Avast Bedrohungsmeldung - Objekt: http://047.088.216.068:8888/test.dat
 

Hallo,

seit Tagen erhalte ich vom Avast-Virenwächter Bedrohungsmeldungen folgender Art auf meinen privaten Rechner zu Hause:

Bedrohung blockiert
Objekt: hxxp://47.88.216.688888/test.dat

Die folgenden Meldungen habe ich bereits erhalten:

30.04.2017 08:58 Objekt: hxxp://047.088.216.068:8888/test.dat
30.04.2017 17:12 Objekt: hxxp://047.088.216.068:8888/test.dat
30.04.2017 17:31 Objekt: hxxp://047.088.216.068:8888/test.dat
30.04.2017 17:33 Objekt: E:\_Down\test.dat.part
01.05.2017 01:35 Objekt: hxxp://047.088.216.068:8888/test.dat
01.05.2017 17:40 Objekt: hxxp://047.088.216.068:8888/test.dat
01.05.2017 20:40 Objekt: hxxp://047.088.216.068:8888/test.dat
01.05.2017 23:40 Objekt: hxxp://047.088.216.068:8888/test.dat
02.05.2017 02:39 Objekt: hxxp://047.088.216.068:8888/test.dat
02.05.2017 14:40 Objekt: hxxp://047.088.216.068:8888/test.dat
02.05.2017 17:41 Objekt: hxxp://047.088.216.068:8888/test.dat
04.05.2017 08:40 Objekt: hxxp://047.088.216.068:8888/test.dat
04.05.2017 17:40 Objekt: hxxp://047.088.216.068:8888/test.dat
04.05.2017 23:40 Objekt: hxxp://047.088.216.068:8888/test.dat

Wenn ich den Internetzugang blockiere, erhalte ich keine Meldungen. Auffallend sind die Zeiten, zu denen diese Meldungen aufpoppen.

Was kann ich hier tun? Ich weiß ja nicht einmal, wo und wie ich die Schadsoftware suchen soll.

Ein Fullscan mit Malwarebytes hat erbracht, daß keine Bedrohung gefunden wurde. Was in der Test.dat drinsteht, weiß ich nicht, vermute aber Windows-Script.

Die IP-Nummer wird von einigen Webseiten in Kanada lokalisiert, einige andere meinen, sie käme aus China. Keine Ahnung, was zutrifft. Ich vermute, irgend eine Schadsoftware versucht, diese Datei test.dat herunterzuladen und auszuführen. Ergo hätte ich bereits einen Virus auf dem Rechner.

Im Entwicklerforum (bin Delphi-Programmierer) hat man mich auf eine gewisse ser.exe hingewiesen:

hxxp://www.2-spyware.com/file-ser-exe.html

Die Empfehlungen vor dem Posten einer Hilfe-Anfrage habe ich gelesen und ausgeführt. Dabei bin ich auf das Userprofil UpdatusUser gestoßen, das mir zuvor unbekannt war und das auch nicht in der Liste der Profile auftaucht (Systemsteuerung -> Benutzerkonten -> anderes Konto verwalten). Dieses Konto wurde am 27.12.2016 angelegt, aber nicht von mir.

Da die Logdateien zu groß sind, versuche ich, sie in zwei anschliessenden Beiträgen zu posten.

Ich hoffe, es kann mir jemand weiterhelfen.

Gruß aus Dublin

FRST.txt

Addition.txt
 

Addition.txt

Vergessen hatte ich zu erwähnen, dass Avast diesen Virus identifiziert haben will:

Win32:Rootkit-gen [Rtk]
Prozess: C:\Windows\System32\wbem\scrons.exe

Ergänzung: Habe heute vor Mitternacht noch einmal einen Malwarebyte-Scan durchgeführt und bin dann erstmal schlafen gegangen. Nach knapp drei Stunden war ich aber wieder wach und habe nachgesehen: Malwarebytes hat folgende Dateien als Bedrohung identifiziert und in Quarantäne verschoben:

hi,

ist das ein gewerblich genutztes System?


Falls ja: Bitte zuerst mal die Regeln bzgl gewerblich genutzter Rechner lesen --> http://www.trojaner-board.de/108422-...-anfragen.html

Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".

