hilfe giropay24 Zipdatei runtergeladen aber nicht geöffnet ! Virus bzw Trojaner befall?! Hallo habe wie so viele die email von Giropay24 bekommen mit offener Rg von 28 Euro und Anhang. Habe natürlich (weil ich in letzter Zeit viel online gekauft habe) den anhang angeklickt; zip wurde geöffnet und ich konnte dann die datei öffnen, habe ich aber nicht. Kaspersky hat gleich gewarnt und PC runtergefahren Ist mein PC nun befallen? Habe Kaspersky nochmals durchlaufen lassen, Zip datei von PC gelöscht und Email aus dem email programm komplett gelöscht (Wie auch im papierkorb) habe nun das Farber's Recovery Scan Tool runtergeladen und laufen lassen.. resultat : FRST Logfile: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 20-06-2016 01 zweiter Link von FRST FRST Additions Logfile: Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01 |
:hallo: Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
Hinweis: Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co. können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst. Los geht's: Schritt 1 Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
vielen dank. das kam dabei raus |
|
Anleitung nicht gelesen bzw. Parameter nicht ausgewählt. Scan bitte wiederholen. |
Oh, ja leider zu schnell übersprungen. Hier das neue aktuelle Ergebnis |
Wieder falsch. Haken so setzen wie auf dem Bild: http://deeprybka.trojaner-board.de/tdss/options.PNG |
Alle gutgen Dinge sind 3. hier nochmals mit den richtigen Parametern. |
Gut. Schritt 1 Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 2 http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png
Schritt 3 ESET Online Scanner
|
AdwCleaner Logfile: Code: # AdwCleaner v5.200 - Bericht erstellt am 28/06/2016 um 07:59:17 Malwarebytes Anti-Malware www.malwarebytes.org Suchlaufdatum: 28.06.2016 Suchlaufzeit: 08:15 Protokolldatei: mbam.txt Administrator: Ja Version: 2.2.1.1043 Malware-Datenbank: v2016.06.28.01 Rootkit-Datenbank: v2016.05.27.01 Lizenz: Testversion Malware-Schutz: Aktiviert Schutz vor bösartigen Websites: Aktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 10 CPU: x64 Dateisystem: NTFS Benutzer: XXX Suchlauftyp: Bedrohungssuchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 330062 Abgelaufene Zeit: 4 Min., 55 Sek. Speicher: Aktiviert Start: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Aktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (keine bösartigen Elemente erkannt) Module: 0 (keine bösartigen Elemente erkannt) Registrierungsschlüssel: 0 (keine bösartigen Elemente erkannt) Registrierungswerte: 0 (keine bösartigen Elemente erkannt) Registrierungsdaten: 0 (keine bösartigen Elemente erkannt) Ordner: 0 (keine bösartigen Elemente erkannt) Dateien: 0 (keine bösartigen Elemente erkannt) Physische Sektoren: 0 (keine bösartigen Elemente erkannt) (end) ESETSmartInstaller@High as downloader log: all ok # product=EOS # version=8 # OnlineScannerApp.exe=1.0.0.1 # EOSSerial=9b3b4620e4f65442b698869110949a9c # end=init # utc_time=2016-06-28 06:27:50 # local_time=2016-06-28 08:27:50 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # osver=6.2.9200 NT Update Init Update Download Update Finalize Updated modules version: 29935 # product=EOS # version=8 # OnlineScannerApp.exe=1.0.0.1 # EOSSerial=9b3b4620e4f65442b698869110949a9c # end=updated # utc_time=2016-06-28 06:33:06 # local_time=2016-06-28 08:33:06 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # osver=6.2.9200 NT # product=EOS # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.7777 # api_version=3.1.1 # EOSSerial=9b3b4620e4f65442b698869110949a9c # engine=29935 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2016-06-28 09:06:56 # local_time=2016-06-28 11:06:56 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1031 # osver=6.2.9200 NT # compatibility_mode_1='Kaspersky Internet Security' # compatibility_mode=1305 16777213 100 100 9655 31323468 0 0 # compatibility_mode_1='' # compatibility_mode=5893 16776574 100 94 20023504 21568786 0 0 # scanned=615184 # found=13 # cleaned=0 # scan_time=9229 sh=148BC745CB91B9DFDD09FF955DCE01CA6DC10F5A ft=1 fh=cce6864c1bf4fbda vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\$Recycle.Bin\S-1-5-21-2752949177-1894886632-2975709049-1001\$RKRXKLE.exe" sh=FC13CFD5784A7B7EB2E21B35536AEBC42AC858A7 ft=1 fh=30f3b06e57136945 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\XXX\AppData\Local\Temp\DMR\dmr_72.exe" sh=3718AE21586982BC8CD6FE838BB3780669B3E984 ft=1 fh=bb518f02038a14ed vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\XXX\Downloads\TDSSKiller - CHIP-Installer.exe" sh=BA48803ADB1E1CD4816C7532C156D04AE3BE8247 ft=1 fh=459fcb42cf030052 vn="Variante von Win32/InstallCore.ACJ evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Program Files (x86)\WSE Rocket\uninstall.exe" sh=857298C245BA0FF941DEEB2076909FAAA104753C ft=1 fh=2c1a80c17e3381fc vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\AppData\Local\Temp\DMR\dmr_72.exe" sh=4B4B36D3A87111E072B109A62956CBF5807E18F0 ft=1 fh=3491fc32961da421 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\DVD Shrink - CHIP-Installer.exe" sh=6521239D93645285985DE889644F93DBEB926113 ft=1 fh=6afed58a5df70cdf vn="Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\DWG TrueView 2015 32 Bit - CHIP-Installer.exe" sh=6DB30BEAF221C1383D744D756D3202C800F96C3D ft=1 fh=b7d85e1f3d678e26 vn="Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\DWG