Filename.exe-Virus eingefangen
 

Hallo,

ich wurde auf Steam von einem fremden User angeschrieben, der hat mir einen Link zu einer Printscreen-Fake-Seite geschickt. (hxxp://prntscr.com/ae2xsu) Dort hat sich ein Download von einer .scr, also einer Screensaver-Datei gestartet. Normalerweise bin ich ja nich so blöd, ich hab aber drauf geklickt. :headbang: :headbang: :headbang: Währenddessen war McAfee aktiv, hat sich aber nicht gemeldet.

Es ist zwar nur ein Screensaver, er hat aber trotzdem mehrere Dateien auf meinem System erstellt. Hier ein Virustotal-Link: https://www.virustotal.com/de/file/aa3b3b7f47896dead91f9859bbf9b4772187a7a4bdefeaa834793a479326f555/analysis/ Dort findet sich die Information dass die Datei C:\ProgramData\Folder\Filename.exe erstellt wurde, diese existiert auch bei mir. (https://www.virustotal.com/de/file/a9d241e6ee2074d75f4e794cd2f84c1a449295cc30b2723170e542e3bfbc8015/analysis/)

Ich hoffe mein PC ist nicht zu bleibend infiziert, ich weiß, man sollte am besten neu aufsetzen, aber dazu hab ich einfach nicht die Nerven.

Mfg,
Philip

:hallo:
Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist
• Wenn ich dir nicht binnen 36h antworte, sende mir bitte eine persönliche Nachricht!

Los geht's :abklatsch:

Schritt: 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt: 2
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo,

ich habe gerade meinen PC wieder gestartet, und diese Nachricht bekommen; hxxp://prntscr.com/aeb6an Im Task-Manager läuft folgendes Programm, ich bin mir sicher dass es der Virus ist:

hxxp://prntscr.com/aeb6wy
hxxp://prntscr.com/aeb6wy
hxxp://prntscr.com/aeb7hi
hxxp://prntscr.com/aeb7sn
hxxp://prntscr.com/aeb7yk
hxxp://prntscr.com/aeb8ho

In den Links wird komischer weise ht tp:// durch hxxp:// ersetzt.

Hier aber dass, wo nach du mich gefragt hast:
Da der Post sonst zu lang wäre, hab ich die Logfiles bei Pastebin hochgeladen, ich hoffe das ist kein Problem. Hier die Links:

hxxp://pastebin.com/SG17PX8A
hxxp://pastebin.com/3kU1NDBX

hxxp://pastebin.com/u6NT1mCC

Die 2 von TDSSKiller erkannten Objekte gehören zu meiner Tastatur und Maus von Roccat.

Danke für deine Hilfe!

MFg,
Philip

Bitte füge zu lange Logs als Anhang an, externe Hoster erschweren mir ziemlich die Arbeit.

Das ändern zu hxxp ist aus Sicherheitsgründen automatisch bei "Usern", damit man nicht aus versehen auf einen potentiell infizierten Link klickt.

Schritt: 1
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt: 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt: 3
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.