| Manumano | 09.06.2017 20:59 |
Mediamarkt-Bestellung Anhang geklickt Trojaner?
Hallo,
habe in einem Blackoutmoment geistiger Umnachtung den Anhang folgender Mail geklickt:
"Der Status Ihrer Bestellung hat sich geändert. Nähere Informationen können Sie dem DOC-Dokument im Anhang entnehmen.
Sobald sich der Status wieder ändert, werden wir Sie informieren.
Dieses Mail im Browser anschauen
Für Fragen und andere Anliegen steht Ihnen unser Online-Shop Kundendienst gerne über das Kontaktformular oder unter der Nummer 776166307981 zur Verfügung.
Ihr MediaMarkt Online-Team"
Recherche ergab, dass da 2016 finstere Krypto-Trojaner Cerber oder sowas abgegangen sind.
Antivir und Malwarebytes haben harmlos aussehende Sachen gefunden. Siehe Logfile. Emisoft funktioniert nicht (Betriebssystem nicht unter Win 7) Merkwürdig, obwohl ich Win 7 benutze.
Eset hab ich noch nicht benutzt, da ich zuerst Antivir löschen müsste. Hoffe ich schiebe nur Paranoia. Und ansonsten bin ich für jede Hilfe dankbar.
LG Manumano
Hier den Log für Avira Code:
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Prüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................:
Beginn des Suchlaufs: Freitag, 9. Juni 2017 12:42
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:)'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'HDD1(D:, E:, F:)'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'HDD2(I:)'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '203' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaSuite.exe' - '183' Modul(e) wurden durchsucht
Durchsuche Prozess 'OV3Monitor.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.SystemSpeedup.UI.Systray.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50RPB.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'HeciServer.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSvcHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'perfhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.SystemSpeedup.SpeedupService.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'viakaraokesrv.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.ServiceHost.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'iusb3mon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TapinRadio.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.Systray.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'swriter.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PrivacyIconClient.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv64.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'DigitalEditions.exe' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'swriter.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'swriter.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4025' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
[0] Archivtyp: RSRC
--> C:\alte festplatte\E\Tobit ClipInc\Setup\Player\ClipInc. Pocket Setup.exe
[1] Archivtyp: RSRC
--> C:\alte festplatte\F\PROGRAMME\Mobile Phone Manager\SETUP\Data1.cab
[2] Archivtyp: CAB (Microsoft)
--> C:\Program Files (x86)\PC Connectivity Solution\WUDFUpdate_01009.dll
[3] Archivtyp: RSRC
--> C:\Users\User\Documents\Downloads\FreeStudio_6.5.3.713.exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeStudio_6.5.3.713.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeDownload.exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(1).exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(1).exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(2).exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(2).exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713.exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter(1).exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter(1).exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter.exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter_3.12.60.713.exe
[4] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter_3.12.60.713.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Documents\Downloads\MediathekView - CHIP-Installer.exe
[4] Archivtyp: RSRC
--> C:\Users\User\Documents\Downloads\MediathekView - CHIP-Installer.exe
[5] Archivtyp: Runtime Packed
--> C:\Users\User\Downloads\FreeStudio.exe
[6] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Downloads\FreeStudio.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Downloads\FreeYouTubeToMP3Converter(1).exe
[6] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Downloads\FreeYouTubeToMP3Converter(1).exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
--> C:\Users\User\Downloads\FreeYouTubeToMP3Converter.exe
[6] Archivtyp: Inno Setup
--> {tmp}\OCSetupHlp.dll
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Downloads\FreeYouTubeToMP3Converter.exe
[FUND] Enthält Muster der Software PUA/OpenCandy.Gen
Beginne mit der Suche in 'D:\' <Volume>
Beginne mit der Suche in 'E:\' <Volume>
Beginne mit der Suche in 'F:\' <Volume>
Beginne mit der Desinfektion:
Für Malwarebyte Code:
Malwarebytes Anti-Malware
www.malwarebytes.org
Scan Date: 09.06.2017
Scan Time: 13:45
Logfile: malwarebytes.txt
Administrator: Yes
Version: 2.2.1.1043
Malware Database: v2017.06.09.04
Rootkit Database: v2017.05.27.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: User
Scan Type: Threat Scan
Result: Completed
Objects Scanned: 295524
Time Elapsed: 35 min, 59 sec
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Warn
PUM: Enabled
Processes: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Registry Keys: 0
(No malicious items detected)
Registry Values: 0
(No malicious items detected)
Registry Data: 0
(No malicious items detected)
Folders: 0
(No malicious items detected)
Files: 2
PUP.Optional.VLCUpdaterDE, C:\Program Files (x86)\VLC Updater\vlc-updater.exe, Quarantined, [a88090adfeab330328fbafc751af44bc],
PUP.Optional.Conduit, C:\$Recycle.Bin\S-1-5-21-1881819009-79504248-1289345385-1000\$RP1HKVH\Brothersoftdownloader_for_Sprite_Backup.exe, Quarantined, [0523ba83179249ed55b2706761a06799],
Physical Sectors: 0
(No malicious items detected)
(end)
| 
FRST 32-Bit | FRST 64-Bit
Lesestoff: