Ordner (seltsame,komische - z.B. Tcaches170, Afiles189) werden automatisch erstellt - Keine Win-temp-Ordner!
 

Hi.
Würde das Problem gerne finden, da es (nach meiner Suche) im Netz nirgends beschrieben steht (ich nicht gefunden habe).
Ich wählte den Titel, weil ich genau danach gesucht aber nichts gefunden habe.

Generell habe ich ein sauberes Backup des PCs (Win 8.1 pro), das ich auch gestern aufspielte, da ich aus irgendeinem Grund kein Laufwerk der DS mehr einbinden konnte.

Danach erneuerte/aktualisierte ich so einiges und spielte auch manches zusätzlich drauf:
(Aktualisierungen fanden nach Empfehlung von AVIRA Software Updater statt)
IObit nehme ich lieber nicht mehr.

Dieses Backup möchte ich aber noch nicht gleich wieder aufsetzen, sondern erstmal dieses komische Verhalten melden und evtl den Bösewicht finden.

Leider hat es mir den Lap ebenso befallen. :headbang: Irgendeine Software. die ich bei beiden nutze/aktualisierte macht das wohl.

Die Ordner lassen sich löschen. Erstellen sich aber gleich wieder selbst in den gleichen Verzeichnissen.

Wie schlimm kann es sein? Ich muss nämlich weiter mit dem PC arbeiten und will mir die DS nicht auch noch versauen.

Zuerst: (Anhänge ging leider nicht besser eindeutig zu zeigen/erklären)
Anhang 1 zusätzlich neu aufgespielte Software und Aktualisierungen
Anhang 2-4 Seltsame Ordner 1 - 3
Anhang 5-6 Die seltsamen Dateien in den seltsamen Ordnern benennen sich jedesmal anders.
Anhang 7 Diese seltsamen ntuser-Dateien haben mit dem eigentlichen Problem wohl eher nichts zu tun und sind mir nur zusätzlich aufgefallen.

Zuerst FRST
Addition, Avira und Malware muss ich nachtränglich posten. Alles viel zu lang.

Und was sollen wir dann für dich tun, wenn du das saubere Backup schon zurückgespielt hast?

Nein, hab mich wohl falsch ausgedrückt.

Ich habe ein sauberes win als backup.

Dies könnte ich zwar aufspielen, wollte aber das infizierte erst einmal mit eurer hilfe untersuchung und evtl säubern.
Da ich den Fehler nirgend wo im Netz fand, dachte ich das wäre interessant.

Und warum tust du es nicht?

Wozu hast du dann das saubere Backup? Versteh ich nicht. Ist das zu alt?
Ich weiß auch nicht was wir jetzt noch machen sollen. Du hast das saubere Backup doch schon zurück gespielt, denn was soll das ich auch gestern aufspielte denn anderes heißen?

Warum machst du solchen wirren Angaben?

NEIN.

Ich hatte das backup, das saubere gestern aufgespielt.
danach war alles gut.
dann habe ich noch Software ud aktualisierungen hinzugefügt.
dabei hat sich dann irgend etwas mit instaliert, was die beschriebenen Probleme erzeugt hat.
Dieses (wohl) infizierte system läuft jetzt auf dem PC.

Dies würde ich gerne mit Hilfe bereinigen.

Warum schreibt man denn nicht gleich KLAR UND DEUTLICH, dass nach dem RESTORE was reinkam... :headbang:

FRST und alle anderen Tool brauchen immer immer Adminrechte. Gib dem betroffenen User Adminrechte.

Und wir brauchen das Addition.txt Logfile.

Nunja, ich meinte damit:

"Danach erneuerte/aktualisierte ich so einiges und spielte auch manches zusätzlich drauf"

wäre klar KLAR UND DEUTLICH gesagt gewesen, dass nach dem RESTORE was reinkam.

OK Verstanden.
Jetzt nochmal mit admin-rechten



FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Hatte FRST dieses Mal nicht vom Desktop aus gestartet. Geht es dennoch?

mbam jetzt auch nochmals mit admin-rechten:

Gut. Es kam aber erst so rüber, als hättest du ein sauberes Backup zurückgespielt und dann die Frage, dass man das bereinigen was vorher noch war. Es hätte gereicht wenn du geschrieben hättest, dass du nach ein paar Setups diesen und jeden Befall hast, das mit dem Backup&Restore zu erwähnen hat doch nur Verwirrung gestiftet.

