Trojaner-Board - Search Protect, zwei Trolaner und dann kein Durchblick mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Search Protect, zwei Trolaner und dann kein Durchblick mehr (https://www.trojaner-board.de/151339-search-protect-zwei-trolaner-dann-kein-durchblick-mehr.html)

Poste dann von dem alten PC einfach FRST logs :)

Ja gerne, FRST kann ich bei Gelegenheit auf dem neuen aktualisieren und dann über den Stick mit rübernehmen. Voraussichtlich mach ich den PC-wechsel maximal einmal am Tag.

Aber ich weiß nicht, ob das was bringt, dann ich hatte beim allersteren Durchlauf etliche Einträge, aber nicht abgespeichert, weil ich nicht wußte, ob das automatische Löschen mit drin war. Hatte s abgebrochenoder auch nicht.
Die Durchläufe dannach hatten dann nichts angezeigt. Weiß aber nicht mehr, was wann war.
Es wird also ein Experiment.

Poste einfach frische FRST von dem Ding, dann sehen wir weiter :)

So, jetzt wird konkret:
Das Log vom alten PC konnte ich nicht rüberbringen,
hatte es auf den Stick als .txt gespeichert.
Übrig war dann nur ein Dokument gefüllt mit Endlosreihen von diesem Zeichen
#####

Gab auch anderen Ärger, den ich nicht eindeutig meiner Unkenntnis von Win7 oder irgendwelchen Schäden zuordnen könnte.

Heute hab ich mein Funktionsgreät (mit Laptop Win 7) aktualisiert, also auch MSE.
Die Schnellanalyse ergab:

3 schwerwiegende Fehler.
UFF
und das gerade, wo ich mit dem Teil in wenigen Stunden als Anbieter auf eine Messe fahre unde s dort benutzen will.

Die Infoos waren:
Exploit:Java/CVE-2013-0431
Exploit:Java/CVE-2013-0422
Exploit:Java/CVE-2012-1723!jar

Aufgrund der Anweisung von MSE hab ich sie sofort gelöscht.
Eigentlich sollte ich jetzt noch eine Stunde schlafen, damit ich dann ragsüber gute Beratungengeben kann.
Notfall mach ich das im Zug.

Jetzt läuft dort nochdie vollständige Analyse,
ich hoffe, dann noch etwas an der Datenbank für die Messe fertigmachen zu können.

Nichts ist schöner
als Stress, der glücklich vorbeizieht,
Mira

die Funde sind bestimmt nurim Java Cache.

Hallo Schrauber,
ich hatte ziemlich zu tun mit dem neuen Betriebssystem und dessen Handhabung und anderen groben Dingen.
Dazu noch all das wieder einrichten, was ich auf dem alten PC zurückließ.
Mit deiner letzten Antwort konnte ich bisher gar nichts anfangen.
--> Was bedeutet Java Cache?
Im Web nachgeschaut, deutet es darauf hin, dass es mit (meine Worte) zwischengespeicherte Webinfos wären.
Die Beziehung zum Problem find ich (noch) nicht.
? ? ?
All die Dokumente, die ich jetzt auf meinen neuen PC holen will, sehen so (########.....) aus.
Das Kopieren von Ordnern (mit Inhalt) bringt nur leere Ordner auf meinen neuen PC.
Bzw. die PDFs kommen kaputt an.
;-(

Gruß,
Mira

Zitat:

All die Dokumente, die ich jetzt auf meinen neuen PC holen will, sehen so (########.....) aus.
Das Kopieren von Ordnern (mit Inhalt) bringt nur leere Ordner auf meinen neuen PC.
Bzw. die PDFs kommen kaputt an.

Kannst Du mir mal nen Screenshot machen? Das verstehe ich gerade nicht richtig denke ich :)

Hallo Schrauber,
ich bin noch nicht wirklich mit meinem PC weitergekommen.
Ein paar der wichtigsten Daten hate ich rechtzeitig kopiert.
Es fehlt noch Einiges, was mir am Herzen leigt oder Pflicht ist (Steuerabrechnung).
Ich mußte merken, dass im Lufe der Zeit immer mehr Daten nicht zugänglich sind.