Hallo,

ich habe die Regeln gelesen. Mein Computer wird hauptsächlich privat genutzt. Ab und zu, wenn ich mal einen Auftrag erhalte, nutze ich ihn natürlich auch dafür, denn ich habe keinen anderen Rechner. Derzeit habe ich keinen Auftrag, sondern programmiere wie meistens für mich privat an einem meiner privaten Projekte. Ich lebe von Hartz-IV, also in Armut, bin 57 Jahre, finde natürlich keinen Job mehr und kann mir deshalb auch keine Hilfe leisten, die was kostet. Muß ich jetzt meinen letzten Hartz-IV-Bescheid hier posten? Ich kriege knapp 800,- Euro, wovon nach Abzug aller Fixkosten fast 200,- Euro übrigbleiben, von denen ich leben muß. Ich leide sehr unter dieser Armut, aber noch mehr darunter, als Untermensch, unwürdiger Mensch, ja sogar als vernichtenswerter Schmarotzer behandelt zu werden. Leider kann ich nicht, wie hier in diesem Fall auch, alle Kontakte vermeiden, die zu solchen Behandlungen führen. Ich weiß hier nicht weiter, werde aber darauf hingewiesen, daß ich erstmal Bakshish abdrücken soll, bevor mir geholfen wird?

Irgendwelche privaten Daten konnte ich in keinem der Logfiles finden.

Soeben habe ich wieder eine Blockade-Meldung von Avast erhalten, die nicht mal in die Benachrichtigungsliste eingetragen wurde. Wenn ich Windows hochfahre, sind bei Avast nicht alle Module aktiviert, das war vorher anders, da war Avast immer gleich im vollen Schutzmodus. Ich kann mir leider auch keinen "vernünftigen" Virenschutz leisten.

Ich hab inzwischen einen weiteren Scanner (da gibts doch noch was von Malwarebytes) laufen lassen, der ebenfalls nichts gefunden hat.

Wenn ihr mir nicht helfen wollt, dann sagt es soch einfach frei heraus, dann such ich eben anderswo nach Hilfe.

Wieso kannst du den Text nicht einfach richtig lesen?

NIRGENDS steht, dass wir nicht helfen wollen. Und es wurde extra betont, dass wir helfen wenn jmd keinen eigenen IT Support hat weil sich das nicht lohnt oder weil er kein Geld dafür hat oder warum auch immer.

Steht da irgendwo, dass du hier uns über deine monatlichen Einkünfte informieren musst? Nein? Warum also postest du so einen Unsinn?! :wtf:

Das was mir besonders wichtig ist habe ich deutlich noch mal farblich hervorgehoben. Ich hoffe zumindest das wurde richtig gelesen und verstanden. :kaffee:

Sorry, wenn ich etwas überreagiere, aber ich bin voll genervt und habe Angst, daß mein System zusammenbricht oder irreparabel beschädigt wird. Angst begleitet mein Leben seit vielen Jahren, Angst vor dem Jobcenter, Angst vor den Mitmenschen. Vor einigen Jahren wurde ich sogar verprügelt, nur weil einer zu seinen Kumpels gemeint hat, "wir sollten mal wieder ein paar Hartzer klatschen". Man sieht mir meine Armut an, ich bin seit vielen Jahren arm und werde das wohl auch im Alter bleiben. Verzweifelt versuche ich immer wieder, irgend was dazuzuverdienen, um zumindest mal einen Staubsauger oder eine Waschmaschine kaufen zu können. Meist langt es gerade dafür, die verschlissene Kleidung ersetzen zu können und ein paar Sachen, die man ständig braucht, auf Vorrat zu kaufen. Das Geld reicht nie wür die tatsächlichen Bedürfnisse. Mit der Zeit wird man da überempfindlich, man kann gar nicht mehr "normal" sein, was immer normal auch sei.

Nur weil ich ein bissel was dazuverdiene, bin ich natürlich gewerblich, aber ich hab trotzdem kein Geld und lebe von der Hand in den Mund, kaufe gebrauchte Klamotten, frequentiere die Tafeln usw. Oft hab ich nichtmal einen eigenen Internetanschluß, weil ich nicht zahlen kann, und muß dann den von meiner Nachbarin nutzen, die sowieso den ganzen Tag auf Arbeit ist.

