Trojaner-Board - Win10, Firefox: Vodafone Candc Viren-Warnung (seit 3 Tagen)

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Win10, Firefox: Vodafone Candc Viren-Warnung (seit 3 Tagen) (https://www.trojaner-board.de/197105-win10-firefox-vodafone-candc-viren-warnung-seit-3-tagen.html)

Hi, anbei die MBAM. ESET mache ich morgen. Habe hier gelesen, dass der Scan wohl länger dauert.

Habe auch andere Scanberichte, u.a. vom 29.11. hier wurden 2 PUPs von chip gefunden.
Willst Du die auch?

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 08.12.19

Scan-Zeit: 20:16

Protokolldatei: 35a18e46-19ef-11ea-b3f7-f44d304c88ad.json
 

-Softwaredaten-

Version: 4.0.4.49

Komponentenversion: 1.0.770

Version des Aktualisierungspakets: 1.0.15872

Lizenz: Kostenlos
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 18362.476)

CPU: x64

Dateisystem: NTFS

Benutzer: FABRIZIO-MEDAK-\Fabrizio
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 331369

Erkannte Bedrohungen: 0

In die Quarantäne verschobene Bedrohungen: 0

Abgelaufene Zeit: 2 Min., 46 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Aktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 0

(keine bösartigen Elemente erkannt)
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

so.

Code:

20:04:48 # product=EOS

# version=8

# ESETOnlineScanner_DEU.exe=3.1.10.0

# country="Germany"

# lang=1031

20:05:21 Updating

20:05:21 Update Init

20:05:22 Update Download

20:06:28 esets_scanner_reload returned 0

20:06:28 g_uiModuleBuild: 43719

20:06:28 Update Finalize

20:06:28 Call m_esets_charon_send

20:06:28 Call m_esets_charon_destroy

20:06:28 Updated modules version: 43719

20:06:43 Call m_esets_charon_setup_create

20:06:43 Call m_esets_charon_create

20:06:43 m_esets_charon_create OK

20:06:43 Call m_esets_charon_start_send_thread

20:06:43 Call m_esets_charon_setup_set

20:06:43 m_esets_charon_setup_set OK

20:06:43 Scanner engine: 43719

21:24:21 # product=EOS

# version=8

# flags=0

# av=0

# fw=7

# admin=1

# ESETOnlineScanner_DEU.exe=3.1.10.0

# EOSSerial=6a37c6ff6959e34fa67e1720a47a576c

# engine=43719

# end=finished

# bannerClicked=0

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# sfx_checked=true

# utc_time=2019-12-09 20:24:21

# local_time=2019-12-09 21:24:21 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=10.0.18362 NT 

# compatibility_mode_1=''

# compatibility_mode=5893 16776573 100 88 8524 22956024 0 0

# scanned=363991

# found=5

# cleaned=5

# scan_time=3820

# scan_type=2

# flow=2019-12-09 20:04:52|scr|eula|2019-12-09 20:04:53|promo|eis|2019-12-09 20:04:55|scr|welcome|2019-12-09 20:05:06|scr|consents|2019-12-09 20:05:12|scr|scan_type|2019-12-09 20:05:14|scr|pua|2019-12-09 20:05:21|scr|updating|2019-12-09 20:06:28|scr|scanning|2019-12-09 21:10:10|scr|all_cleaned|2019-12-09 21:23:42|scr|report_cleaned|2019-12-09 21:23:43|click|resolved_detections|2019-12-09 21:24:06|scr|periodic_offer|2019-12-09 21:24:11|scr|upsell|2019-12-09 21:24:16|scr|thanks

# periodic=0,0

# stats_enabled=1

sh=797510DBE6A30B48127242562E4C0FDB71AA2684 ft=1 fh=00000000007dcf98 vn="Variante von Win64/Pokki.A potenziell unerwünschte Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\AdwCleaner\Quarantine\v1\20191129.223924\5\Host App Service\Engine\HostAppServiceUpdater (1).exe#B3D56172C1308D4E"

sh=A9175FCDA54949C111603B48D28DFA38C0C58021 ft=1 fh=00000000006941a0 vn="Variante von Win64/Pokki.B potenziell unerwünschte Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\AdwCleaner\Quarantine\v1\20191129.223924\5\Host App Service\Engine\HostAppServiceUpdater.exe#FA6841909C8E267B"

sh=185EBDACD3DF5F55E5924C34E65FE7ADC5CB330B ft=1 fh=00000000001f1ae0 vn="Variante von Win32/Pokki.A potenziell unerwünschte Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\AdwCleaner\Quarantine\v1\20191129.223924\5\Host App Service\Uninstall (1).exe#895879AA94E52644"

sh=A9175FCDA54949C111603B48D28DFA38C0C58021 ft=1 fh=00000000006941a0 vn="Variante von Win64/Pokki.B potenziell unerwünschte Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\AdwCleaner\Quarantine\v1\20191129.223924\6\Host App Service\Engine\HostAppServiceUpdater.exe#FA6841909C8E267B"

sh=A9175FCDA54949C111603B48D28DFA38C0C58021 ft=1 fh=00000000006941a0 vn="Variante von Win64/Pokki.B potenziell unerwünschte Anwendung (Gesäubert durch Löschen)" ac=C fn="C:\AdwCleaner\Quarantine\v1\20191129.223924\7\Host App Service\Engine\HostAppServiceUpdater.exe#FA6841909C8E267B"

21:24:22 Call m_esets_charon_send

21:24:22 Call m_esets_charon_destroy

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Hi, danke, aber durfte ich wissen, was jetzt nicht gepasst hat und was ich unternehmen kann, wenn ich nach wie vor o.g. Fehlerbild erhalte?

