Habe mir (vermutlich) ein Virus eingefangen
 

Guten Tag ans Forum,

ich fürchte, ich benötige Eure Hilfe.

Vorab: Das Problem ist am Tag vor meinem Urlaub aufgetreten und ich hoffe, dass ich jetzt nach 14 noch detailliert genug beschreiben kann, was passiert ist und was ich gemacht habe.

Kaspersky kam mit der Meldung, dass der Download von Amazonaws.exe blockiert wurde, den genauen Text weiß ich nicht mehr. Das passierte einige Male im Minutenabstand hintereinander.

Ich habe dann versucht zu recherchieren und bin irgendwie zu der Erkenntnis gekommen, dass das Problem mit Firefox zu tun haben könnte. Konjunktiv.

Daraufhin habe ich Firefox de- und wieder neu installiert. Ich weiß nicht mehr, ob da schon (von Kaspersky) angemeckert wurde, dass die Verbindung nicht sicher sei, ich glaube aber ja.

Dann sind einige Felder aufgepoppt, in denen Kaspersky gefragt hat, ob er "irgendwas" (habe nicht mitgeschrieben) tun oder lassen soll, also in Verbindung mit der Neuinstallation von Firefox.


Das wurde mir dann unheimlich, worauf ich

- Firefox und Kaspersky erstmal deinstalliert habe.

- Dann Kaspersky wieder aufgespielt habe

- Firefox neu installieren wollte.

Dabei wurde aber wieder auf eine unsichere Verbindung hingewiesen, mit allem was Kaspersky dann so anzeigt. Weitermachen? Risiko usw.


Aber dann bin ich in Urlaub gefahren und jetzt bin ich wieder da und das Problem hat sich nicht in Luft aufgelöst.


Ich bitte Euch also um Eure Hilfestellung


Gruß vom Rüdiger

Kaspersky deinstallieren, dann wieder installieren, welchen Sinn soll das bitte ergeben? Wenn du Pech hast sind die alten Logs weg und wenn die weg sind gibt es keine Möglichkeit mehr für die Helfer, nachzuvollziehen was da auf deinem Rechner los war bzw was Kaspersky denn nun gefunden hat.

Allgemein verstehe ich nicht, warum hier tw. akribische Nacherzählungen gepostet werden anstattt einfach nur sowas wie, dass Malware gefunden wurde und dann postet man das entsprechende Logs vom Virenscanner.

na ja, ich habe vielleicht überstürzt gehandelt.

Ich konnte mich aber leider ein paar Stunden bevor ich in Urlaub fuhr hier nicht mehr melden, weil ich dann auch auf Eure Antworten nicht hätte reagieren können.

Gibt es trotzdem was, das ich nun tun kann?

Ja schau doch bitte nach ob es diese Logs noch gibt.

Ich fürchte, das ist leider nicht der Fall

Wenn die Logs weg sind, wird niemand was Konkretes mehr dazu sagen können und wir müssen so mit den anderen Tools schauen.

Da Kaspersky aber eh totaler Blödsinn geworden ist und hier massiv bei der Analyse stört, bitte ich dich, Kaspersky umgehend zu deinstallieren. Wenn wir hier durch sind gibt es Hinweise, die zu einer richtigen Absicherung führen - ganz ohne kontraproduktivem Schlangenöl von Kaspersky, Avira oder anderen Schlangenöl-Anbietern.

Gut, aber wenn ich Kaspersky nun deinstalliert habe, wie verhalte ich mich in der Zwischenzeit? Vermutlich soll ich gar keine Seiten aufrufen außer denen, die ich zur Analyse von Euch angesagt kriege, oder?

1. die Hysterie bzgl Virenscanner ablegen - denn auch du scheinst du glauben, dass wenn Kaspersky weg ist auf einmal magisch die Schädlinge angezogen werden wie Fliegen von nem Kuhfladen

2. aber ja, "wild" herumsurfen und onst irgendwie alles mögliche machen ergibt keinen Sinn während wir analysieren und reinigen müssen!