Kurzum, und sorry, aber ich bin längst emotional geschädigt, sozialphobisch, ein gestörter Mensch, der systematisch kaputtgemacht wurde von den deutschen Hartz-Gesetzen und den medial aufgehetzten Mitmenschen. Ich kann nicht anders.

Es ist hier offenbar wie überall, man muß sich, um überhaupt Hilfe bekommen zu dürfen, erst vollständig entkleiden und zeigen, daß man eine arme Haut ist. Und selbst dann wird einem oft nicht geglaubt, die Bettler in den Straßen sind ja auch alle professionell organisiert bei der rumänischen Bettlermafia, sagen die Leute.

Ich weiß jetzt noch immer nicht, ob mir hier jemand helfen kann und will. Sicher muß ich noch weitere Erklärungen schreiben, und damit mich weiter entblößen und am Ende mache ich mich durch meine direkte Art unbeliebt und fliege aus dem Forum. Das ist mir schon öfter passiert.

Dass du arm bist tut mir Leid hat aber nix mit deinem Computerproblem direkt zu tun!
Also komm nicht von hundertsten ins tausendste und dichte in Hinweisen und Regeln nicht irgendeinen Unsinn rein; niemand fordert hier eine "Entkleidung" :balla:

Es ist doch ganz einfach: wir sehen hier einen neuen Thread. Und nun stell dir mal vor, wir können nicht sehen, ob hinter dem Hilfesuchenden ein Angestellter, ein Chef, ein Selbständiger oder sonstwer steckt, ich sehe nur bestimmte Programminstallationen oder Konfigs die ein Indiz für gewerbliche Nutzung sein können. Und dann gibt es eben den entsprechenden Hinweis v.a. dass wir eben hinter keine kompletten Logfiles löschen!

Ein einfaches "ja ich hab die Hinweise gelesen und weiß nun, dass ihr keine kompletten Logfiles löscht" hätte gereicht, deine Lebensgeschichte ist hier völlig unnötig.

Und wie geht's jetzt weiter? Geht's irgendwie weiter? Wie gesagt, ich leide (u.a.) unter Zwangshandlungen, ich kann nicht anders als meiner lange angestauten Empörung Luft zu machen. Ich entschuldige mich dafür, wenn ich dir Unrecht getan habe, aber mir wird ständig Unrecht getan. Müssen wir das jetzt ausdiskutieren oder darf ich dann doch irgendwann auf Hilfe hoffen? Du könntest doch auch einfach schreiben, meine Befürchtungen treffen nicht zu, du bist keiner von denen, die auf andere herabsehen, nur weil sie arm sind und in Not leben. Da könnte ja jeder kommen und sagen, er habe kein Geld, nur damit er was umsonst kriegt. Da gibts bei den Tafeln auch welche, die kriegen trotzdem was, es ist immer genug da.

Wie gesagt, ich gestehe freimütig: ich bin ein emotional gestörter Mensch, also ein emotionales Wrack, und das ist nicht verwunderlich. Aber eigentlich bin ich hier nicht reingeschneit, um das zu thematisieren, ich wollte eigentlich nur um Hilfe bei meinem Virusproblem bitten.

Danke.

:wtf: :wtf: :wtf:

Sag doch einfach klar und deutlich, dass du meine Hinweise gelesen und verstanden hast :kaffee: (es werden keine Logfiles im Nachhinein gelöscht)

Ich sage klar und deutlich: Ich habe mehrfach gelesen, daß keine Logfiles im Nachhinein gelöscht werden ... was immer das auch bedeutet. Vermutlich bewahrt ihr die Logfiles auf, wozu auch immer. Oder meinst du damit die Logfiles, die ich hier gepostet habe, werden nicht aus der Forendatenbank gelöscht? Ja und, das ist mir völlig egal, ob ihr da was löscht oder nicht, auch wenn ich glaube, das nicht ganz richtig verstanden zu haben. Aber egal, ich brauche Hinweise, wie ich diesen Trojaner entfernen kann, der zum Glück noch immer von Avast in Schach gehalten wird. Leider kann ich der Empfehlung, den Rechner bis zur Bereinigung nicht mehr zu verwenden, nicht nachkommen, denn ich habe nur diesen einen Rechner und kenne auch niemanden, der mich die nächsten Tage ständig an seinen Rechner läßt. Geld für Internetcafé hab ich im Moment leider auch keines.

Danke.