Dann kam jemand auf die Idee, dass es an der Festplatte liegen könnte.
Leider hat(te) er wohl recht, denn zum Schluß waren z.B. meine Emails alle nicht mehr auffindbar und umgesetzte Ordenr waren einfach nur noch leer. Selbst Thunderbirth war einfach LEER!
Hab jetzt zuletzt den PC mit einer DatenrettungeCD gestartet und alles noch Verbleibende kopiert.
Der Schritt, diese Daten auf meinen neueren PC (in Wirklichkeit auch ein alter, gebrauchter), zu öffnen,
gruselt mich noch ein wenig,
da ich nicht weiß, was auf mich zukommt, auch virenmäßig ..., was ich im Griff haben sollte.
Müßte da MSE beim Öffnen der externen Festplatte genügen?

http://www.loewenzahn.info/media/wie...n/SAM_4424.JPG
Das war der Rest von der letzten Analyse, noch sichtbar auf dm alten PC, aber dann so abgespeichet auf dem Stick.
Inzwischen weiß ich aber gar nicht merh, was dort wo und wie benannt ist.

Dir ein gutes Wochenende,
Sternrubin

Kannste mir eine Datei als Beispiel zippen und anhängen?

Inzwischen nicht mehr. ;-(
Das Kuddelmuddel war zu viel groß.
Ich war mit dem Betriebssystem gar nicht vertraut und hatte die Orientierung verloren.
Hoffe, dass ich vom alten PC (jetzt als "Datenrettung" auf der externene Platte) wenigstens noch was retten kann und evt. die Adressliste und diverse Daten noch da sind.
Ein paar Aktionen früher waren die Daten noch lesbar.
Hab dann dummerweise beim Aufräumen auf dem alten PC noch kopiert und umgeordnet anstatt gleich zu retten.
Jetzt wüßte ich gerne, was ich beachten muß, wenn ich die gesamte Datenmenge vom alten auf dem neuen PC öffne.

Reicht da MSE aus?

Sonst aktive Virenprogramm auf dem alten PC war, wenn ich recht erinnere, deaktiviert.
Gruß,
Sternrubin

Hol Dir noch Malwarebytes um die externe Platte zu scannen.

Hinweis:
auf http://www.trojaner-board.de/51187-a...i-malware.html
werden empfohlene Einstellungen eines schon vorhandenen mbam angezeigt.
Doch die aktuelle Oberfläche sieht anders aus, den Reiter Suchlauffeinstellungen (unter Einstellungen) kann ich nicht finden.

Derzeit läuft MBAM noch und bringt ein paar Fundstücke ! ! !

Hier sind sie:

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlauf Datum: 02.03.2015

Suchlauf-Zeit: 11:48:31

Logdatei: mbam_2015_03_03.txt

Administrator: Ja
 

Version: 2.00.4.1028

Malware Datenbank: v2015.03.02.02

Rootkit Datenbank: v2015.02.25.01

Lizenz: Kostenlos

Malware Schutz: Deaktiviert

Bösartiger Webseiten Schutz: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 7 Service Pack 1

CPU: x64

Dateisystem: NTFS

Benutzer: FSC
 

Suchlauf-Art: Benutzerdefinierter Suchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 517248

Verstrichene Zeit: 1 Std, 55 Min, 36 Sek
 

Speicher: Aktiviert

Autostart: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(Keine schädliche Elemente erkannt)
 

Module: 0

(Keine schädliche Elemente erkannt)
 

Registrierungsschlüssel: 0

(Keine schädliche Elemente erkannt)
 

Registrierungswerte: 0

(Keine schädliche Elemente erkannt)
 

Registrierungsdaten: 0

(Keine schädliche Elemente erkannt)
 

Ordner: 0

(Keine schädliche Elemente erkannt)
 

Dateien: 19

PUP.Optional.FriedCookie, E:\pc-alt\Dokumente und Einstellungen\mira\Eigene Dateien\Downloads\adobe_flash_setup(1).exe, , [f8c2fb456921fa3c2f69f2cc46bfde22], 

PUP.Optional.FriedCookie, E:\pc-alt\Dokumente und Einstellungen\mira\Eigene Dateien\Downloads\adobe_flash_setup(2).exe, , [5f5b112f573360d60296cdf16f96639d], 

PUP.Optional.FriedCookie, E:\pc-alt\Dokumente und Einstellungen\mira\Eigene Dateien\Downloads\adobe_flash_setup.exe, , [f3c7c9774446c0763a5e348a3ec7a759], 

PUP.Optional.InstallRex, E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\sSetup-se.exe, , [febcf0506327a492e5868b1ccf3660a0], 

PUP.Optional.LiveSupport, E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\LiveSupport_setup.exe, , [dbdf62de2c5ee94d93e8ffd8f40d46ba], 

PUP.Optional.MultiPlug.A, E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\35AfA574\temp\Healing Music   432HZ DNA REPAIR MODE [ 40 Mins ][128].mp3.exe, , [c8f267d92a6047ef603465a9ec16a957], 

PUP.Optional.MultiPlug.A, E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\35AfA574\temp\hpds_setup.exe, , [d4e6c9777f0b75c1c804350b5da5e719], 