Hi, also ich habe eben meinen PC hochgefahren und ich habe weiterhin das beschriebene Fehlerbild.

Nach dem Anmelden bringt das Info-Center für mein WLAN eine Meldung, dass eine Aktion erforderlich sei und beim Klicken der Meldung öffnet sich FF und die besagte Viren-Meldung kommt.

Woran könnte es noch liegen?

Mein Defener hat vor einigen Tagen auch den Oneeva.a!ml gefunden. Dieser war im Apple-Ordner drin in einer Backup-Datei von meinem alten iPhone 6.

Ich weiß nicht mehr weiter.......

Was haben die Scans jetzt ergeben?

1.
Es wurde dir vor über eine Woche erklärt, dass dieser Vodafone-Krempel keine Schädlinge sind.

2.
Deine Logs sind sauber.

3.
Der Fund Oneeva bezieht sich auf was völlig anderes und nicht direkt auf dein Windows System! Das hat irgendwas mit deinem Apple-Mobile-Sync zu tun! Ob du dieses Backup löschen kannst bzw ob du diesen Krempel brauchst kann ich dir auch nicht sagen, sowas muss man selbst wissen!

Code:

https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Oneeva.A!ml&threatid=2147729349&enterprise=0

Name: Trojan:Script/Oneeva.A!ml

ID: 2147729349

Schweregrad: Schwerwiegend

Kategorie: Trojaner

Pfad: file:_C:\Users\Fabrizio\AppData\Roaming\Apple Computer\MobileSync\Backup\edf43d3a9d4a73d0eddd26b7c804928b3bf5268a-20190330-132744\14e9ddcfcce9777763d6dab341e553d90f51159a; file:_C:\Users\Fabrizio\AppData\Roaming\Apple Computer\MobileSync\Backup\edf43d3a9d4a73d0eddd26b7c804928b3bf5268a-20190330-132744\272b6af75f9a1cfc9f47a40251b07f8864acd872; file:_C:\Users\Fabrizio\AppData\Roaming\Apple Computer\MobileSync\Backup\edf43d3a9d4a73d0eddd26b7c804928b3bf5268a-20190330-132744\3365eab39a9d1829ed177001effcfa5c65668d4f; file:_C:\Users\Fabrizio\AppData\Roaming\Apple Computer\MobileSync\Backup\edf43d3a9d4a73d0eddd26b7c804928b3bf5268a-20190330-132744\33c7d86dc2caecf658789b997478e5968cf032f2; file:_C:\Users\Fabrizio\AppData\Roaming\Apple Computer\MobileSync\Backup\edf43d3a9d4a73d0eddd26b7c804928b3bf5268a-20190330-132744\f9e3ba8ac24b991d31e5f141e54bfb598ad087e2

Hi, danke Dir.

Natürlich hast Du das geschrieben, aber es muss doch einen Grund geben, wieso das von einem auf den anderen Tag auftaucht. Auf Laptop und PC. Jeweils das erste Gerät was hochgefahren wird von beiden bekommt die Meldung angezeigt.

Was heißt ob man den Krempel braucht?! Das ist halt mein Backup vom iPhone gewesen. Wenn ich wüsste was Oneeva ist, könnte ich ja besser entscheiden, was zu tun ist. Das Backup ist gelöscht und der Defenser findet auch nichts mehr.

Es muss doch einen Trigger geben für die Warnung. Wir Menschen bekommen auch nicht aus heiterem Himmel Bauchschmerzen.

Zitat:

aber es muss doch einen Grund geben,

Ja. Der Grund ist, dass du irgendwie schwer von Begriff bist. Du hast doch gelesen was da steht. Trotzdem willst du wohl mit aller Gewalt eine andere Begründung, nämlich dass dein Rechner verseucht ist. Das willst du doch lesen, nicht wahr?

Eines muss man Dir lassen. Deine Art zu helfen ist einzigartig.

Ich habe es verstanden und bin froh, dass der R3chner sauber ist.

Aber was glaubst Du, woher die Meldung kommt und warum sie von einen Tag auf den anderen aufgetaucht ist. Und noch wichtiger, immernoch auftaucht, täglich.

OMG du hast echt immer noch nicht kapiert was das ist oder? :balla:

OMG ja es ist Scareware, aber wie bekomme ich es weg. Bei anderen Nutzern hast sich das Thema nach paar Tagen von alleine gelöst. Ich bekomme ständig die selbe Meldung.

Selbst nach langem Surfen (ca. 2 Stunden) ploppt sie auf.

Kann es sein, dass die Vodafone-Server allergisch auf msftconnecttest/redirect reagieren?

Soweit ich googeln konnte, ist es so dass Windows die Seite automatisch im Hintergrund besucht, um die Verbindung zu checken. Wenn der Server von Vodafone hier einen Fehler hat könnte es das verursachen?!

Sorry, aber ich habe verstanden, dass es keine Schädlinge sind, trotzdem hätte ich gerne gewusst wie ich das wegbekomme. Echt nervig die Scheiße.

Du könntest dich ja einfach mal bei vodafone beschweren. Ansonsten wurden dir genügend Infos gegeben, wie man seinen Rechner und v.a. Browser absichert. Du musst es nur lesen und umsetzen.

Ou mann ich hab doch schon alles befolgt.....

Bei Vodafone habe ich auch schon angerufen. Die meinen, die hätten damit nichts zu tun uns es wäre Schadsoftware. Haben ja
Hunderte andere Kunden auch so gesagt bekommen.....

Also muss es ein Schädling sein :rofl:
Ja dann viel Spaß bei der Neuinstallation :D

Sammal Du hast doch selbst gesagt, dass die Logs saiber sind.

Verarscht Du mich?

Ich? Niemals :blabla:
Du uns doch auch nicht, oder? ;)