Nachtrag

Mit einer als Admin ausgeführten Konsole konnte ich soeben die verantwortliche Datei C:\Windows\System32\wbem\scrcons.exe in einen gesonderten Ordner kopieren. Im Explorer wie auch im FreeCommander ist diese Datei nicht sichtbar, wenn sie sich in wbem befindet, im gesonderten Ordner dagegen schon. Ein Scan dieser Datei bei VirusTotal hat keine Verseuchung gezeigt:

https://www.virustotal.com/de/file/60c1258ef64fdcd0bcc1f87679935d1199e085663bcb17c14ea1c65a07a8c3db/analysis/1494082794/

Das ist dann wohl die Original-Windows-Datei. Da wird dann offenbar eine verseuchte scrcons.exe drüberkopiert? Von wem? Ich hab keinen Durchblick hier.

http://www.delphiman.de/BIN/C-WINDOW...em.scrcons.jpg

Gut, dann können wir ja endlich anfangen :rofl:

Bitte Avast deinstallieren. Am besten mit Revo, siehe weiter unten.
Das Teil können wir einfach nicht mehr guten Gewissens empfehlen. => Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog
Auch andere Freewareanbieter wie Avira, AVG oder Panda springen auf diesen oder ähnlichen Zügen rauf, basteln Junkware in die Setups, arbeiten mit ASK zusammen etc; so was ist bei Sicherheitssoftware einfach inakzeptabel.



Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  
  (alles von Avast)
  
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Gib Bescheid wenn Avast weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

Avast ist jetzt weg. Muß ich jetzt erstmal neu starten, weil Revo Uninstaller nicht alle Avast-Dateien und -Verzeichnisse löschen konnte?

Und wie ist das jetzt mit der Bedrohung? Wenn Avast weg ist, kann doch die Schadsoftware ungehindert die Test.dat herunterladen, oder?

Ich sehe hier im Verbindungsmonitor ständig die Adresse cloudfront.net, seit ich Avast deinstalliert habe.

Und die rundll.exe ruft dauernd worra.com:80 auf.

... mbar.exe scannt die Systemplatte ...

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Mbar ist fertig und hat folgendes Logfile hinterlassen:

Der Rechner wurde neu gebootet und, weil ich vor ein paar Tagen Malwarebytes installiert habe, diese ebenfalls gestartet. Seit dem Beginn der Unterstützung durchs Trojanerboard hab ich nichts weiter installiert und während des MBar-Scans auch alle anderen Programme beendet.

Ich warte jetzt auf neue Anweisungen.

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!



1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass adwCleaner so eingestellt wie auf diesem Screenshot zu sehen:
  
  http://saved.im/mtg4nzk1egdo/malware...r-settings.png
  
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Okay, AdwCleaner und Junkware Removal Tool haben ihre Arbeit erledigt.

AdwCleaner[C0].txt
JRT.txt
Bist du heute nochmal online, dann warte ich so lange. Andernfalls würde ich einen anstehenden Termin wahrnehmen, den ich sonst absagen müßte.

adwCleaner zwecks Kontrolle wiederholen

Hallo, bin wieder zurück. AdwCleaner hat nichts gefunden:

Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Untersuchen klicken

http://www.trojaner-board.de/picture...&pictureid=611

Ganz frisch:

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Sorry, hat ein bißchen länger gedauert, weil ich aus Versehen zuerst die ganze HTML-Seite in die Fixlist.txt kopiert hatte, und damit konnte FRST nichts anfangen. Nun hat's aber geklappt und hier ist die Fixlog.txt:

Danach hat der Rechner von alleine einen Neustart hingelegt. Ist jetzt alles prima?

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Die Datei C:\Windows\SysWOW64\TMSWebOSMapsDXE6.bpl ist offenbar sauber:
https://www.virustotal.com/de/file/fd3ef11f2b83d6e9caa026c0460cd7826c7c25b4cc9e8b4b520fd1fe75b5dffa/analysis/1494106152/

Hab dann auch gleich die C:\Windows\SysWOW64\TMSWebOSMapsDXE7.bpl von virustotal scannen lassen, ebenfalls kein Fund:
https://www.virustotal.com/de/file/6fb95587d2d0dfb9b1e40949d489f23bce0da9585f6bfdb105c367e93cd70403/analysis/1494106477/

Die BuBa.ini, die in der Fixlist.txt steht, ist von mir bzw von einer meiner selbst entwickelten Anwendungen.

