Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC? (https://www.trojaner-board.de/199174-merkwuerdige-anrufe-s-handy-datenklau-vermutet-virus-pc.html)

romyleinchen 30.05.2020 12:50
Liste der Anhänge anzeigen (Anzahl: 1)
Ok, das ist komisch. Ich habe mir das Program "Who stalks my cam" runter geladen... jetzt zeigt mir das an:

Capture Active - host process: svchost.exe - parent host: services.exe

Der Name ist der, meines Druckers (HP04EC45) - hast du da Erfahrung damit?? Verunsichert mich gerade etwas...

romyleinchen 30.05.2020 12:56
Hab gerade etwas hier recherchiert, ich lösch das Program wieder.. Scheint ja nicht auf viel Anklang zu stoßen...

felix1 30.05.2020 16:07
Mal bitte Emsisoft Emergency Kit gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Zitat:
Zitat von romyleinchen (Beitrag 1736402)
Ok, das ist komisch. Ich habe mir das Program "Who stalks my cam" runter geladen... jetzt zeigt mir das an:

Capture Active - host process: svchost.exe - parent host: services.exe

Der Name ist der, meines Druckers (HP04EC45) - hast du da Erfahrung damit?? Verunsichert mich gerade etwas...
Du musst Dir aber auch nicht jeden sinnlosen Müll installieren. Möchte nicht wissen welche PUPs Du Dir da wieder eingefangen hast:rolleyes:
Du solltest mal generell Dein Verhalten im WWW überdenken.
Deinstalliere bitte über die Systemsteuerung->Apps den CCleaner.

romyleinchen 30.05.2020 18:40
Zitat:
Deinstalliere bitte über die Systemsteuerung->Apps den CCleaner.
ungern :lach: da halte ich ja eigentlich große stücke drauf! ;) aber gut, wenns sein muss...

danke für deine hilfe!

Code:
Emsisoft Emergency Kit – Version 2020.5
Letztes Update: N/A
Eigene LAPTOP-AMHCM5VG\Home
 LAPTOP-AMHCM5VG
 Windows 10x64

Scan-Einstellungen:

Scan-Methode: Malware-Scan
Objekte: Rootkits, Speicher, Spuren, Dateien

PUPs-Erkennung: An
Archive scannen: Aus
E-Mail-Archive scannen: Aus
ADS-Scan: An
Direkter Festplattenzugriff: Aus

Scan-Beginn:        30.05.2020 19:33:11
C:\ProgramData\{F0633500-7A21-BFC6-FCE7-218466A5AA4A}\cesasile        erkannt: Trojan.Agent.DSEE (B) [krnl.xmd]

Gescannt:        86570
Gefunden        1

Scan-Ende:        30.05.2020 19:39:04
Scan-Zeit:        0:05:53

felix1 30.05.2020 19:14
Sagt Dir diese installierte Software: cesasile etwas?

romyleinchen 30.05.2020 19:21
nee, kenn ich nicht..

felix1 30.05.2020 20:34
Sehe mal nach, ob die Software über Systemsteurerung->Apps deinstallierbar ist.

romyleinchen 30.05.2020 20:54
Nein, leider nix zu finden..

felix1 31.05.2020 08:16
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
    AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
    HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG
    GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
    GroupPolicy\User: Beschränkung ? <==== ACHTUNG
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
    CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    SearchScopes: HKSearchLM-x32 -> DefaultScope {21ACF08C-B0B0-414E-8522-B0FA8AE1C197} URL =
    SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> DefaultScope {A9B154DF-22E3-4BB1-A93C-82318E2F6AF3} URL =
    SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL =
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    powershell: Set-MpPreference -PUAProtection Enabled
    emptytemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

romyleinchen 31.05.2020 08:28
Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-05-2020 01
durchgeführt von Home (31-05-2020 09:24:16) Run:1
Gestartet von C:\Users\Home\Downloads
Geladene Profile: Home
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
SearchScopes: HKSearchLM-x32 -> DefaultScope {21ACF08C-B0B0-414E-8522-B0FA8AE1C197} URL =
SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> DefaultScope {A9B154DF-22E3-4BB1-A93C-82318E2F6AF3} URL =
SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL =
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
powershell: Set-MpPreference -PUAProtection Enabled
emptytemp:

*****************

Prozesse erfolgreich geschlossen.
"AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}" => erfolgreich entfernt
"AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}" => erfolgreich entfernt
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG => Fehler: Kein automatisierter Fix für diesen Eintrag gefunden.
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG => erfolgreich wiederhergestellt
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\User => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Mozilla => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
"\\DefaultScope" => nicht gefunden
"HKU\S-1-5-21-4019036141-3525676238-3849331610-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
HKU\S-1-5-21-4019036141-3525676238-3849331610-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2211d4a5-48d0-47f5-a7cd-81e861470f7f} => erfolgreich entfernt

========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= Set-MpPreference -PUAProtection Enabled =========


========= Ende von Powershell: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 72250773 B
Java, Flash, Steam htmlcache => 1244 B
Windows/system/drivers => 5564516 B
Edge => 5408837 B
Chrome => 4443390 B
Firefox => 394005708 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 41624 B
NetworkService => 5585676 B
defaultuser0 => 5585676 B
Home => 56408396 B
Chris => 57075412 B

RecycleBin => 2352529405 B
EmptyTemp: => 2.8 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:25:49 ====

felix1 31.05.2020 08:46
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    DeleteKey: HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

romyleinchen 31.05.2020 08:55
Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-05-2020 01
durchgeführt von Home (31-05-2020 09:53:19) Run:2
Gestartet von C:\Users\Home\Downloads
Geladene Profile: Home
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
DeleteKey: HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG

*****************

Prozesse erfolgreich geschlossen.
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG => konnte nicht entfernt werden. ErrorCode1: 0xC000003A


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:53:20 ====

felix1 31.05.2020 14:21
Bitte nochmals MBAM und ADWcleaner laufen lassen und die Logs posten.

romyleinchen 31.05.2020 16:28
Code:
# -------------------------------
# Malwarebytes AdwCleaner 8.0.5.0
# -------------------------------
# Build:    05-25-2020
# Database: 2020-05-26.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    05-31-2020
# Duration: 00:00:42
# OS:      Windows 10 Home
# Scanned:  31862
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.ACERAOPFramework  Folder  C:\Program Files (x86)\ACER\AOP FRAMEWORK


AdwCleaner_Debug.log - [87298 octets] - [29/05/2020 08:33:59]
AdwCleaner[S00].txt - [15067 octets] - [29/05/2020 08:34:33]
AdwCleaner[C00].txt - [14712 octets] - [29/05/2020 08:35:45]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########
Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 31.05.20
Scan-Zeit: 17:24
Protokolldatei: cef3fce0-a352-11ea-9e0e-5800e3a485ea.json

-Softwaredaten-
Version: 4.1.0.56
Komponentenversion: 1.0.920
Version des Aktualisierungspakets: 1.0.24780
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.836)
CPU: x64
Dateisystem: NTFS
Benutzer: LAPTOP-AMHCM5VG\Home

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 338559
Erkannte Bedrohungen: 1
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 1 Min., 38 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
PUP.Optional.Conduit, C:\USERS\HOME\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GG2H2Z9S.DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 194, 301520, 1.0.24780, , ame,

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

felix1 31.05.2020 17:24
Den ADWscanner bitte nochmals im Modus clean.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131