Trojaner-Board - Überprüfung des Systems

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Überprüfung des Systems (https://www.trojaner-board.de/149108-uberpruefung-systems.html)

Moment. Ich muss vorher noch die Festplatte C durchsuchen lassen, da ich noch durch die voreinstellung die Platte D nur "angekreuzt" hatte, sobald dies geschehen ist, poste ich.

Edit:

Irgendwas musste ja kommen.
Ich habe das Programm noch offen und zurzeit auch noch nichts unternommen, ich warte bis zur nächsten Antwort:

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2014.02.03.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 11.0.9600.16476

Basti :: BASTI-PC [Administrator]
 

03.02.2014 15:33:08

MBAM-log-2014-02-03 (15-38-00).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 229829

Laufzeit: 4 Minute(n), 26 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 1

HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3444c3c5-6c56-4a16-a453-832b05bf6ea4} (PUP.Optional.MoviesToolBar.A) -> Keine Aktion durchgeführt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 3

C:\Program Files (x86)\Bench\Updater (PUP.Optional.AdwarePlugin) -> Keine Aktion durchgeführt.

C:\Users\Basti\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.

C:\Users\Basti\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
 

Infizierte Dateien: 4

C:\Users\Basti\Downloads\SoftonicDownloader_fuer_trackmania-nations.exe (PUP.Optional.Softonic.A) -> Keine Aktion durchgeführt.

C:\Program Files (x86)\Bench\Updater\products.xml (PUP.Optional.AdwarePlugin) -> Keine Aktion durchgeführt.

C:\Users\Basti\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.

C:\Users\Basti\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
 

(Ende)

Adware Reste bitte löschen
Mach dann mit ESET weiter

Nach dem löschen habe ich AntiMalwareBytes nochmal im Quick-Scan durchlaufen lassen.

Nun fange ich mit ESET an.

Code:

www.malwarebytes.org
 

Datenbank Version: v2014.02.03.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 11.0.9600.16476

Basti :: BASTI-PC [Administrator]
 

03.02.2014 15:45:12

mbam-log-2014-02-03 (15-45-12).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 229144

Laufzeit: 5 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Eset hat 10 sachen gefunden,
allerdings sah es nicht danach
aus als hätte das Programm
diese entfernt, falls das Programm
nicht nur zum suchen da ist:

Code:

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=1

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=df6ee00b85da7c43b97b6f1206af0a29

# engine=16922

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2014-02-03 05:56:37

# local_time=2014-02-03 06:56:37 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 85 79 103613 5386782 0 0

# compatibility_mode=5893 16776573 100 94 15331 143080047 0 0

# scanned=231550

# found=10

# cleaned=0

# scan_time=10504

sh=C4ECD569EC63E6741D5A0BDA7C02AC4B3302C7B9 ft=1 fh=b3ce349f22d4038f vn="a variant of Win32/Adware.Yontoo.A application" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\Yontoo\YontooIEClient.dll.vir"

sh=5CA319EBA10412E2FF4A47FD20624385C11A0C2A ft=1 fh=8ad6e907be4811df vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\AdwCleaner\Quarantine\C\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll.vir"

sh=3E24385B36E9FDDE842CEF71345F5E193F7929AE ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NYC trojan" ac=I fn="C:\Users\Basti\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\7ed1f6ac-3274a720"

sh=A32AA942597786B380ABDA361918B5E6BF4F26D1 ft=1 fh=e10233d53431d7f2 vn="a variant of Win32/Packed.VMProtect.AAH trojan" ac=I fn="D:\Programme\Games\FUSSBALL MANAGER 13\rld.dll"

sh=1FD36E4DDA1E5FB9D0A30E86E16199647572A34B ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NYC trojan" ac=I fn="H:\BASTI-PC\Backup Set 2014-01-05 204811\Backup Files 2014-01-05 204811\Backup files 11.zip"