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Eset läuft und ist in 8 Minuten bei 1 Prozent. Das sind dann 800 Minuten, so lange halte ich nicht mehr durch, ich hatte heute kein Mittagsschläfchen.

Ist es okay, wenn ich den Eset-Scan einfach weiterlaufen lasse und zu Bett gehe? Kann ja nichts passieren, oder? Malwarebytes ist aktiv, notfalls kann ich auch die Internetverbindung blockieren, macht das Sinn?

ESET kann lange dauern...stell bitte nur sicher, dass dein Rechner nicht den Bildschirmmodus reinhaut oder runterfährt oder Energiespargehampel macht.

Eset läuft jetzt schon seit über 12-1/2 Stunden und ist erst bei 25 Prozent. Das kann ja heiter werden, aber was will man machen. Eset hat bislang eine infizierte Datei gefunden (Variante von Win32/Packed.NoobyProtect.L), und das ist eine zuviel, die muß weg, und wenn da noch eine ist, lohnt es sich ja auch, den Rechner heute und auch am Montag noch weiter scannen zu lassen.

Ich fürchte, langsam schwant mir, woher das kommen könnte: Man hatte mich kürzlich gebeten, eventuell eine Entwicklungsarbeit fortzusetzen, die mit einer recht alten Delphi-Version begonnen und dann, vermutlich wegen relativ unstrukturierter Entwicklung, nicht fortgesetzt wurde, obwohl der Auftraggeber dem Entwickler dafür tausende von Euros überwiesen hatte. Dieser Entwickler ist nun raus, ich bin aber noch nicht drin. Ich habe für einen kleinen Pauschalbetrag die Software untersucht und habe mir die Funktionsweise der diversen Kompilate erklären lassen. Bereits am vergangenen Donnerstag ließen sich die Kompilate des vorherigen Programmierers nicht mehr öffnen, es hagelte plötzlich Fehlermeldungen. Daraufhin hab ich sie erstmal bei VirusTotal durchlaufen lassen: alle EXE enthielten suspected of Trojan.Downloader.gen.h.

Ob das wirklich von diesem vorherigen Entwickler so beabsichtigt war, kann ich natürlich nicht mit Sicherheit sagen, denn in dem Delphi-Code, der mir überlassen wurde, konnte ich bislang nichts entsprechendes finden. Der Auftraggeber arbeitet noch mit dieser alten Version, habe ihn bereits darüber informiert, daß er durch diese womöglich ausspioniert wird.

Mich würde interessieren, welchen Echtzeitschutz das Trojanerboard empfiehlt. Ich hatte bis Mitte letzten Jahres Norton Internet Security (Bezahlversion), die ich mir aber nicht mehr leisten konnte, weil ich letztes Jahr nur ein paar hundert Euro eingenommen hatte. Wenn ich den Auftrag bekomme, kann ich mir auch wieder eine Vollversion leisten, egal von welcher Schutzsoftware. Gerne werde ich mich an die Empfehlungen des Trojanerboards halten, denn ich habe inzwischen einiges recherchiert und bin überzeugt davon, daß hier bei euch die engagiertesten und vermutlich auch ehrlichsten Fachleute sitzen, die keinen Sch.... anpreisen, nur weil sie bei der Firma angestellt sind.

Übrigens habe ich euch gestern via Paypal (meine eiserne Reserve) 20 Euro gespendet.

Ich melde mich dann wieder, wenn der Eset-Scan und der Security-Check durch sind.

Update: Inzwischen ist Eset bei 47 Prozent und hat 14 mutmaßlich infizierte Dateien gefunden. Scheint ja voranzugehen.

Frage: Mein Rechner hat Dual-Boot. Auf einer Partition ist noch immer WinXP installiert. Das brauch ich nur selten, weil ich eine alte Digital-Kamera besitze, für die es keine Treiber für Win7 gibt. Mit Win7 komme ich nicht an den Datenspeicher der Kamera, um Bilder runterzuladen. Ist es ratsam, das ganze Procedere auch mit WinXP durchzuführen?

fertig

Eset.txt:
Check.txt

Bitte das Log von ESET vollständig posten. Mit den Meta-Infos, die am Anfang des Logs sind.