TrueView 2015 64 Bit - CHIP-Installer.exe" sh=2D70A13F02E40282E1D2826D842C7C2BBE800824 ft=1 fh=7eccaa942a1e7cf9 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\FreeCAD - CHIP-Installer.exe" sh=2C1C36216C4072CC2E315CA8F11EEF7DD816D68E ft=1 fh=50f05af24904dcb0 vn="Variante von Win32/InstallCore.AEO.gen evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\Open OfficeSetup.exe" sh=DBE4AD75A943686C4ACAA01FE2D56C9BB8D7C225 ft=1 fh=7fedea5d4c60285a vn="Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\OpenOffice - CHIP-Installer.exe" sh=2442BDADF456D9B790D5D0A26E81A7CD218A0E73 ft=1 fh=d22bd570500b44f0 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\SketchUp Make 2015 - CHIP-Installer.exe" sh=C834B40BB6B00AC344BA63FE780E89D2D3FBDE18 ft=1 fh=d48e09b952a640aa vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="D:\Laptop\Users\Stefan\Downloads\VidCoder 32 Bit - CHIP-Installer.exe" |
OK. Gibt es aktuell noch Auffälligkeiten oder Probleme mit dem PC? Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG Bitte starte FRST erneut, und drücke auf Untersuchen. Bitte poste mir den Inhalt des Logs. |
Bisher gibt es keinerelei Auffälligkeiten. Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 28-06-2016 durchgeführt von XXX (Administrator) auf DESKTOP-J16NUTT (29-06-2016 07:47:51) Gestartet von C:\Users\XXX\Downloads Geladene Profile: XXX (Verfügbare Profile: XXX) Platform: Windows 10 Pro Version 1511 (X64) Sprache: Deutsch (Deutschland) Internet Explorer Version 11 (Standard-Browser: FF) Start-Modus: Normal Anleitung für Farbar Recovery Scan Tool: FRST Tutorial - How to use Farbar Recovery Scan Tool - Malware Removal Guides and Tutorials ==================== Prozesse (Nicht auf der Ausnahmeliste) ================= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.) (Intel Corporation) C:\Windows\System32\igfxCUIService.exe (Intel Corporation) C:\Windows\SysWOW64\IntelCpHeciSvc.exe (Malwarebytes) C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe (Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avp.exe (Malwarebytes) C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe (Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avpui.exe (Malwarebytes) C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe (Intel Corporation) C:\Windows\System32\igfxEM.exe (Intel Corporation) C:\Windows\System32\igfxHK.exe () C:\Windows\System32\igfxTray.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe () C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe (WIBU-SYSTEMS AG) C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (Adobe Systems Inc.) C:\Program Files (x86)\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe (Microsoft Corporation) C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.6965.40901.0_x64__8wekyb3d8bbwe\HxMail.exe (Microsoft Corporation) C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.6965.40901.0_x64__8wekyb3d8bbwe\HxTsr.exe () C:\Program Files\WindowsApps\Microsoft.Windows.Photos_16.526.11220.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe (Kummert GmbH) C:\Program Files (x86)\Kummert GmbH\can3D\can3D.exe (pdfforge) C:\Program Files\PDFCreator\PDFCreator.exe (Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe ==================== Registry (Nicht auf der Ausnahmeliste) =========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.) HKLM-x32\...\Run: [Acrobat Assistant 7.0] => C:\Program Files (x86)\Adobe\Acrobat 7.0\Distillr\Acrotray.exe [483328 2004-12-14] (Adobe Systems Inc.) HKLM-x32\...\Run: [] => [X] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat - Schnellstart.lnk [2016-01-25] ShortcutTarget: Adobe Acrobat - Schnellstart.lnk -> C:\Windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Netzwerk Server.lnk [2015-12-07] ShortcutTarget: Netzwerk Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (WIBU-SYSTEMS AG) Startup: C:\Users\XXX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk [2016-01-25] ShortcutTarget: Adobe Gamma.lnk -> C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) ==================== Internet (Nicht auf der Ausnahmeliste) ==================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.) Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 Tcpip\..\Interfaces\{7e17e282-511f-4363-9e3a-833f6e07e08c}: [DhcpNameServer] 192.168.178.1 Internet Explorer: ================== Ich muss auch zu geben, als ich das ESET durchlaufen lassen hab hat es mir 13 Bedrohungen bzw 13 unerwünschte Anwendungen angezeigt. Die meisten mit "Win32". Habe dann im PC bei Suche Win 32 eingegeben und diese Dateien gelöscht sowie auch im Papierkorb. Aber ob dies etwas gebracht hat weiß ich leider nicht. Wie gesagt, PC verhält sich völlig normal. Keine Veränderungen. |
Zitat:
Und warum löschst Du was ohne Anweisung? Log bitte vollständig posten. |
Das liegt leider daran das ich eine Frau bin. :D Typisch Frau Tut mir leid |
Logs bitte in Codetags posten. Zur Not auf mehrere Postings aufteilen. |
FRST Logfile: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 28-06-2016 |
http://deeprybka.trojaner-board.de/b...ndeeprybka.gif Wir haben es geschafft! :abklatsch: Die Logs sehen für mich im Moment sauber aus. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Kauf-Empfehlung: http://deeprybka.trojaner-board.de/eset/esetmd.png Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:53 Uhr. |
Copyright ©2000-2024, Trojaner-Board