Adware.Linkular, E:\pc-alt\Programme\PennyBee\PennyBee.exe, , [ecce74ccfa90e353460b7e9be81a22de], 

Adware.Linkular, E:\pc-alt\Programme\PennyBee\PennyBeeW.exe, , [358560e05d2df442a3ae6faad42e837d], 

Adware.Linkular, E:\pc-alt\Programme\PennyBee\Resources\ntdisie_32.dll, , [734796aa46442214c67e9f250005a15f], 

Adware.Linkular, E:\pc-alt\Programme\PennyBee\Resources\ntdis_32.dll, , [c6f4cf7146442115ec577a4acb3a30d0], 

Trojan.Agent, E:\pc-alt\Programme\BUUyNsavee\BUUyNsavee.exe, , [c6f4112f098172c46817e72170920000], 

Trojan.Agent, E:\pc-alt\Programme\BuyNsAAve\quVmQjbSOySlkx.exe, , [9228e060672302345c23838539c97c84], 

Trojan.Agent, E:\pc-alt\Programme\Shareaholic for Pinterest\Shareaholic for Pinterest.exe, , [a317c67a8a0074c2e09f04049d656a96], 

Adware.DealPly, E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1895\A0303681.exe, , [3f7bc0803456be78f060be5bf2109868], 

PUP.Optional.MultiPlug.A, E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1900\A0305155.exe, , [6852bb856c1e072ff99b3ed08a780bf5], 

Trojan.Agent, E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1900\A0305158.exe, , [3981b28ec9c1b58194ebcd3bc042e11f], 

PUP.Optional.OptimizerPro, E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1886\A0302925.exe, , [8931330d2d5d4cea0fa159f854ad60a0], 

PUP.Optional.OptimizerPro, E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1886\A0302927.exe, , [19a1b8888901da5cecc50948768b6d93], 
 

Physische Sektoren: 0

(Keine schädliche Elemente erkannt)
 
 

(end)

Alle stammen vom alten PC (E:\pc-alt)
Bringt das evt. etwas Licht in die zurückliegenden Probleme?
Die Fundstücke sind jetzt unter Quarantäne gestellt.

Gruß,
Sternrubin

Oijj joooijjj, joij,
hab eben noch MSE durchlqaufen lassen über die Fetsplatte, das hat auch noch einen dicken Befund mit höchster Warnstufe gegeben.
Adware:win32/pennyBeellinkury
hab ich erst mal in Quarantaine gestellt.

Die Störenfriede waren:
file:Epc.alt/Programme/PennyBee/DPHelper.dll
file:Epc.alt/Programme/PennyBee/smia64.exe

Die Funde auch löschen. Kannst auch noch ESET über die Externe Platte laufen lassen:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Schrauber,
hab (unbewußt) den ganzen PC + ext. Festplatte gescannt.
Das macht im Nachhinein Sinn,
denn etliche Daten sindvom alten PC ja über die ext. Festplatte auf den neuen gekommen.

Code:

ESETSmartInstaller@High as downloader log:

all ok

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.7623

# api_version=3.0.2

# EOSSerial=76b623cedc49c648bf8ccf5d90ed6605

# engine=22716

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2015-03-02 10:17:31

# local_time=2015-03-02 11:17:31 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode_1='Microsoft Security Essentials'

# compatibility_mode=5895 16777213 100 100 798857 48315045 0 0

# scanned=498495

# found=23

# cleaned=0

# scan_time=18392

sh=A3EFF05BC68C731D81D6A5E7917FD3440346DCA4 ft=0 fh=0000000000000000 vn="Win32/Toolbar.Perion.K evtl. unerwünschte Anwendung" ac=I fn="C:\Users\FSC\Desktop\kopie\Programme\alle Programme\IB Updater\source.crx"

sh=A3EFF05BC68C731D81D6A5E7917FD3440346DCA4 ft=0 fh=0000000000000000 vn="Win32/Toolbar.Perion.K evtl. unerwünschte Anwendung" ac=I fn="E:\alt\2013-03-10 Datensicherung 2\Programme\alle Programme\IB Updater\source.crx"

sh=F90B295C77C0E41BF7D71C0F7CC7F062CB1851DC ft=0 fh=0000000000000000 vn="JS/Adware.MultiPlug.B Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\All Users\Anwendungsdaten\nphliplcldkbiohfkbkajbpedobompei\content.js"

sh=02398A77BE008D4B2B7EFEC75CCFF3DA194E3E2A ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\All Users\Anwendungsdaten\nphliplcldkbiohfkbkajbpedobompei\e1EC.js"

sh=98B92386D82623070F320BB6624CE412BC971252 ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Anwendungsdaten\Mozilla\Firefox\Profiles\j8ijo981.default-1387290580250\extensions\EfA@Mg5I.org\content\bg.js"

