Trojaner gefunden TR/Dldr.Agent.314440 und verschiedene Adwares ADWARE/EoRezo.AF, ADWARE/Adware.Gen7, ADWARE/AgentCV.A.2919
 

Hallo zusammen,

ich habe einen Trojaner auf meinem PC gefunden und meine Vermutung ist, dass da noch viel mehr drauf ist.
Immer, wenn ein neuer Tab geöffnet wird, wird ein zusätzlicher mitgeöffnet und in der Zeile steht "redirecting..."
Außerdem bekomme ich tausend Angebote, dass mein Rechner infiziert sei und ich irgendwelche Programme kaufen soll.
Auch öffnet Mozilla manchmal ungefragt bis zu 20 neue Fenster zu irgendwelchen Seiten, auf denen ich zuvor noch nie war, z.B. hxxp://rvzr-a.akamaihd.net/.....




Bei Gmer hatte ich beim Scan das Problem einer Fehlermeldung, dass das Laufwer/Devive/Harddisk7/DR7 nicht gefunden worden sei. Wenn man auf Abbrechen oder weiter drückte, veränderten sich die Zahlen der Harddisk. Nach mehrmaligem Abbrechen-drücken verschwand die Fehlermeldung und der Scan lief weiter.

Logs sind als zip7 alle im Anhang.

Über eine Hilfe von Euch würde ich mich wirklich sehr freuen. Ich habe nämlich nur gutes von Euch gehört und ihr habt auch schon meiner Freundin geholfen.

Lieben Gruß
Trini193

Hallo Trini193, :hallo:

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:
Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus. :)

Bitte alle Logfiles direkt hier in deinen Thread posten und nicht anhängen. Wenn die Logfiles zu groß für einen Post sind, bitte auf mehrere aufteilen :).

Hallo Jonas,
vielen Dank für die schnelle Antwort.
Die Regeln hab ich gelesen und verstanden.
Ich bin jetzt unsicher, ob ich die Logfiles noch einmal posten soll. Vorher waren sie ja zu lang und deswegen hatte ich sie gezipt.
Um sicher zu gehen, versuche ich es erneut mit posten und versuche, sie aufzuteilen.

Von Avira:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---
--- --- ---

Hast einiges an Adware auf dem Rechner, aber das stellt kein Problem dar :).



Schritt 1
Bitte deinstalliere folgende Programme:

• Advanced System Protector
• MyPC Backup
• RegClean Pro
• SaveClicker
• Softonic_Deutsch_FF Toolbar
• Spesoft Toolbar
• SupraSavings
• Yahoo! Toolbar

Gehe dafür auf:

Windows XP: Start -> Systemsteuerung -> Kategorieansicht auswählen (falls nicht voreingestellt) -> Software
Windows Vista/7: Start -> Systemsteuerung -> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) -> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

und wähle die angegeben Programme aus. Drücke Entfernen (Windows XP) oder Deinstallieren (Windows Vista/7/8).

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

• AdwCleaner.txt.txt
• JRT.txt
• FRST.txt

Lieber Jonas, vielen Dank erst mal. Ich konnte im ersten Schritt alles entfernen außer suprasavings. Diese Datei finde ich nirgends auf meinem Rechner.
Gruß
trini

Lieber Jonas, vielen Dank erst mal. Ich konnte im ersten Schritt alles entfernen außer suprasavings. Diese Datei finde ich nirgends auf meinem Rechner. Habe deshalb jetzt beschlossen, einfach mal die nächsten Schritte zu verfolgen, mal schauen, was passiert
Gruß
trini

Alles klar, einfach mit den nächsten Schritt fortfahren :).

Lieber Jonas,
hier das adwcleaner (S0) Ergebnis.


Hallo Jonas, hier der
JRT-Report

Lieber Jonas, zu guter letzt
FRST.txt


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Lieber Jonas, da ich nicht sehe ob alles angekommen ist, hier noch mal alle drei in Reihe:

adwcleaner


JRT


FRST



FRST Logfile:
--- --- ---

[/CODE]

Ok, dann gehts so weiter:

Hast du "Reimage Repair" heruntergeladen und installiert? Wenn nicht, bitte deinstallieren.



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

• Setze einen Haken bei Addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt der Logfiles bitte hier in deinen Thread.

Wird im Browser noch Werbung angezeigt (wenn ja, in welchem)? Gibt es sonst noch Probleme mit dem Rechner?



Poste folgende Logfiles in deiner nächsten Antwort:

• Fixlog.txt
• Mbam.txt
• Log.txt
• FRST.txt und Addition.txt

Lieber Jonas,
ich bekomme dauernd eine Fehlermeldung, dass mein Video-Player infiziert sei und dann stürzt dieses Programm vollständig ab, so dass ich die Aufgabe nicht erledigen kann. Kann ich das irgendwie umgehen? reimage repair habe ich allerdings deinstalliert.
Gruß
trini

die adresse ist update3.flash-palys.us

genauer:
Achtung: Virenprüfung

hxxp:// update3.flash-palys.us/Player/Warning-de.php?installer=Flash_Player_11_for_Other_Browsers&browser_type=KHTML&dualoffer=false

und jetzt werde ich auch noch von folgender Seite aus dem Programm geworfen:
hxxp:// www.updateetind.com/DE/?dv1=11836390&dv2=&dv3=&dv4=glispa2-DE&sec_id=qWJ8vBQjIEzEzrerC9CjDWCoY34jzZHpD0v6Y 3