So, Kaspersky ist deinstalliert.

gut :) dann mal FRST


Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Falsche Reihenfolge, sorry

Da ist noch einiges drauf was ich deinstallieren würde, zB hast du 7zip 2x drauf, davon die 32-Bit-Variante deinstallieren, dann die veralteten Adobe-Sachen; Cliqz kann man als Spyware einstufen, auf jeden Fall runter, Quicktime ist uralt und muss auch auf jeden Fall runter.

Nero 2014? Wer braucht denn noch Nero?? Würde ich deinstallieren, ebenso das veraltete VLC.


Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  
  7-Zip 18.05
  
  Adobe Acrobat Reader DC - Deutsch
  
  Adobe AIR
  
  Adobe Flash Player 30 NPAPI
  
  Adobe Shockwave Player 12.2
  
  Cliqz
  
  Nero Burning ROM 2014
  
  Nero Info
  
  Nero Prerequisite Installer 2.0
  
  Nero WaveEditor
  
  QuickTime 7
  
  VLC media player
  
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

So, das habe ich teilweise gemacht.

Mit Nero arbeite ich viel, daher nicht gelöscht
Cliqz lässt sich nicht deinstallieren

Diesen Restelöschen Knopf habe ich nicht angezeigt bekommen.

Gut, dann kicken wie Cliqz nachher manuell.

Schädlinge suchen mit Kaspersky TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Da scheint alles ok

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Cleanup/Neustart war nicht erforderlich?
Jedenfalls wurden das nicht angezeigt/angeboten

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!



adwCleaner v7.1

Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

adwcleaner bitte zwecks Kontrolle wiederholen

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

http://www.trojaner-board.de/picture...&pictureid=611

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

• Starte die Installationsdatei.
• Akzeptiere die Nutzungsbedingungen.
• Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
• Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
• Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
• Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
• Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
  
  Code:

  ---

  notepad "%tmp%\log.txt"

  ---

• Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Anmerkung: ich habe nicht auf "Bereinigen" u.ä. geklickt

Log von Malwarebytes ist unvollständig

Sorry

Hallo Cosinus,

darf ich Deine letzten Antwort so interpretieren, dass die Analyse abgeschlossen ist?


Dann hätte ich aber noch diese Fragen:

der ESET-Scanner hatte 7 infizierte Dateien gefunden, mit denen ich erstmal nichts gemacht habe. Ist da noch eine Aktion notwendig oder sinnvoll?


Cliqz konnte ja nicht runtergeschmissen werden. Soll ich da noch mal manuell irgendwie drangehen?


Chrome habe ich deinstalliert.

Chip Downloader finde ich nicht im angegebenen Verzeichnis

Du hast das ESET Log doch gelesen, genau diese Fund ehab ich thematisiert! :wtf:
Ist der Zusammenhang denn so schwer zu erkennen?

Cliqz qurde schon längst aus dem Firefox rausgeschmissen..

Offenbar. Tut mir leid, ist aber so.

Im log steht ja: cleaned = 0, also bin ich unsicher.

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend müssen wir noch ein paar Schritte unternehmen, um dein System aufzuräumen (cleanup mit DelFix) und abzusichern; ich poste dir dazu mal meine Lesestoffe. Wichtiger als irgendein AV ist ein vernünftiger Umgang, also gewisse Verhaltensregeln am Gerät mit Internetzugang, und ein paar grundsätzliche Absicherungen. Deswegen kommen die zuerst. Gliederung:

1. Cleanup mit unserem TBCleanup-Script
   
   
2. Grundsätzliches
   
   
3. Absicherung
   
   
4. Virenscanner + Firewall
   
   
5. Backup- und Imaging-Tools

Vielen Dank für die Hilfe.

Ich komme erst morgen dazu, die letzten Schritte auszuführen, da ich jetzt wichtig weg muss.

Sollten sich noch Fragen bei der endgültigen Bereinigung auftun, würde ich mich aber noch mal melden.