sh=D531CF3F655400ECE30146E330F9704C2404E34D ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Anwendungsdaten\Mozilla\Firefox\Profiles\j8ijo981.default-1387290580250\extensions\Fb@F.net\content\bg.js"

sh=A981E3D6F03D3BD57D1472F33A4093A01533F8A8 ft=1 fh=7aaf7b3d0491af48 vn="Variante von MSIL/AdvancedSystemProtector.F evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Eigene Dateien\Downloads\wzmp_8.exe"

sh=F90B295C77C0E41BF7D71C0F7CC7F062CB1851DC ft=0 fh=0000000000000000 vn="JS/Adware.MultiPlug.B Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\kfjkehmceppcpjoaoegdmffmkdhiegmc\104\content.js"

sh=7A2E137AB3FA8B0EBD48B744124F5227DC52F0E2 ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\kfjkehmceppcpjoaoegdmffmkdhiegmc\104\SGJNeV.js"

sh=45CE06276DD175E4151ECAFB60749797207A02A6 ft=1 fh=ce7beac8f0096e49 vn="Variante von Win32/OptimizerEliteMax.C evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\optprosetup.exe"

sh=207A9D4620200237D6F021FAA2C6120AF8FD1D7F ft=1 fh=96b5ba6f6944c1e0 vn="Variante von Win32/AdWare.SpeedingUpMyPC.N Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\35AfA574\temp\BIT1D.tmp"

sh=E13ED3F753F15332BF90DF31D790E9D43F10BF46 ft=1 fh=3b9f571777f268aa vn="Win32/Adware.SpeedingUpMyPC.Q Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\35AfA574\temp\DriverProSetup.exe"

sh=35029FE05DC77425400E8720CFC11A13D1423CCB ft=1 fh=7574377db3b97a4a vn="Variante von Win32/AdWare.SpeedingUpMyPC.N Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\35AfA574\temp\OpProSetup.exe"

sh=CA89F8826A2CA1B2CD83E2F1F372E03F09106E72 ft=1 fh=c71c0011996682b6 vn="Variante von Win32/Adware.MultiPlug.DX Anwendung" ac=I fn="E:\pc-alt\Dokumente und Einstellungen\mira\Lokale Einstellungen\Temp\35AfA574\temp\putfu.exe"

sh=BFCE4DFA22F8DE11632435F61E73CF660CA0C607 ft=1 fh=c71c0011f60829d1 vn="Variante von Win32/Adware.MultiPlug.DX Anwendung" ac=I fn="E:\pc-alt\Programme\DeltaFix\DeltaFix.dll"

sh=53EC244B329C7E9926F5B53796133B855170BA66 ft=1 fh=9e9997dd55c321a2 vn="Win32/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\Programme\PennyBee\uninstall.exe"

sh=97D7CA59C0E449F57ACDCC6D30CE3C734F0CDDC0 ft=1 fh=c60ed932ca88a321 vn="Win64/Toolbar.Linkury.A evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\Programme\PennyBee\Resources\ntdis_64.dll"

sh=47B40F8180A8413DFB3B51EB9BFF551D887BCA76 ft=1 fh=edd7ecef82c6227b vn="Win64/LiveSupport.A evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1884\A0302908.dll"

sh=F7AF09F36F4983DB24F389676D2D6EFF067C672D ft=1 fh=8ed8b1cf87d17603 vn="Win32/LiveSupport.A evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1884\A0302909.dll"

sh=A2F035C707F31E9CCBD09E17A9F645A25EBB636A ft=1 fh=c71c0011cd2e60c0 vn="Win32/LiveSupport.A evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1884\A0302910.exe"

sh=362824185F1214B27BFF829D4451EF79FB1EB1B7 ft=1 fh=38d024511d65f9eb vn="Variante von Win32/OptimizerPro.A evtl. unerwünschte Anwendung" ac=I fn="E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1886\A0302921.dll"

sh=80D8F9E2C78441C6148766E1D2434C5853E7CC8F ft=1 fh=0d41d74b7547531a vn="Variante von Win32/SpeedingUpMyPC Anwendung" ac=I fn="E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1886\A0302931.exe"

sh=FCF577CE410A72FFC34D688E419673B9E6C1EA54 ft=1 fh=5e7dc4dd398e10f6 vn="Variante von Win32/AdWare.SpeedingUpMyPC.S Anwendung" ac=I fn="E:\pc-alt\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP1891\A0303670.exe"

ESETSmartInstaller@High as downloader log:

all ok

Gruß,
sternrubin

funde kannste löschen :)

:taenzer: Löschen nach einigem Anlauf geschafft!