Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Browser Hijacker yeabests.cc lässt sich nicht entfernen (https://www.trojaner-board.de/181942-browser-hijacker-yeabests-cc-laesst-entfernen.html)

dalaze 22.09.2016 21:59
ESET Log:
Code:
ESETSmartInstaller@High as downloader log:
Can not read file from internet.ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=33279cdeb5ff604ca5d548fad663f2d1
# end=init
# utc_time=2016-09-22 07:57:22
# local_time=2016-09-22 09:57:22 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 30839
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=33279cdeb5ff604ca5d548fad663f2d1
# end=updated
# utc_time=2016-09-22 07:59:46
# local_time=2016-09-22 09:59:46 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=33279cdeb5ff604ca5d548fad663f2d1
# engine=30839
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-09-22 08:51:41
# local_time=2016-09-22 10:51:41 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1='Avira Antivirus'
# compatibility_mode=1815 16777213 100 97 31389 2443148 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 117578 38367071 0 0
# scanned=385292
# found=9
# cleaned=0
# scan_time=3114
sh=7A3F54E197A9BD6C8B76E1B561A17FF1A55FEA36 ft=0 fh=0000000000000000 vn="LNK/Agent.CH Trojaner" ac=I fn="C:\AdwCleaner\quarantine\files\gtoqjnlfsedxehtvflnpzjryfrlolpyt\KuaiZip Website.url"
sh=1BF0C88DCFF8ECB787D11B338EDE494EF10EED81 ft=1 fh=7eddd11392ea8c4a vn="Variante von Win32/KuaiZip.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\quarantine\files\gtoqjnlfsedxehtvflnpzjryfrlolpyt\X86\Update.exe"
sh=8A061A9386BF330ACFF8858F8F00BAD0C2A67D25 ft=1 fh=bffee3068e698bdb vn="Variante von Win32/KuaiZip.C evtl. unerwünschte Anwendung" ac=I fn="C:\FRST\Quarantine\C\Program Files\¿ìѹ\X86\SetupHelper.exe"
sh=A4CF0E807C98CF7226601E9BF0F92C53BB089FD4 ft=1 fh=989f22e9059a9831 vn="Variante von Win32/Taobao.B evtl. unerwünschte Anwendung" ac=I fn="C:\FRST\Quarantine\C\Program Files (x86)\UCBrowser\Application\Uninstall.exe"
sh=47518FD742FCE5FC36C16A15398E09C397485339 ft=1 fh=c52f7928bd8259a8 vn="Variante von Win32/FusionCore.I evtl. unerwünschte Anwendung" ac=I fn="C:\Program Files (x86)\FrostWire 6\frostwire-installer.exe"
sh=72D458333B86EDFB68FD422A085A47254268ABD2 ft=1 fh=81baba96be6718a1 vn="Variante von Win32/FusionCore.I evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Jan\.frostwire5\updates\frostwire-6.3.6.windows.fusion.exe"
sh=32F1E5453AAD975FDA9649371457B64B3EA66708 ft=1 fh=690acd74cab40e8b vn="Variante von Win32/Taobao.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Jan\AppData\Local\Temp\00006963\Browser_V5.7.15319.5_r_4681_(Build1608291541).exe"
sh=D01F9F59BF6CA6E3FE60231CC8808C1A4FEA4530 ft=1 fh=e23161741f42185f vn="Win32/Toolbar.SearchSuite evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Jan\AppData\Local\Temp\DMR\Downloads\152e221a8bef8d2d13c58f995563a1a1\f0fbf9287b982a8dd50d6aea52595ea9\Setup_31FreeVideoConverter.exe"
sh=D01F9F59BF6CA6E3FE60231CC8808C1A4FEA4530 ft=1 fh=e23161741f42185f vn="Win32/Toolbar.SearchSuite evtl. unerwünschte Anwendung" ac=I fn="D:\Programme\Setup_31FreeVideoConverter.exe"

deeprybka 22.09.2016 22:02
Schritt 1

Bitte lasse die Datei aus der Code-Box bei
http://deeprybka.trojaner-board.de/b...virustotal.png überprüfen.
  • Klicke auf Wählen Sie eine
  • Kopiere nun folgendes in die Suchleiste
    Code:
    C:\Windows\64b60ff7848445acb976e8f3e6760591.exe
  • und klicke auf Öffnen.
  • Klicke auf Scannen!.
  • Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
    Zitat:
    Diese Datei wurde bereits von VirusTotal analysiert...
    klicke auf Neu analysieren.
  • Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
  • Kopiere den Link aus deiner Adresszeile und poste ihn hier.

