trojan.win32.firehooker.a von Kaspersky gemeldet
 

Hallo zusammen,

meine Antivirensoftware Kaspersky hat mir die Infektion mit einem Trojaner (Trojan.Win32.FireHooker.a) gemeldet. Die empfohlene Bereinigung über Kaspersky habe ich durchgeführt, allerdings ist beim Neustart wieder die Meldung mit der gleichen Malware vorhanden. Das Betriebssystem ist Windows 7 (64-Bit Version).

Außerdem habe ich mir ein weiteres Programm eingefangen, dass ich nicht mehr loswerde: not-a-virus:Downloader.Win32.ADload.qzmw

Ich selbst bin leider kein erfahrener Computernutzer, daher würde ich mich über eine auf Anfänger zugeschnittene Hilfe freuen; herzlichen Dank im Voraus.

Freundliche Grüße
Jack64

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Cosinus,

und schon mal vielen Dank für Deine Hilfe... das ging sehr schnell.

Ich kümmere mich jetzt noch um den anderen Teil, den Du beschrieben hast.

Freundliche Grüße
Jack64

FRST Additions Logfile:
--- --- ---
Error: (12/19/2015 07:09:01 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "WD Backup" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (12/19/2015 07:01:47 PM) (Source: DCOM) (EventID: 10000) (User: )
Description: C:\Windows\system32\igfxsrvc.exe -Embedding5{078AEF33-C48A-49F7-AFF3-A0EE810BFE7C}

Error: (12/19/2015 05:15:35 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "WD Backup" ist vom Dienst "WD Rules" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1053

Error: (12/19/2015 05:15:05 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "WD Rules" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053

Error: (12/19/2015 05:15:05 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst WD Rules erreicht.

Error: (12/19/2015 04:07:31 PM) (Source: Microsoft-Windows-Kernel-General) (EventID: 5) (User: NT-AUTORITÄT)
Description: 0x8000002a99\??\Volume{40c656b6-1382-11e0-bf53-806e6f6e6963}\System Volume Information\SystemRestore\New-system

Error: (12/19/2015 03:55:01 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "WD Backup" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (12/19/2015 03:53:32 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Type" aufgrund folgenden Fehlers fehlgeschlagen:
%%5

Error: (12/19/2015 03:53:22 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Type" aufgrund folgenden Fehlers fehlgeschlagen:
%%5

Error: (12/19/2015 03:52:59 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Type" aufgrund folgenden Fehlers fehlgeschlagen:
%%5


CodeIntegrity:
===================================
Date: 2015-07-28 20:57:20.184
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\AVG\AVG PC TuneUp\avgdumpx.exe" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-07-28 20:57:20.075
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\AVG\AVG PC TuneUp\avgdumpx.exe" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-07-28 20:57:19.965
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\AVG\AVG PC TuneUp\avgdumpa.exe" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-07-28 20:57:19.825
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\AVG\AVG PC TuneUp\avgdumpa.exe" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-01-27 16:14:53.327
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-01-27 16:14:53.327
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-01-27 16:14:53.311
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-01-27 16:14:53.311
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\KLELAMX64\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-01-27 16:14:53.311
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\KLELAMX64\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2015-01-27 16:14:53.311
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\KLELAMX64\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz
Prozentuale Nutzung des RAM: 59%
Installierter physikalischer RAM: 3767.05 MB
Verfügbarer physikalischer RAM: 1520.58 MB
Summe virtueller Speicher: 7532.32 MB
Verfügbarer virtueller Speicher: 4763.76 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:931.41 GB) (Free:839.78 GB) NTFS
Drive e: (WD SmartWare) (CDROM) (Total:0.63 GB) (Free:0 GB) UDF
Drive f: (My Book) (Fixed) (Total:930.86 GB) (Free:788.42 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 2CDDF25E)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=931.4 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 930.9 GB) (Disk ID: 0002AE3F)
Partition 1: (Not Active) - (Size=930.9 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================[/CODE]

Bitte korrigiere die CODE-Tags. Hier gibt es extra eine Vorschaufunktion, die ist nicht nur zu Deko da.

Hallo Cosinus,

mea culpa; hast natürlich recht.

Danke & Gruß
Jack64

Das Hauptlog von FRST fehlt...

Sorry, ich dachte der erste Post mit dem Hauptlog wäre verwendbar gewesen.... bin heute Abend wieder zu Hause am Rechner und poste dann noch den Hauptlog (nur den Hauptlog von FRST)

Hier ist das Hauptlog von FRST:


FRST Logfile:
--- --- ---


Tut mir leid, dass ich Deine Gedukd strapaziert habe.... und nochmal vielen Dank!

Adware/Junkware/Toolbars entfernen

1. Schritt: Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

(alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!)

2. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

3. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

4. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo cosinus,

ich habe die Schritte wie oben beschrieben durchgeführt, hier sind die Ergebnisse (über 2 Antworten aufgrund der Größe)

1. Malwarebytes
2. Schritt AdwCleaner
AdwCleaner Logfile:
--- --- ---

[/CODE]

3. Schritt Junkware Removal Tool
Soweit der 1. Teil meiner Antwort

... und hier der 4. Schritt (FRST)


FRST Logfile:
--- --- ---


und hier die Addition.txt:

Auch wenn ich vermutlich noch nicht alles Aktivitäten abgeschlossen habe: ich wünsche Dir ein schönes Weihnachtsfest und danke nochmal ganz herzlich für Deine Hilfe.:applaus:

Hallo Cosinus,

die Software Malwarebytes hat sich gestern gemeldet, da die Testphase abgelaufen ist... ich nehme an, Du bist aber noch im Urlaub?

Gruß
Jack64

Nein, dein Beitrag ist übersehen worden über die Feiertage.
Die Testphase von MBAM hat hier keinerlei Relevanz.

Bitte mach neue FRST-Logs, die letzten sind zu alt...

ok, hier ist das neue Log

FRST Logfile:
--- --- ---


und hier die Addition

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.