Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Watch4 - auch bei mir (https://www.trojaner-board.de/173733-watch4-mir.html)

Viva 03.12.2015 16:58
Watch4 - auch bei mir
 
Hallo Leute,

das Thema wurde hier ja bereits ausführlich behandelt. Bei mir im Browser (FF) öffnen sich auch Tabs mit watch4, zudem wird öfter wieder der Sound von Werbung abgespielt ohne PopUp oder irgendeiner anderen Werbebanner-Einblendung. Da vielen Usern ja bereits geholfen werden konnte, habe ich mich schon an folgendem Thread entlang gehangelt: http://www.trojaner-board.de/171208-...infach-so.html

Die Programme liefen in folgender Reihenfolge durch:
0) Ich habe versucht FRST über den Link im Thread oben herunterzuladen, hier schlägt aber Antivir Pro an. Ich kann die exe nicht ausführen und daher Logs auch nicht posten. Irgendwelche Hinweise dazu?-> Antivir Log unten
1) MBAM -> keine Funde -> Log leider nicht gespeichert
2) AdCleaner -> 2 Funde -> Log unten
3) JRT -> 2 Funde -> Log unten
4) ESET -> 5 Funde -> Log unten
5) Security Check -> Log unten
6) nochmal MBAM -> keine Funde -> Log unten

ANTIVIR:

Code:
Exportierte Ereignisse:

03.12.2015 15:14 [Browser-Schutz] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://dl.filepony.de/FRST64.exe"
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.1406816' [trojan]
      gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

ADWARECLEANER:

Code:
# AdwCleaner v5.023 - Bericht erstellt am 02/12/2015 um 17:55:05
# Aktualisiert am 30/11/2015 von Xplode
# Datenbank : 2015-11-30.1 [Server]
# Betriebssystem : Windows 8.1  (x64)
# Benutzername : Viva
# Gestartet von : C:\Users\Viva\Desktop\AdwCleaner_5.023.exe
# Option : Löschen
# Unterstützung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****


***** [ Dateien ] *****


***** [ DLLs ] *****


***** [ Verknüpfungen ] *****


***** [ Aufgabenplanung ] *****


***** [ Registrierungsdatenbank ] *****

[-] Schlüssel Gelöscht : HKCU\Software\OCS
[-] Schlüssel Gelöscht : HKU\S-1-5-21-3141987404-2028666206-3031705216-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\OCS

***** [ Internetbrowser ] *****


*************************

:: "Tracing" Schlüssel gelöscht
:: Proxy Einstellungen zurückgesetzt
:: Winsock Einstellungen zurückgesetzt
:: Chrome Richtlinien gelöscht

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [978 Bytes] ##########

JRT:

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.1 (11.24.2015)
Operating System: Windows 8.1 x64
Ran by Viva (Administrator) on 02.12.2015 at 18:21:04,73
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 1

Successfully deleted: C:\Users\Viva\Documents\add-in express (Folder)



Registry: 2

Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CC2368D-60F8-4351-B420-9B848A620F55} (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{1CC2368D-60F8-4351-B420-9B848A620F55} (Registry Key)




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 02.12.2015 at 18:24:31,58
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ESET:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=d36d2d15a718ec4c9d6eb15c562a61a9
# end=init
# utc_time=2015-12-02 05:30:02
# local_time=2015-12-02 06:30:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 27011
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=d36d2d15a718ec4c9d6eb15c562a61a9
# end=updated
# utc_time=2015-12-02 05:33:36
# local_time=2015-12-02 06:33:36 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=d36d2d15a718ec4c9d6eb15c562a61a9
# engine=27011
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-12-02 05:54:18
# local_time=2015-12-02 06:54:18 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 9689333 44008664 0 0
# scanned=59317
# found=0
# cleaned=0
# scan_time=1241
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=d36d2d15a718ec4c9d6eb15c562a61a9
# end=init
# utc_time=2015-12-03 10:25:17
# local_time=2015-12-03 11:25:17 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 27023
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=d36d2d15a718ec4c9d6eb15c562a61a9
# end=updated
# utc_time=2015-12-03 10:26:22
# local_time=2015-12-03 11:26:22 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=d36d2d15a718ec4c9d6eb15c562a61a9
# engine=27023
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-12-03 01:55:06
# local_time=2015-12-03 02:55:06 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 9761381 44080712 0 0
# scanned=387540
# found=5
# cleaned=0
# scan_time=12523
sh=47B19AB97028D8925579BED54EFEE88C8107D6B6 ft=1 fh=34f71966959b3eb8 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Viva\AppData\Local\Temp\DMR\dmr_72.exe"
sh=78ED8FC57DB59C36F814908782A836126294097B ft=0 fh=0000000000000000 vn="PHP/Kryptik.AB Trojaner" ac=I fn="C:\Users\Viva\Desktop\0_Eigene_Projekte\NEU\wp-content\plugins\weather-de.php"
sh=2122F441553A99E3AF8C2A644C463D994771D29C ft=1 fh=e8411accbd8e7a7e vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Viva\Downloads\BullZip PDF Printer Free - CHIP-Installer.exe"
sh=5065259EE3A78B1D3F4C8EDCE3840998DBAFB447 ft=1 fh=4b7e7233e5f25495 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Viva\Downloads\FileZilla - CHIP-Installer.exe"
sh=47D189E20FDB9559414038F3247A115B42D78499 ft=1 fh=d2473c2d7a6571d9 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Viva\Downloads\Opera - CHIP-Installer.exe"
SECURITY CHECK:

Code:
Results of screen317's Security Check version 1.013 --- 11/28/15 
  x64 (UAC is enabled) 
 Internet Explorer 11 
``````````````Antivirus/Firewall Check:``````````````
Avira Antivirus   
Windows Defender 
 Antivirus up to date! 
`````````Anti-malware/Other Utilities Check:`````````
 Adobe Flash Player        19.0.0.245 
 Mozilla Firefox (42.0)
 Google Chrome (46.0.2490.86)
 Google Chrome (47.0.2526.73)
````````Process Check: objlist.exe by Laurent```````` 
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  %
````````````````````End of Log``````````````````````
MBAM:

Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 03.12.2015
Suchlaufzeit: 15:23
Protokolldatei: mwb.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2015.12.03.03
Rootkit-Datenbank: v2015.11.26.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Viva

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 354257
Abgelaufene Zeit: 51 Min., 43 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
Die fünf Datein aus ESETS habe ich nach dem Durchlauf gesucht und gelöscht. Das wars aber vermutlich nicht?

Ich bin für jede Hilfe dankbar!
Grüße, Viva

schrauber 03.12.2015 21:49
hi,

dummes Avira deaktivieren, FRST laufen lassen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55