|
Verschiedene Artemis-Trojaner Hallo! Ich habe mir durch Klicken auf einen falschen Link (eigene Blödheit weil ich eine Download-Beschreibung nicht komplett gelesen habe) einen Trojaner eingefangen. Das merke ich vor allem durch folgende Erscheinungen: 1. Fast täglich meldet McAfee den Fund von Trojanern mit unterschiedlichem Namensteil nach "Artemis" (Artemis!1B9F06B00AE6, Artemis!FD1EA06B3162, etc.) mit dem Hinweis, dass diese in Quarantäne verschoben wurden oder dass der PC neu gestartet werden muss, damit diese entfernt werden. 2. Zweimal haben sich "Erweiterungen" in alle Browser installiert (Standard-Suchmaschinen, Startseiten). Den Namen des ersten weiß ich nicht mehr, der zweite heißt "amisites". Diese konnte ich jeweils manuell entfernen. 3. Im Ordner "Programme (x86)" erscheinen ständig neue Ordner mit kryptischem Namen, die einen weiteren Ordner mit jeweils einer Datei enthalten, aktuell gerade "C:\Program Files (x86)\9nmj0bep\{B4731A84-A8B3-455C-A08D-040EC675F0AB}\2e8l6waq.znf". Das habe ich vorhin erstmals entdeckt und ca. 10 dieser Ordner entfernt. Der genannte Ordner ist seitdem neu dazugekommen. Wenn ich einen Komplettscan mit McAfee mache, werden immer ca. 3 Viren gefunden und entfernt. Ein weiterer Scan bringt dann keine Funde. Trotzdem findet der Echtzeit-Scan dann später wieder was neues. Ich habe mit Malwarebytes Anti-Toolkit nach einer Anleitung aus diesem Forum zwei Scans gemacht. Beim ersten Mal gabe es 3 Funde, die gefixt wurden, beim zweiten Mal keine mehr. Trotzdem hat McAfee inzwischen wieder einen Fund wie oben gehabt. Die mbar-Logs folgen hier. Wäre für Hilfe sehr dankbar! Code: Malwarebytes Anti-Rootkit BETA 1.9.3.1001Code: Malwarebytes Anti-Rootkit BETA 1.9.3.1001 |
Hallo arthdent :hallo: Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.
 Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg. Wir arbeiten hier alle freiwillig und meist auch nur in unserer Freizeit. Daher kann es bei Antworten zu Verzögerungen kommen. Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist. Führe sämtliche Tools mit administrativen Rechten aus, Vista, Win7,Win8, Win10 User mit Rechtsklick "als Administrator starten". Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Danke für deine Hilfe, Timo! Hier die Logs: FRST.txt Teil 1: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 04-11-2016 |
FRST.txt Teil 2: Code: ==================== Ein Monat: Geänderte Dateien und Ordner ========Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-11-2016 |
Gib mir doch mal das Log von McAfee ;) Artemis! Funde sind Funde die McAfee durch die Heuristik "erkennt" und da gibts immer wieder false-positive Meldungen. |
Parallel dazu: Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Starte noch einmal FRST.
|
Liste der Anhänge anzeigen (Anzahl: 1) Ein richtiges Log scheint es bei McAfee nicht zu geben. Ich habe mal einen Screenshot vom Ergebnis gemacht und angehängt. AdwCleaner: Code: # AdwCleaner v6.030 - Bericht erstellt am 13/11/2016 um 16:40:19Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
FRST.txt: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 12-11-2016 |
Addition.txt Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12-11-2016C:\Program Files (x86)\Wefashpluqitain "C:\Program Files (x86)\0qff5p8z\{479C3C6D-A709-429F-BC14-72A107F2307A}\q2k495dw.kvp" "C:\Program Files (x86)\9nmj0bep\{B4731A84-A8B3-455C-A08D-040EC675F0AB}\2e8l6waq.znf" Außerdem startet Chrome ständig mit einem neuen "Icon" in der Taskleiste, was früher nicht so war (ich starte Chrome über die Taskleiste, dann ist nicht das Icon gehighlightet, das ich geklickt habe, sondern es wird ganz rechts ein neues Icon angelegt). Wenn ich mir die Eigenschaften von dem Programm dann anschaue, steht dort oft als Ort nicht "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe", sondern "C:\Program Files (x86)\Hotson\Application\chrome.exe", aber auch nicht immer. Auch sehr verdächtig. Ich muss dann immer das Programm von der Taskleiste lösen, über die exe starten und wieder anheften. Später passiert das gleiche dann aber wieder. |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: emptytemp:Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Und bitte neue FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Fixlog.txt Code: Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12-11-2016Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 12-11-2016 |
