Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 7: Webseiten werden auf Werbung umgeleitet. (https://www.trojaner-board.de/172086-windows-7-webseiten-werbung-umgeleitet.html)

Machiavelli 18.10.2015 19:00
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Policies\system: [DisableRegistryTools] 0
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Policies\system: [DisableTaskMgr] 0
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\MountPoints2: {3424e546-8ae3-11e4-b9eb-806e6f6e6963} - D:\Run.exe
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ACHTUNG
SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  Keine Datei
SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  Keine Datei
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Keine Datei
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Keine Datei
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Keine Datei
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF HKLM-x32\...\Mozilla Firefox 41.0.1\Extensions: [Components] - C:\Program Files (x86)\Mozilla Firefox\components => nicht gefunden
FF HKLM-x32\...\Mozilla Firefox 41.0.1\Extensions: [Plugins] - C:\Program Files (x86)\Mozilla Firefox\plugins => nicht gefunden
FF HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Mozilla Firefox 41.0.1\Extensions: [Components] - C:\Program Files (x86)\Mozilla Firefox\components => nicht gefunden
FF HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Mozilla Firefox 41.0.1\Extensions: [Plugins] - C:\Program Files (x86)\Mozilla Firefox\plugins => nicht gefunden
EmptyTemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


Max012 18.10.2015 20:36
Fixlog.txt
Code:
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:15-10-2015
durchgeführt von Maximilian (2015-10-18 21:31:08) Run:1
Gestartet von C:\Users\Maximilian\Desktop
Geladene Profile: Maximilian (Verfügbare Profile: Maximilian)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Policies\system: [DisableRegistryTools] 0
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Policies\system: [DisableTaskMgr] 0
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\MountPoints2: {3424e546-8ae3-11e4-b9eb-806e6f6e6963} - D:\Run.exe
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ACHTUNG
SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  Keine Datei
SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  Keine Datei
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Keine Datei
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Keine Datei
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Keine Datei
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF HKLM-x32\...\Mozilla Firefox 41.0.1\Extensions: [Components] - C:\Program Files (x86)\Mozilla Firefox\components => nicht gefunden
FF HKLM-x32\...\Mozilla Firefox 41.0.1\Extensions: [Plugins] - C:\Program Files (x86)\Mozilla Firefox\plugins => nicht gefunden
FF HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Mozilla Firefox 41.0.1\Extensions: [Components] - C:\Program Files (x86)\Mozilla Firefox\components => nicht gefunden
FF HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\...\Mozilla Firefox 41.0.1\Extensions: [Plugins] - C:\Program Files (x86)\Mozilla Firefox\plugins => nicht gefunden
EmptyTemp:
       
*****************

HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge => Wert erfolgreich entfernt
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableRegistryTools => Wert erfolgreich entfernt
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableTaskMgr => Wert erfolgreich entfernt
"HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3424e546-8ae3-11e4-b9eb-806e6f6e6963}" => Schlüssel erfolgreich entfernt
HKCR\CLSID\{3424e546-8ae3-11e4-b9eb-806e6f6e6963} => Schlüssel nicht gefunden.
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Wert erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck => Wert erfolgreich entfernt
HKLM\Software\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} => Schlüssel nicht gefunden.
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck => Wert erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} => Schlüssel nicht gefunden.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\###MegaShellExtPending" => Schlüssel erfolgreich entfernt
HKCR\CLSID\{056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Schlüssel nicht gefunden.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\###MegaShellExtSynced" => Schlüssel erfolgreich entfernt
HKCR\CLSID\{05B38830-F4E9-4329-978B-1DD28605D202} => Schlüssel nicht gefunden.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\###MegaShellExtSyncing" => Schlüssel erfolgreich entfernt
HKCR\CLSID\{0596C850-7BDD-4C9D-AFDF-873BE6890637} => Schlüssel nicht gefunden.
"HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE" => Schlüssel erfolgreich entfernt
"HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/GENUINE" => Schlüssel erfolgreich entfernt
HKLM\Software\Wow6432Node\Mozilla\Mozilla Firefox 41.0.1\Extensions\\Components => Wert nicht gefunden.
HKLM\Software\Wow6432Node\Mozilla\Mozilla Firefox 41.0.1\Extensions\\Plugins => Wert nicht gefunden.
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\Software\Mozilla\Mozilla Firefox 41.0.1\Extensions\\Components => Wert nicht gefunden.
HKU\S-1-5-21-3748356051-3321703824-2637515647-1000\Software\Mozilla\Mozilla Firefox 41.0.1\Extensions\\Plugins => Wert nicht gefunden.
EmptyTemp: => 20.7 GB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende von Fixlog 21:31:25 ====
Schaut schonmal gut aus :)

Machiavelli 25.10.2015 18:40
Sorry für die Verspätung.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Max012 25.10.2015 21:38
macht nix ;)