Windows XP kannst du in die Tonne treten. So ein Quatsch, nur für die Digicam? Besorg dir für ein paar Euros nen Kartenleser, dann kannst du die SD-Card der Digicam direkt auslesen.

Bitte das Log von ESET vollständig posten. Mit den Meta-Infos, die am Anfang des Logs sind.

Windows XP kannst du in die Tonne treten. So ein Quatsch, nur für die Digicam? Besorg dir für ein paar Euros nen Kartenleser, dann kannst du die SD-Card der Digicam direkt auslesen.

Kann man hier irgendwie einstellen, daß Antworten nicht automatisch an die letzte Antwort angehängt werden und somit kein neuer Post entsteht?

Eset hat sich nach der Beendigung selbst deinstalliert. Es gibt keinen Eset-Ordner mehr. Die Datei, die ich gepostet hatte (Eset.txt), ist die einzige, die ich noch habe. Muß ich jetzt Eset nochmal durchlaufen lassen?

Wenn ich XP herunterschmeiße, muß ich vermutlich auch Win7 neu aufsetzen, denn die Boot-Dateien befinden sich in WinXP. Außerdem hab ich noch ein paar andere Programme, die in Win7 nicht laufen, und auf die ich nicht verzichten kann.

Guten Morgen,

jetzt hab ich's hoffentlich richtig gemacht, sonst bin ich im Sommer noch beim Scannen :dankeschoen:

log.txt
checkup.txt

Was soll denn das bitte für Uraltprogramme sein? :balla:
Programme, die im mittlerweile acht Jahre alten Windows 7 nicht laufen müssen ja wohl aus dem letzten Jahrhundert stammen. :kaffee:



Keine Downloads mehr von CHIP.de!

Die verarschen ihre Kunden aus reiner Profitgier. Siehe auch http://www.trojaner-board.de/168364-...mpfehlung.html und CHIP-Installer - was ist das? - Anleitungen




FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hat ein wenig länger gedauert, weil Farbar Recovery Tool abgestürzt ist:
http://www.delphiman.de/BIN/FarbarAbsturz.jpg
Ging erst nach einem Neustart wieder. Malwarebytes war jetzt während des Scans vollständig deaktiviert, ich habe auch darauf geachtet, daß der Dienst beendet wurde. Jetzt hat FRST auch ein korrektes Update hinbekommen:

FRST.txt

Addition.txt

Und :daumenhoc für die Hinweise zu Chip, ich lade von denen nichts mehr herunter, hab ja gesehen, daß hier haufenweise Müll von Chip.de zu finden war.

Eines meiner alten Programme ist Textbridge, das bei einem meiner früheren Scanner dabei war und das auf Win7 nicht läuft. Habe bereits mehrere kostenfreie OCR-Erkennungen und diverse Trialversionen ausprobiert. Die Fehler von Textbridge kenne ich nun über die Jahre, andere OCR-Programme machen andere Fehler. Wenn ich mir mal einen neuen Rechner leisten kann, kommt da natürlich kein XP mehr drauf. Aber jetzt brauch ich's eben noch ab und zu, auch wenn's veraltet ist. Auch mein Fahrrad ist total veraltet, ich hab aber kein anderes :crazy:

Deswegen bei XP hängenzubleiben ist aber schon ziemlich schräg. Ich verwende als PDF-Betrachter immer PDF X-Change Viewer unter Windows. Der hat ne OCR Engine.

Die Anleitungen bitte genauer lesen. Ich bat um einen FRST-Fix samt fixlog. Nicht neue Logs von FRST.txt und Addition.txt.

Sorry, war mein Fehler. Hier die Fixlog.txt:

Was ist jetzt noch an Problemen offen?
Dass du XP wegschmeißen musst ist ja angekommen oder? Zumindest darf es nicht mehr ins Internet. Also Kabel ziehen und dann erst Windows XP booten. Und natürlich auch KEINE wifi Verbindungen unter XP.

Okay, deinem Rat, mit XP nicht ins Internet zu gehen, werde ich gleich mal umsetzen: Ich blockiere den Internetverkehr unter XP vollständig. Updates brauch ich in XP ja nicht mehr.

Bin ich damit jetzt erstmal virenfrei?

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend müssen wir noch ein paar Schritte unternehmen, um dein System aufzuräumen und abzusichern.