Addition.txt Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12-11-2016Kann ich den Hotson-Ordner auch einfach manuell löschen? Nochmal edit: Kurz ging es jetzt mit dem Chrome-Icon, aber jetzt ist wieder das zweite Icon da, allerdings ohne Hotson als Ziel. |
Hi - bitte während der geführten Bereinigung keine Ordner usw. löschen, die in evtl. Malware-Verdacht stehen. Mach mal bitte nen neuen MBAM Scan: Downloade Dir bitte  Malwarebytes Anti-Malware
|
Code: Malwarebytes Anti-Malware |
Ok. Mach bitte nochmal ein frisches FRST Log+ Addition bitte |
Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 16-11-2016 |
Code: |
Ok, sieht schon besser aus. Bitte jetzt ESET Online Scanner
|
Code: ESETSmartInstaller@High as downloader log: |
Huch, ich hatte nen Fix gepostet zumind. dachte ich das... Also du hast definitiv einen aktiven Trojaner auf dem System, daher ist nach der Bereinigung das Ändern sämtliche Passwörter angebracht ! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: Task: {BC6D767A-7994-4D7D-87B1-9C9259736B23} - System32\Tasks\Tanerge Log => C:\Program Files (x86)\Wefashpluqitain\drsuent.exe [2016-10-28] (VideoLAN)Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Mach dann bitte nochmal ein neues FRST Log + Addition, zur Sicherheit. |
Ok, danke für den Hinweis mit den Passwörtern, obwohl mich das natürlich nicht begeistert. Code: Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20-11-2016 01Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 20-11-2016 01 |
Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20-11-2016 01 |
@Warlord711, ich hab jetzt seit 5 Tagen nichts mehr gehört. Gibt es eine realistische Chance dass das halbwegs kurzfristig erledigt ist, also mein System sauber ist? Ansonsten tendiere ich eher Richtung neu Aufsetzen. Das zieht sich doch etwas... (keine Kritik, reine Feststellung). |
Hi - sorry wegen der Verzögerung - gibt es aktuell noch Meldungen von McAfee ? |
Keine Meldungen mehr von McAfee. Beim Komplettscan hat er nur einen Fund aus der FRST-Quarantäne gemeldet. Dieser komische Hotson-Ordner macht mich aber immer noch skeptisch, und natürlich auch das "neue Chrome-Icon" in der Taskleiste. |
Bitte deinstalliere YAC(Yet Another Cleaner!) ! Ok, dann noch diesen Fix: Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: Shortcut: C:\Users\crizzinho\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Hotson\Application\chrome.exe (Google Inc.)Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Was ist YAC? Ich finde das auf meinem Rechner nicht. Code: Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-11-2016 |
YAC ist irgend so nen Schwachsinns-Registry Cleaner, steht bei dir im Log als installierte Software: Zitat:
Lade Dir bitte von hier  Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.
|
Ok, habe ich gemacht. Revo hat zwar gemeint, dass der Uninstall fehlgeschlagen ist, danach aber trotzdem die Reg-Einträge entfernt und YAC ist nicht mehr in der Liste. War es das jetzt? Soll ich noch was machen? |
Wir sollten damit alles erwischt haben, was AdWAre und Co. betrifft. Ich sitze natürlich nicht vor dem Rechner daher benötige ich immer wieder dein Feedback - ist noch etwas ungewöhnlich ? Ansonsten: Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank: Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen. Optional: http://filepony.de/icon/adblock_firefox.pngAdblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren. http://filepony.de/icon/noscript.png NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen:
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
Ich denke, das sieht soweit gut aus. Das einzige, was noch etwas seltsam ist, ist dass die Standardbrowser-Funktionalität von Chrome kaputt zu sein scheint. Ob das mit der Malware oder dem Reparieren zu tun hat, weiß ich nicht. Jedenfalls kann ich Links in Thunderbird nicht mehr in Chrome öffnen. Es passiert einfach nichts. Genauso kann ich keine HTML-Dateien per "Öffnen mit" mit Chrome öffnen. Er fragt dann einfach immer wieder, ob HTML-Dateien immer mit Chrome geöffnet werden sollen, öffnet die Datei aber nicht. Chrome ist ganz normal als Standardbrowser festgelegt. Wechsel ich den Standardbrowser zu Firefox, funktioniert alles. Ansonsten großes Dankeschön an dich für deine kompetente Hilfe! Ich werde eine kleine Spende hinterlassen! |
Dann setz mal Chrome auf Standardeinstellungen zurück, ggf. halt Chrome neuinstallieren. Google Chrome auf Standardeinstellungen zurücksetzen - Anleitungen |
Neuinstallation war die Lösung. Danke nochmal! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board
dann auf 
und dann auf 
.