sh=90F10F47359A84C52E3C527C80273331DCE7B45C ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="H:\BASTI-PC\Backup Set 2014-01-05 204811\Backup Files 2014-01-05 204811\Backup files 12.zip"

sh=B640314DF38CDC57FA3B782A55F4A0675EE1E672 ft=0 fh=0000000000000000 vn="a variant of Win32/Packed.VMProtect.AAH trojan" ac=I fn="H:\BASTI-PC\Backup Set 2014-01-05 204811\Backup Files 2014-01-05 204811\Backup files 6.zip"

sh=129FC52005B6E89CA30F8BC6F77344D100B915C7 ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NYC trojan" ac=I fn="H:\Pc sicherung\BASTI-PC\Backup Set 2013-12-18 194052\Backup Files 2013-12-18 194052\Backup files 10.zip"

sh=B64C018B30A57950651E38CABFD9E3BE586CC157 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="H:\Pc sicherung\BASTI-PC\Backup Set 2013-12-18 194052\Backup Files 2013-12-18 194052\Backup files 11.zip"

sh=4751006C6B0AAFD650362321FCE84F247F7ED5E6 ft=0 fh=0000000000000000 vn="a variant of Win32/Packed.VMProtect.AAH trojan" ac=I fn="H:\Pc sicherung\BASTI-PC\Backup Set 2013-12-18 194052\Backup Files 2013-12-18 194052\Backup files 6.zip"

Zitat:

vn="a variant of Win32/Packed.VMProtect.AAH trojan" ac=I fn="D:\Programme\Games\FUSSBALL MANAGER 13\rld.dll"

Aus welcher Quelle stammt Fußball Manager 13?

Zitat:

Zitat von cosinus (Beitrag 1245514)

Aus welcher Quelle stammt Fußball Manager 13?

Von einem Arbeitskollegen über seinem USB Stick.
Wenn die auch infiziert ist würde ich die natürlich auch löschen, mir egal ob das wichtig ist, hauptsache der Pc ist wieder sauber.

Als die nachricht damals rumging das 16 Millionen Email nutzer betroffen seien, habe ich den Test gemacht. Meine Emailadresse und Passwort waren natürlich betroffen.

Kurz gefasst: Woher genau er das hat kann ich dir leider nicht sagen. Wenn das stimmt woran ich gerade denke dann wundert es mich nicht das die infiziert ist, nur das der Virenscanner nicht angeschlagen hat schon.

Edit: Den Ordner nochmal mit dem Scanner überprüft, schlägt aber komischerweise nicht an.

Zitat:

Von einem Arbeitskollegen über seinem USB Stick.

Also ne gecrackte Version?

Zitat:

Zitat von cosinus (Beitrag 1245634)

Also ne gecrackte Version?

Hab Ihn eben angerufen. Ist eine kopie und woher die kommt kann er nicht sagen.

Also geh ich mal von gecrackt aus.
Aber mir egal woher die stammt, gelöscht werden soll die auf jedenfall :aufsmaul:

Dazu erstmal ein dickes :pfui: :D

TFC - Temp File Cleaner

Lade dir

TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

Öffne die TFC.exe.
Vista und Win 7 User mit Rechtsklick "als Administrator starten".
Schließe alle anderen Programme.
Drücke auf den Button Start.
Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Zitat:

Zitat von cosinus (Beitrag 1245649)

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Also TFC habe ich jetzt mal durchlaufen lassen, es war kein Neustart erforderlich.
Ich habe von Avast einen Werbeblocker der eigentlich relativ gut funktioniert.

Ich werde morgen nochmal Anti-Malwarebytes und mein VirenScanner Avast im vollständigen Suchlauf durchlaufen lassen. Sollte ich etwas finden, werde ich dies hier herein posten.

Bis jetzt bedanke ich mich schonmal bei dir :

1. Für deine Zeit die du für mich geopferst hast :applaus:

und

2. Für das bereinigen der Dateien :abklatsch:

:dankeschoen:

Dann wären wir durch! :daumenhoc

Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden.

Helfen kann dir dabei delfix:

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.