Cleanup
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.



Absicherung
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen - sofern benötigt, wenn nicht benötigt natürlich sinnigerweise deinstallieren oder Alternativen verwenden (und diese aktuell halten).

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden; Sicherheitslücken werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Besonders aufpassen bzgl. der Aktualität musst du bei folgender Software:

• Browser (Internet Explorer, Edge, Firefox, Chrome, ...)
  
  
• Flash Player: Was Adobe mit seinem Flash Player veranstaltet, ist irgendwo zwischen Frechheit und Inkompetenz einzustufen; in dem Teil werden ständig neue dicke Sicherheitslücken gefunden - für YT reicht meistens HTML5 aus, das ist der Standardplayer wenn der Flash Player inaktiv oder nicht installiert ist; für spezielle Browsergames kann es aber sein, dass du den Flash Player brauchst. Nutze Flash so sparsam wie möglich und wenn dann immer aktuell halten!!
  
  
• Java: Spielt kaum noch eine Rolle. Fast nirgendwo werden mehr Java-Applets eingesetzt. Wird noch für spezielles Zeugs in OpenOffice genutzt, IIRC brauchen auch manche Games Java. Aber wirklich sehr selten.
  
  
• PDF-Reader: NICHT den AdobeReader benutzen, sondern besser sowas wie PDF-X-Change Viewer; der interne PDF-Betrachter vom Firefox reicht meist auch aus. Vermeide Adobe unbedingt, das ist eine Firma mit miserabler Sicherheitspolitik!

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden. Alternativen zu NoScript (wenn um das das Verhindern von Usertracking und Werbung auf Webseiten) geht wären da Ghostery oder uBlock. Ghostery ist eine sehr bekannte Erweiterung, die aber auch in Kritik geraten ist, vgl. dazu bitte diesen Thread => Ghostery schleift Werbung durch

http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.




Virenscanner + Firewall
Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf!

Die Dinger sind mittlerweile auch unter Windows stark umstritten und können Probleme bereiten, die man so ohne AV einfach nicht haben wird. Zudem werden sie auch niemals jeden Schädling finden können. Aussagen der Anbieter dieser Software entpuppen sich regelmäßig als Marketinggeblubber. Lies dazu => Aus aktuellem Anlass: Antivirus-Schlangenöl | Elias Schwerdtfeger und => http://www.golem.de/news/antivirenso...12-125148.html

Verwende also MAXIMAL ein einziges der folgenden AVs mit Echtzeitscanner und stets aktueller Signaturendatenbank; verwende immer nur reine Virenscanner (keine Produkte mit Suite oder Internet Security in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird!)

• Emsisoft Anti-Malware (kostenpflichtig)
  
• Microsoft Security Essentials (kostenlos)

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und/oder mit dem ESET Online Scanner scannen.



Grundsätzliches
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups deiner wichtigen Dateien oder des Systems (genaueres unten im Lesestoff zu Backups)

Finger weg von Registry-Cleanern, Optimizern usw!!! - die Performancesteigerung ist umstritten bis ganz klar nicht belegbar, dafür hast du ein großes Risiko dein System zu zerstören v.a. bei Registry-Operationen. Das Beste ist, die windowseigene Datenträgerbereinigung zu verwenden - und die Registry in Ruhe zu lassen!

Lade Software immer von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Finger weg von chip.de oder softonic!
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner.

Jetzt bin ich mal so richtig erleichtert nach langer Zeit :applaus:


Habe mir gerade Drive Snapshot angesehen. Die fälligen 39 Euro kann ich wohl noch aufbringen.

Jetzt bleibt nur noch die Frage nach dem zu installierenden Echtzeit-Schutz.

Habe mir jetzt Malwarebytes Antiexploid und Emisoft Antimalware installiert. Geld für ein neues Windows hab ich zur Zeit nicht, aber diese beiden Tools kann ich wohl bezahlen, gilt ja glaub ich für ein Jahr. Geld für ein USB-Laufwerk hab ich auch gerade keines, aber womöglich am Ende des Monats, wenn einer meiner Schuldner seine monatliche Rate begleicht.

Und wie bereits erwähnt: Ich habe via Paypal bereits was gespendet, das ist es mir wert.

Danke für deine Mühe, deine Geduld und Ausdauer und auch für dein Verständnis.