Code:
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=06a4d58b2116924aa30e8da524ec3b6c
# end=init
# utc_time=2015-10-25 06:36:27
# local_time=2015-10-25 07:36:27 (+0100, Mitteleuropäische Zeit)
# country="Austria"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 26405
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=06a4d58b2116924aa30e8da524ec3b6c
# end=updated
# utc_time=2015-10-25 06:40:32
# local_time=2015-10-25 07:40:32 (+0100, Mitteleuropäische Zeit)
# country="Austria"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=06a4d58b2116924aa30e8da524ec3b6c
# engine=26405
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-10-25 08:05:58
# local_time=2015-10-25 09:05:58 (+0100, Mitteleuropäische Zeit)
# country="Austria"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1='Kaspersky Internet Security'
# compatibility_mode=1296 16777213 100 100 18496 49876240 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 128841 197433408 0 0
# scanned=362680
# found=5
# cleaned=0
# scan_time=5125
sh=EEFE0832A1CAA41E45898E4DE7DA18584AE5D33E ft=1 fh=c71c0011adc15447 vn="Variante von Win32/ELEX.CP evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Maximilian\AppData\Roaming\webssearches\UninstallManager.exe.vir"
sh=20A1B7DA2C878B309A1EB798A9516809F285F93F ft=1 fh=9062364b676273c0 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Downloads\Audacity - CHIP-Installer.exe"
sh=2DB65831CCA71BD2CA5E84743509FA94C2D9F780 ft=1 fh=77b664001954b81f vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Downloads\eXtraButtons - CHIP-Installer.exe"
sh=FBD989299172B16AEE25877082D78B7BD7B5E874 ft=1 fh=5942dc29e26a0e4d vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Downloads\OnTopReplica - CHIP-Installer.exe"
sh=E01EA8456C5CD254F2A2345AE6B1EB7313E0D4D5 ft=1 fh=f2b37658db51bd7a vn="Variante von Win32/Packed.VMProtect.ABD Trojaner" ac=I fn="D:\Programme\PCARS\Project.C.A.R.S.Build.831.Cracked-3DM\Project CARS\steam_api.dll"

Machiavelli 25.10.2015 22:26
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
C:\AdwCleaner\Quarantine\C\Users\Maximilian\AppData\Roaming\webssearches\UninstallManager.exe.vir
D:\Downloads\Audacity - CHIP-Installer.exe
D:\Downloads\eXtraButtons - CHIP-Installer.exe
D:\Downloads\OnTopReplica - CHIP-Installer.exe
D:\Programme\PCARS\Project.C.A.R.S.Build.831.Cracked-3DM\Project CARS\steam_api.dll

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.



Wie läuft das System?

Max012 26.10.2015 17:08
Das System läuft wieder normal seitdem ich das Erste mal das mit der Fixlist machen musste, also ohne Werbung im Browser. :)

Code:
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:25-10-2015 02
durchgeführt von Maximilian (2015-10-26 17:05:12) Run:2
Gestartet von C:\Users\Maximilian\Desktop
Geladene Profile: Maximilian (Verfügbare Profile: Maximilian)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\AdwCleaner\Quarantine\C\Users\Maximilian\AppData\Roaming\webssearches\UninstallManager.exe.vir
D:\Downloads\Audacity - CHIP-Installer.exe
D:\Downloads\eXtraButtons - CHIP-Installer.exe
D:\Downloads\OnTopReplica - CHIP-Installer.exe
D:\Programme\PCARS\Project.C.A.R.S.Build.831.Cracked-3DM\Project CARS\steam_api.dll
*****************

C:\AdwCleaner\Quarantine\C\Users\Maximilian\AppData\Roaming\webssearches\UninstallManager.exe.vir => erfolgreich verschoben
D:\Downloads\Audacity - CHIP-Installer.exe => erfolgreich verschoben
D:\Downloads\eXtraButtons - CHIP-Installer.exe => erfolgreich verschoben
D:\Downloads\OnTopReplica - CHIP-Installer.exe => erfolgreich verschoben
D:\Programme\PCARS\Project.C.A.R.S.Build.831.Cracked-3DM\Project CARS\steam_api.dll => erfolgreich verschoben

==== Ende von Fixlog 17:05:12 ====

Machiavelli 27.10.2015 17:10
Hallo,
nach meiner Erkenntnis, ist Dein PC soweit sauber. http://www.trojaner-board.de/images/.../abklatsch.gif

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall http://filepony.de/icon/tiny/delfix.png DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.



Falls Du mir Feedback geben willst, kannst Du es hier gerne tun: Lob, Kritik und Wünsche - Trojaner-Board


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )


Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Max012 27.10.2015 21:07
Danke für deine Hilfe! Alleine wäre wieder alles in nem chaos geendet :abklatsch:

Der Browser funktioniert wieder tip top.
Bei dem Programm "DelFix" hat mir aber ein Programm gelöscht wo nicht gelöscht hätte werden sollen (hatte den gleichen Namen "JRT" vielleicht deswegen) aber das ging ohne Probleme wieder zu installieren.

Den Rest unten werd ich mir heute auf jeden Fall auch noch anschauen. :)

Da wäre noch eine Frage aus meinem Interesse, hattest du jetzt eigentlich (so gut wie) alles was auf meinem Computer drauf is sehen können? Also nicht das ich was zu verbergen hätte aber wollte das halt mal wissen :)

Gruß Max

Machiavelli 28.10.2015 07:03
Zitat:
Da wäre noch eine Frage aus meinem Interesse, hattest du jetzt eigentlich (so gut wie) alles was auf meinem Computer drauf is sehen können? Also nicht das ich was zu verbergen hätte aber wollte das halt mal wissen
Wenn ich wollte, könnte ich nahezu alles sehen. Das ist mir aber zu viel Aufwand. In deinem Fall habe ich das für mich Relevante sehen können.

Max012 28.10.2015 07:10
Ah ok, so hätte sich die Frage geklärt.

Du kannst das Thema jetzt aus deinen Abos löschen falls du das noch nicht gemacht hast!

Man sieht sich.

Grüße Max


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:33 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131