Trojaner-Board - Windows 7: Trojaner nach gefälschter Bank-Mail

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 7: Trojaner nach gefälschter Bank-Mail (https://www.trojaner-board.de/157835-windows-7-trojaner-gefaelschter-bank-mail.html)

Hallo Mathias,
vielen Dank für Deine interessanten Tipps.
Dieletzten Aufgaben werde ich anschließend erledigen.

Das letzte Problem hat sich ganz einfach geklärt. Es war nur das Kabel vom Keypad locker.

So bin ich aber dazu gekommen, mal wieder den Avira-Rescue-Scan durchzuführen.
(Im Internet war ich noch nicht wieder.)

Es wurden von Avira zunächst zwei Trojaner gefunden:

1- TR/Crypt.XPACK.81310 in C:/Program Files/CommonFiles/MicrosoftShared/ink/th-TH/Bank_statement/in_collection.exe
Hinweis: Die Datei konnte nicht in Quarantäne verschoben werden. Die Datei existiert nicht.

2- TR/Crypt.XPACK.81362 in C:/Windows/assembly/GAC/Microsoft.Office.Interop.Access.Dao/12.0.0.0_71e9bce111e9429c/refresh_your_pc/template.exe
Die Datei wurde in die Quarantäne verschoben.

Bei der Desinfektion wurden zahlreiche Reg-Einträge (auch z.B.: ... /Services/email_message/ImagePath>) repariert oder entfernt.

Jetzt habe ich den PC nochmal normal hochgefahren. Der erste Avira-Scan mit Standardeinstellungen läuft noch. Es wurde aber jetzt schon der Trojaner
3- TR/Crypt.EPACK.22399 gefunden.

SIND DAS ALLES FALSE POSITIVES ??

Zum Aufräumen habe ich noch Fragen..
Ich würde das Aufräumen gern einzeln manuell tun.
1.Die meisten benutzten Tools sind doch portable und können direkt gelöscht werden - oder?
2.ESET kann ich ganz normal z.B. über die Systemsteuerung deinstallieren?

Ich freue mich über Deine Antwort mit der aktuellen Einschätzung der Situation.
mfg
:kloppen:

Servus,

die Funde mit Avira zu löschen war schon ok.

ESET kannst du normal deinstallieren, ja. Ebenso alle verwendeten Tools, wobei DelFix eigentlich alles automatisch entfernen sollte.

Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Hallo Matthias,

bisher läuft alles seit Tagen gut. Auch Avira findet nichts mehr.

Ich habe die geforderten und weitere Bereinigungen durchgeführt. War sowieso mal nötig :)
Dazu noch eine Info:
Das Löschen von F:\$Recycle.bin und Inhalt war nur möglich unter einem alternativen Betriebssystem(Linux auf Rescue-CD) und vorheriger erweiterter Freigabe "für jeden". Sonst wären die Files sofort beim Systemstart geöffnet und damit nicht löschbar gewesen.
Spybot S&D habe ich auch deinstalliert. War auch nicht einfach. Habe jetzt bessere Tools wie von Dir empfohlen.

Das Ergebnis des FRST-Scans findest Du unten.

Vielen Dank nochmal für Deine wirklich vorbildliche Hilfe .. immer zeitnah und kompetent.

Die Spende kommt noch.

Viele liebe Grüße
_Lurch

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 03-09-2014 02

Ran by MasterMedion7 at 2014-09-06 10:25:08 Run:2

Running from C:\Users\MasterMedion7\Desktop

Boot Mode: Normal

==============================================
 

Content of fixlist:

*****************

start

C:\Users\MasterMedion7\Downloads\*.exe

C:\Users\MasterMedion7\Documents\Downloads\*.exe

C:\Users\All Users\MediaMonkey\Locale\da\LC_MESSAGES\speed_dial

Reboot:

end

     
 

*****************
 

C:\Users\MasterMedion7\Downloads\*.exe => Moved successfully.

C:\Users\MasterMedion7\Documents\Downloads\*.exe => Moved successfully.

"C:\Users\All Users\MediaMonkey\Locale\da\LC_MESSAGES\speed_dial" => File/Directory not found.
 
 

The system needed a reboot. 
 

==== End of Fixlog ====