|
Verschiedene Artemis-Trojaner Hallo! Ich habe mir durch Klicken auf einen falschen Link (eigene Blödheit weil ich eine Download-Beschreibung nicht komplett gelesen habe) einen Trojaner eingefangen. Das merke ich vor allem durch folgende Erscheinungen: 1. Fast täglich meldet McAfee den Fund von Trojanern mit unterschiedlichem Namensteil nach "Artemis" (Artemis!1B9F06B00AE6, Artemis!FD1EA06B3162, etc.) mit dem Hinweis, dass diese in Quarantäne verschoben wurden oder dass der PC neu gestartet werden muss, damit diese entfernt werden. 2. Zweimal haben sich "Erweiterungen" in alle Browser installiert (Standard-Suchmaschinen, Startseiten). Den Namen des ersten weiß ich nicht mehr, der zweite heißt "amisites". Diese konnte ich jeweils manuell entfernen. 3. Im Ordner "Programme (x86)" erscheinen ständig neue Ordner mit kryptischem Namen, die einen weiteren Ordner mit jeweils einer Datei enthalten, aktuell gerade "C:\Program Files (x86)\9nmj0bep\{B4731A84-A8B3-455C-A08D-040EC675F0AB}\2e8l6waq.znf". Das habe ich vorhin erstmals entdeckt und ca. 10 dieser Ordner entfernt. Der genannte Ordner ist seitdem neu dazugekommen. Wenn ich einen Komplettscan mit McAfee mache, werden immer ca. 3 Viren gefunden und entfernt. Ein weiterer Scan bringt dann keine Funde. Trotzdem findet der Echtzeit-Scan dann später wieder was neues. Ich habe mit Malwarebytes Anti-Toolkit nach einer Anleitung aus diesem Forum zwei Scans gemacht. Beim ersten Mal gabe es 3 Funde, die gefixt wurden, beim zweiten Mal keine mehr. Trotzdem hat McAfee inzwischen wieder einen Fund wie oben gehabt. Die mbar-Logs folgen hier. Wäre für Hilfe sehr dankbar! Code: Malwarebytes Anti-Rootkit BETA 1.9.3.1001Code: Malwarebytes Anti-Rootkit BETA 1.9.3.1001 |
Hallo arthdent :hallo: Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.
 Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg. Wir arbeiten hier alle freiwillig und meist auch nur in unserer Freizeit. Daher kann es bei Antworten zu Verzögerungen kommen. Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist. Führe sämtliche Tools mit administrativen Rechten aus, Vista, Win7,Win8, Win10 User mit Rechtsklick "als Administrator starten". Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Danke für deine Hilfe, Timo! Hier die Logs: FRST.txt Teil 1: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 04-11-2016 |
FRST.txt Teil 2: Code: ==================== Ein Monat: Geänderte Dateien und Ordner ========Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-11-2016 |
Gib mir doch mal das Log von McAfee ;) Artemis! Funde sind Funde die McAfee durch die Heuristik "erkennt" und da gibts immer wieder false-positive Meldungen. |
Parallel dazu: Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Starte noch einmal FRST.
|
Liste der Anhänge anzeigen (Anzahl: 1) Ein richtiges Log scheint es bei McAfee nicht zu geben. Ich habe mal einen Screenshot vom Ergebnis gemacht und angehängt. AdwCleaner: Code: # AdwCleaner v6.030 - Bericht erstellt am 13/11/2016 um 16:40:19Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
FRST.txt: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 12-11-2016 |
Addition.txt Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12-11-2016C:\Program Files (x86)\Wefashpluqitain "C:\Program Files (x86)\0qff5p8z\{479C3C6D-A709-429F-BC14-72A107F2307A}\q2k495dw.kvp" "C:\Program Files (x86)\9nmj0bep\{B4731A84-A8B3-455C-A08D-040EC675F0AB}\2e8l6waq.znf" Außerdem startet Chrome ständig mit einem neuen "Icon" in der Taskleiste, was früher nicht so war (ich starte Chrome über die Taskleiste, dann ist nicht das Icon gehighlightet, das ich geklickt habe, sondern es wird ganz rechts ein neues Icon angelegt). Wenn ich mir die Eigenschaften von dem Programm dann anschaue, steht dort oft als Ort nicht "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe", sondern "C:\Program Files (x86)\Hotson\Application\chrome.exe", aber auch nicht immer. Auch sehr verdächtig. Ich muss dann immer das Programm von der Taskleiste lösen, über die exe starten und wieder anheften. Später passiert das gleiche dann aber wieder. |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: emptytemp:Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Und bitte neue FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Fixlog.txt Code: Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12-11-2016Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 12-11-2016 |
Addition.txt Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12-11-2016Kann ich den Hotson-Ordner auch einfach manuell löschen? Nochmal edit: Kurz ging es jetzt mit dem Chrome-Icon, aber jetzt ist wieder das zweite Icon da, allerdings ohne Hotson als Ziel. |
Hi - bitte während der geführten Bereinigung keine Ordner usw. löschen, die in evtl. Malware-Verdacht stehen. Mach mal bitte nen neuen MBAM Scan: Downloade Dir bitte  Malwarebytes Anti-Malware
|
Code: Malwarebytes Anti-Malware |
Ok. Mach bitte nochmal ein frisches FRST Log+ Addition bitte |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board