Warum postest du Log von Malwarebyte sund Avir aohne Funde? Gab es keine Funde?


Sry aber sowas stört mich einfach. Da werden nur Dinge beobachtet, die man nicht kennt. Sonst aber keine Funde, trotzdem wird gleich immer ein Befall herbeigeredet. Ach und übrigens:

Ist ein bekannter Windows und Office Crack.

Ja, hätte ich mich aufs wesentliche beschränken sollen.

Richtig. Es gab keine.

OK, wo du recht hast ....... Auf dem Laptop beobachtete ich das gleiche Verhalten. OHNE zu wissen was es ist oder bedeutet.

Ich lebe auf Kreta und habe mir hier, letztes Jahr, vom Fachhändler vor Ort das Win8 auf den PC machen lassen. Da hoffe ich jetzt ich habe ne legale Version. Allerdings ist hier iwi eh alles (anscheinend) etwas anders.

Mein Office habe ich seit 2010 LEGAL - bei meinem lieben ARLT-Händler in Heidelberg gekauft.

Muss ich das Kmspico händisch entfernen, oder gibt es da ein Programm?

Sollte der Händler das windows tatsächlich mit kmspico frei geschaltet haben - läuft es dann, nach dem entfernen von kmspico, noch?
Oder muss ich da jetzt, vor dem entfernen, erst einmal vorsorgen und mir noch eine Version kaufen gehen?

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Als FRST fertig war, beendete es Firefox.
Den geforderten Neustrt habe ich noch nicht gemacht.

Nachtrag: Neustrt nun doch durchgeführt.

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Scan Finished: No malware found!


hxxp://www.trojaner-board.de/attachment.php?attachmentid=80715&stc=1&d=1500985589

Auman, warum macht denn JEDER jetz tdavon Screenshots...:wtf:...issen das so schwieirg das Log herauszukopieren :confused:

Nein wäre es nicht.


-------------------------------------------------------------------------------------------------
Ich verstehe es nicht ganz.

Natürlich ersuche ich hier Hilfe und daher möchte und werde ich auch nicht großartig rumdiskutieren.
Aber ich verstehe es nicht ganz.

Am Anfang hast du mich beschossen, weil ich mich nicht klar und deutlich artizukulieren wusste.
Obwohl dies so nicht stimmte. Ich hatte klar und deutlich geschrieben: "NACH dem Aufspielens des Backups"

Jetzt wieder ein Missverständnis. Ich habe mich versucht klar zu artikulieren indem ich vor der jpg schrieb:
"Scan Finished: No malware found!" !
ich kannte das mbar vorher nicht. Aber es hat eben udU kein LOG erstellt.

Was hätte ich tun sollen? ein LOG selbst schreiben?
Ich suche Hilfe. Keine Angriffe aufgrund von, durch mich höchstens zu 50%, verursachte Missverständnisse.
Es ist ausreichend bekannt, dass es sehr schwer ist, sich ausschließlich mit Text vollumfänglich verständlich auszudrücken.

Daher sollten wir alle vorsichtig damit umgehen was wir wie schreiben, mit unseren emotional gesteuerten Meinungen und/oder was wir wie lesen.
Vielleicht lese/interpretiere ich das von dir geschrieben ja auch nur falsch.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Selbstverständlich muss man MVAR auch komplett durchlaufen lassen und auf EXIT klicken.

Ich habe es durchlaufen lassen bis genau dieses Bild erschien welches ich postete
(Scan Finished: No malware found!)

Auch, habe ich anschliessend EXIT ausgewählt.
UND den Ordner (Desktop) nach einer LOGFILE abgesucht.
DANN erst, habe ich #16 gepostet.

NUN, ich werde MVAR einfach nochmals laufen lassen.

:rofl: :rofl:

Einfach das alte Log zu posten wäre auch wohl zu einfach ... Das Tool wird im erstellten Ordner ...

HIIIIIIIIIIIIIMEL ARSCH und Zwirn (so flucht man in der Pfalz :-)

Es gab keine LOG!!!

OK, warum? Keine Ahnung. jedensfall konntee ich feststellen, dass die mbar-1.09.3.1001.exe
beim ersten Versuch kein Verzeichnis erstellt hat und direkt gestartet ist.
Glaubs oder glaubs nich.

Nun beim zweiten Versuch hat die mbar-1.09.3.1001.exe zuerst ein Verzeichnis erstellt und ist dann gestartet.

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!