Lieber Jonas,
habe die Fehlermeldung umgehen können. Eset dauert aber ca. 8-9 Stunden. Ich habe bei ESET noch eine Bedrohung auf C:/, nämlich win32/adware.Eorezo.AS, der Rest schein clean. Jetzt läuft noch D:/ durch und die USB-Sticks.
Melde mich dann wahrscheinlich morgen wieder.
Danke nochmals für alles
Trini

Hi,

das sind keine echten Meldungen. Die Links, die du gepostet hast, sind nicht echt und sollen dir vermitteln, dass dein Video-Player infiziert sei (anscheinend hast du dir wieder neue Adware/neuen Browserhijacker eingefangen). Ich hoffe du hast nichts gedownloaded, was dort empfohlen wurde.

Bitte trotzdem das vollständige Logfile posten, auch wenn nur eine Bedrohnung gefunden wurde.

Lieber Jonas,
hier nun die Ergebnisse. Ich musste ESET zwei mal laufen lassen, das brachte beim erst Mal ein und beim zweiten Mal drei Ergebnisse. Ich habe nichts dazwischen angeklickt oder runtergeladen und weitere Werbemails tauchen auch nicht auf. Bislang zumindest.
Hier nun Fixlog.txt


Mbam.txt



Log.txt


FRST. TXT


FRST Logfile:
--- --- ---



Addition.txt


Danke noch mal für alles und kann man sich Dir oder dem Trojaner Board irgendwie evtl. auch finanziell erkenntlich zeigen?
Gruß
trini

Hi,

das ist das falsche Malwarebytes Logfile. Ich brauch das Logfile zum Suchlauf (Mbam.txt) und nicht das Logfile zur Protection :).

Lieber Jonas,
ich bin direkt nicht erreichbar aber hier dir malware-log

Ich hoffe, damit kannst Du was anfangen.
Grüße
trini

Falls es schie geht hier noch mal der malware plod
Gruß
trini

Das ist leider immernoch nicht das richtige Logfile. Hast du den Schritt in der Anleitung befolgt und nach dem Scan das Ergebnis exportiert und auf dem Desktop als Mbam.txt (oder anderer Dateiname) gespeichert?

Wenn nicht, bitte den Scan wiederholen und genau die Anleitung befolgen :).

Lieber Jonas, ich hoffe, das ist es jetzt. Man muss vor dem in Quarantäte stellen die LogDatei erstellen, und offensichtlich nicht danach

hier nun mbam.txt


1000 Dank

trini

Jop, das ist das richtige Logfile. Wenn du jetzt keine Probleme mehr hast, sind wir fertig :).



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Updates
Adobe Reader Version XI (11.0.06)

• Deinstalliere bitte deine aktuelle(n) Version(en) des Adobe Readers.
• Lade dir die neuste Version hier herunter: Adobe - Adobe Reader herunterladen - Alle Versionen
• Entferne den Hacken für das optionale Programm "McAfee Security Scan Plus".

Cleanup
Falls du Malwarebytes Anti-Malware und den ESET Online Scanner nicht mehr behalten möchtest, kannst du diese über die Systemsteuerung deinstallieren. Ich empfehle dir, mindestens ein Programm zu behalten (näheres in den Tipps).

Windows XP: Start --> Systemsteuerung --> Kategorieansicht auswählen (falls nicht voreingestellt) --> Software
Windows Vista/7: Start --> Systemsteuerung --> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) --> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

In deinen Logfiles sehe ich im Moment keine schädlichen Einträge mehr, du bist in meinen Augen Clean. Für die Zukunft habe ich dir Tipps aufgeschrieben, damit du uns in nächster Zeit nicht mehr brauchst :).




Tipps - Frequently Asked Questions (FAQ)/Häufig gestellte Fragen

Wenn dich das Thema Computersicherheit interessiert und du noch mehr Tipps und Tricks zum Schutz deines Rechners haben willst, ist der Emsisoft Blog genau richtig für dich ;).


Wenn du die Arbeit des Trojaner-Boards unterstützen möchtest, kannst du gerne spenden :).

Ich wünsche dir eine schöne und malwarefreie Zeit :daumenhoc.

Lieber Jonas,

hier est mal der fixlog.txt



Vielen Dank für die ganze Mühe und ich werde die Tipps beherzigen.
Noch eine Frage, Malware und ESET sind ja Testprogramme, die wohl demnächst ablaufen werden. Empfiehlst Du einen Kauf? Und wenn ja, erscheint mir ESET wohl das umfassendeste Programm. Gehe ich damit recht in der Annahme?
Gruß
trini

Hi Trini193,

Malwarebytes Anti-Malware und ESET laufen nicht ab, du kannst sie als Freeversion immer nutzen. Am besten behälst du mindestens ein Scanner und überprüfst, wie in den Tipps bereits geschrieben, dein System in einem bestimmten Zeitintervall. Als vollwertigen Antivirenscanner empfehle ich Emsisoft (siehe Tipps).

Schön, dass wir dir helfen konnten :abklatsch:.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht, damit erhalte ich keine Benachrichtungen über neue Antworten in diesem Thread. Solltest Du das Thema erneut brauchen, schicke mir bitte eine private Nachricht.

Jeder Andere bitte hier klicken und einen eigenen Thread erstellen.