht weil diese sich etwas gesondert eingefangen haben könnten, sondern wegen der von dir ausgemachten Bedrohungen? Falls ja, gilt das auch für die Android Geräte? Alle Geräte zeigen die gleiche IPv4 Adresse an, nur eines unterscheidet sich durch eine IPv6 Adresse. Ist das normal?

5.: Mein DVD Laufwerk am von dir untersuchten PC hat sich heute wieder ohne erkennbaren Grund von selbst geöffnet. Vermutlich ein mechanischer Fehler? Oder doch eher ein Anzeichen für weiteren Befall? Konnte nicht viel dazu finden.

6.: Wie lange war ich schon infiziert (falls das für dich ohne exorbitanten Aufwand nachvollziehbar ist)?

7.: Kannst du Vermutungen anstellen oder gar nachvollziehen warum sich vom technischen her Anwendungen geschlossen haben, ausschließlich wenn der Chrome Browser lief, könnte das eine Schwäche speziell diesen Browsers sein (bin mir ziemlich sicher dass er Up-To-Date war)?

8.: Hatte das Verhalten des Browsers garantiert direkt etwas mit den Infektionen zu tun, oder besteht auch die Möglichkeit dass das Jemand durch eine gerade geöffnete Seite / Chatprogramm oder Änliches mehr oder weniger veranlasst hat?

8.: Habe vor mir auf meinem neuen Linux eine Notiz einzurichten die mich in den nächsten Monaten daran erinnert dass ich euch noch was schulde

Danke Danke Danke

Zitat:

Zitat von woteva

1.: Was glaubst du ist geschehen, wie habe ich mir die Infektionen eingefangen, mein derzeitiger Stand ist durch simple Downloads im Netz. Oder war ich eher Opfer eines direkten Angriffs speziell auf mich?

Höchstwahrscheinlich durch das Herunterladen und installieren von Software... dabei wurde Adware mit installiert.

Zitat:

Zitat von woteva

2.: "Deine Logdateien sind sauber". Das heißt es besteht nicht die geringste Möglichkeit dass mein System derzeit in irgendeiner Art befallen ist? Absolute Gewissheit würde nur ein neu Aufsetzen des Systems bringen?

100% Sicherheit gibt es beim Bereinigen nicht, das gibt es nur beim Neuaufsetzen.
Fürs Bereinigen kann ich dir 99,9% geben.

Zitat:

Zitat von woteva

3.: Deiner (mit vorbehalten) persönlichen Diagnose nach: Waren meine Daten (Editor .txt Dateien, Passwörter bei Eingaben auf Webseiten, Passworteingaben in Chrome Browser Extensions etc.) zu irgendeinem Zeitpunkt durch die gefunden Bedrohungen gefährdet? (Vielleicht durch Keylogger, Backdoors etc. ?)

nein

Zitat:

Zitat von woteva

4.: Muss ich davon ausgehen dass andere Geräte im LAN / sich das WLAN teilen, auch betroffen sein könnten, nicht weil diese sich etwas gesondert eingefangen haben könnten, sondern wegen der von dir ausgemachten Bedrohungen? Falls ja, gilt das auch für die Android Geräte? Alle Geräte zeigen die gleiche IPv4 Adresse an, nur eines unterscheidet sich durch eine IPv6 Adresse. Ist das normal?

Es sind keine anderen Geräte davon betroffen. Die Adware ist nicht dafür konzipiert/programmiert.

Zitat:

Zitat von woteva

5.: Mein DVD Laufwerk am von dir untersuchten PC hat sich heute wieder ohne erkennbaren Grund von selbst geöffnet. Vermutlich ein mechanischer Fehler? Oder doch eher ein Anzeichen für weiteren Befall? Konnte nicht viel dazu finden.

Dafür könnte es verschiedene Gründe geben (Hardwarefehler, Treiberproblem). Ich kenne keine Malware, die im Umlauf ist und das Laufwerk öffnet. Klar könnte man sowas programmieren, aber ist sinnfrei/nutzlos.

Zitat:

Zitat von woteva

6.: Wie lange war ich schon infiziert (falls das für dich ohne exorbitanten Aufwand nachvollziehbar ist)?

Ist nicht mehr nachvollziehbar.

Zitat:

Zitat von woteva

7.: Kannst du Vermutungen anstellen oder gar nachvollziehen warum sich vom technischen her Anwendungen geschlossen haben, ausschließlich wenn der Chrome Browser lief, könnte das eine Schwäche speziell diesen Browsers sein (bin mir ziemlich sicher dass er Up-To-Date war)?

Nein. leider nicht.

Zitat:

Zitat von woteva

8.: Hatte das Verhalten des Browsers garantiert direkt etwas mit den Infektionen zu tun, oder besteht auch die Möglichkeit dass das Jemand durch eine gerade geöffnete Seite / Chatprogramm oder Änliches mehr oder weniger veranlasst hat?

Es muss nicht direkt etwas mit der Infektion zu tun gehabt haben.

Zitat:

Zitat von woteva

8.: Habe vor mir auf meinem neuen Linux eine Notiz einzurichten die mich in den nächsten Monaten daran erinnert dass ich euch noch was schulde