dalaze 22.09.2016 22:18
https://www.virustotal.com/de/file/f6f554508547b0d483707cb56478981dc1ae4050fc6d7de622c7ee824c037862/analysis/1474578970/

deeprybka 22.09.2016 22:21
Die Datei löschen wir später noch.
Welche Probleme bestehen noch?

dalaze 22.09.2016 22:29
Soweit ich das beurteilen kann, ist jetzt alles ziemlich alles normal.
Eine Sache, die mich stutzig macht, ist, dass das Logo des Internet Explorers seit dem Befall von yeabests.cc verpixelt erscheint in der Taskleiste. Ich weiss nicht, wie viel Bedeutung ich diesem Umstand beimessen soll. Ist vielleicht eine Lappalie, aber vielleicht halt eben doch nicht...
Was meinst Du als Experte?

deeprybka 23.09.2016 07:52
Kannste mal nen Screenshot davon posten bitte?

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn4.PNG

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w8.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Code:
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}
C:\Windows\64b60ff7848445acb976e8f3e6760591.exe
EmptyTemp:
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.
  • Starte FRST und drücke auf den Entfernen-Button.
  • Das Tool erstellt eine "Fixlog.txt" -Datei.
  • Poste mir bitte deren Inhalt.

dalaze 23.09.2016 10:21
Liste der Anhänge anzeigen (Anzahl: 1)
Ausschnitt des Screenshots ist im Anhang

dalaze 23.09.2016 10:28
Fixlog:
Code:
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21-09-2016
durchgeführt von Jan (23-09-2016 11:25:18) Run:3
Gestartet von C:\Users\Jan\Desktop
Geladene Profile: Jan (Verfügbare Profile: Jan)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}
C:\Windows\64b60ff7848445acb976e8f3e6760591.exe
EmptyTemp:
       
*****************

Prozess erfolgreich geschlossen.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146} => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146} => Schlüssel erfolgreich entfernt
C:\Windows\64b60ff7848445acb976e8f3e6760591.exe => erfolgreich verschoben

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17617071 B
Java, Flash, Steam htmlcache => 374523979 B
Windows/system/drivers => 998833005 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 335113 B
systemprofile32 => 128 B
LocalService => 132016 B
NetworkService => 1675966 B
Jan => 440202121 B

RecycleBin => 0 B
EmptyTemp: => 1.7 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 11:25:28 ====

deeprybka 23.09.2016 11:28
Also malwaretechnisch sind wir fertig. Warum das Icon jetzt so aussieht kann ich Dir nicht sagen. Der IE sollte ohnehin nicht als Browser verwendet werden. Du kannst das hier aber mal selektiv anwenden: http://anleitung.trojaner-board.de/w...reparieren_398
Repair Icons und IE würde ich vorschlagen.

Bitte deinstalliere umgehend auch die veraltete Java-Version.


http://deeprybka.trojaner-board.de/b...ndeeprybka.gif
Wir haben es geschafft! :abklatsch:
Die Logs sehen für mich im Moment sauber aus.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:
Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)



http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
  • Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  • Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
  • Klicke auf OK.
    Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
  • Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
 Flash-Player
PDF-Reader

Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/esetmd.png

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

dalaze 23.09.2016 12:02
Lieber deepryka

Ich möchte mich noch ganz herzlich für deine hervorragende Hilfeleistung bedanken!
Es ist ganz und gar nicht selbstverständlich, dass Ihr Helfer vom Trojaner-Board euch in eurer Freizeit mit den PC-Problemen anderer Leute herumschlägt! Wer Hilfe braucht, bekommt sie hier, das durfte ich erfahren. Das ist mehr als belohnungswürdig! Deshalb darf sich das Trojaner-Board auch einer Spende meinerseits sicher sein!

Vielen Dank
dalaze

deeprybka 23.09.2016 16:24
Danke. Alles Gute!


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:14 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131