1. Schritt: adwCleaner v7

Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass adwCleaner so konfiguriert ist, wie auf dem folgendem Screenshot abgebildet:
  
  
  http://m-k-d-b.trojaner-board.de/bilder/adw-4.JPG
  
  
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Klicke am Ende der Bereinigung auf Jetzt neu starten. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Mbam lief im HIntergrund und hat auch noch ne PUM gemeldet.
Habe nicht löschen lassen und die LOG gespeichert. Die zeigt jedoch keine Funde.

Also habe ich "halt wieder" auch noch ne jpg gemacht - vom Fund. Damit du die PUM überhaupt siehst

Was nutzt die mbam eigentlich, wenn sie meldet - dann aber im LOG nchts anzeigt???
Oder bin ich grad blind?

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

http://www.trojaner-board.de/picture...&pictureid=611

FRST Logfile:
--- --- ---

FRST Additions Logfile:
--- --- ---

Bitte Avira deinstallieren. Wir deinstallieren dann am besten auch gleich weiteren unnötigen oder veralteten Krempel. Benötigte Programmalternativen werden genannt wenn wir hier komplett durch sind.

Avira empfehlen wir schon seit Jahren aus mehreren Gründen nicht mehr. Ein Grund ist ne rel. hohe Fehlalarmquote, der zweite Hauptgrund ist, dass die immer noch mit ASK zusammenarbeiten (Avira Suchfunktion geht über ASK). Auch andere Freewareanbieter wie AVG, Avast oder Panda sprangen auf diesen Zug auf; so was ist bei Sicherheitssoftware einfach inakzeptabel. Vgl. Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog



Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  
  Adobe Acrobat Reader DC - Deutsch
  
  Adobe Flash Player 23 NPAPI
  
  Avira Antivirus
  
  Avira Connect
  
  Avira Phantom
  
  Avira Software Updater
  
  Avira System Speedup
  
  IObit Uninstaller
  
  VLC media player (x86)
  
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Gib Bescheid wenn Avira weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

OK.
Isch mach die ganze zeit schon nix mehr am PC. schon gar nix installieren oder deinstallieren. der steht nur da uns wartet auf deine anweisungen.

2 Fragen zwischendurch:

ist linux echt so viel besser? ich vermute hier erfolgt einfach nur ein Ja?

ist der Umstieg tatsächlich so einfach? Nach meinem Schneider 128k kam ein Windows-PC. So wurde ich vom DOS-Schreiberlin zum Windows-User und sitze seitdem darauf fest.

meine Meinung: ja linux ist sehr viel besser :applaus:

Ist da jetzt alles runter was ich aufgelistet habe?

Meintest Du VLC beide?

x86 (32-bit) und auch die 64-bit-Version entfernen.
Oder nur, die 32(x86)er.
Ich mach jetzt mal beide weg. aufspielen kann ichs ja wieder.

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

http://www.trojaner-board.de/picture...&pictureid=611

FRST Logfile:
--- --- ---

Was sind das für komische User und Dateien?

Keine Ahnung

Haben sich, wie die erwähnten anfangs Ordner, selbst angelegt und erscheinen ausschließlch im LOGfile und im Explorer.
Vom unsinnigen Namen her passen diese User genau zu den Ordnern die sich, in den von mir angelegten Usern, selbst erstellen.

Wenn ich im Explorer die "User" anwähle, zeigen sich, wie in all diesen unsinnigen Ordnern, nur 10 Dateien.

So, geklärt. Das Tool Cybereason RansomFree legt diese Dateien und Ordner an.

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

• Starte die Installationsdatei.
• Akzeptiere die Nutzungsbedingungen.
• Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
• Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
• Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
• Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
• Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
  
  Code:

  ---

  notepad "%tmp%\log.txt"

  ---

• Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hm. Hätte ich wissen können, wen ich es nicht nur (unwissend und naiv) installiert hätte, sondern auch mal genauer nachgelesen hätte, was es warum wie genau macht.

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend müssen wir noch ein paar Schritte unternehmen, um dein System aufzuräumen (cleanup mit DelFix) und abzusichern; ich poste dir dazu mal meine Lesestoffe. Wichtiger als irgendein AV ist ein vernünftiger Umgang, also gewisse Verhaltensregeln am Gerät mit Internetzugang, und ein paar grundsätzliche Absicherungen. Deswegen kommen die zuerst. Gliederung:

1. Cleanup mit DelFix
   
   
2. Grundsätzliches
   
   
3. Absicherung
   
   
4. Virenscanner + Firewall
   
   
5. Backup- und Imaging-Tools