Hallo liebe Trojaner-Gemeinde,

das ist mein erster Thread, denn ich habe die Befürchtung das ich mir einen Trojaner eingefangen habe. Ich würde mir ungern meine Passwörter für die Bank oder PayPal stehlen lassen.
Da auf dem PC die Firmendaten meines verstorbenen Vaters sind, fällt für mich eine Neuinstallation flach, außer ich will mich mit dem Finanzamt streiten

Deshalb hoffe ich, das ihr mir Schritt für Schritt helfen könnt und Bedanke mich für eure Hilfe im voraus.

Zu meinem Problem:
Ich habe am 15.05.2013 um 22.29Uhr eine E-Mail von elektroshopwagner.de (mailbox638**@sadaspa.it) bekommen und leider mit Anhang geöffnet. Als ich den Anhang öffnen wollte, ist nix passiert und mein Avira hat mich leider auch nicht gewarnt.
Als alles zu spät war habe ich im I-net gesehen das es sich wahrscheinlich um einen Trojaner handelt.

Am 17.06.2013 habe ich eine Mahnung von einer P. Schmitz Anwaltschaft bekommen und ich werde aufgefordert einen Betrag von 611,00€ zu zahlen. Für eine angebliche Bestellung bei Zalando Shop Online GmbH vom 24.05.2013.
Diese Mail habe ich nur übers IPad geöffnet.
(Würde gerne wissen ob diese Mail mit der vom Elektroshop zusammenhängen kann ?)

Habe auch schon die anderen Threads gelesen wo eine Anleitung mit OTL und Flashplayer löschen steht ?
Aber es wäre schön, wenn mir jemand direkt bei meinem PC helfen könnte.


Meine bisherigen Schritte (in der Reihenfolge):
(und natürlich auf eure freundliche Unterstützung hoffen)

1-Flashplayer deinstalliert
2-Avira (kostenlose Version mehrmals durchlaufen lassen.
Funde/Objekte: Games.part1.rar
(in dem Ordner: C:\Users\****\Desktop\Ungeordnet\StickSchwarz\S60Spiele\Games.part1.rar
das ist mein USB Stick, kann man ihn dort isolieren ?)
Es handelt sich laut Avira um das Trojanische Pferd TR/Peed.777
3-Trojanisches Pferd in Quarantäne verschoben
4-Flashplayer wieder installiert.

Bisher erkannte Probleme:
-Avira löscht den Trojaner nicht komplett. Bekomme immer wieder Meldung.
-Battlefield 3 (Origin Plattform) lässt sich nicht starten auch nach mehreren Reparaturversuchen.

Auszug aus Protokoll von Avira:

Beginne mit der Desinfektion:
C:\Users\Max\Desktop\Ungeordnet\StickSchwarz\Something\part1.rar
[FUND] Ist das Trojanische Pferd TR/Peed.777
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '545fa6a7.qua' verschoben!

Mein Plattform:
Windows 7 Ultimate 64bit / Avira Antivir (kostenlos) / AMD Phenom 3,6GHz

Hoffe das Ihr/ DU mir helfen könnt den Trojaner entgültig zu verjagen
(auch wenn ich euch schon nen Ohr abgekaut habe)

Ich weise ausdrücklich darauf hin, das es sich sowohl bei Zalando als auch bei dem Elektroshop Wagner um seriöse Unternehmen handelt. Deren gute Namen von Onlinebetrügern missbraucht wurden. Genauso kann es sich bei P. Schmitz um eine seriöse Anwältin oder auch eine fiktive Person handeln.

Hi,

Zitat:

Ich weise ausdrücklich darauf hin, das es sich sowohl bei Zalando als auch bei dem Elektroshop Wagner um seriöse Unternehmen handelt. Deren gute Namen von Onlinebetrügern missbraucht wurden. Genauso kann es sich bei P. Schmitz um eine seriöse Anwältin oder auch eine fiktive Person handeln.

So ist es. Fürchtest du eine Abmahnung..?

Zitat:

--> Games\B\Ball Rush Aqua KeyGen.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

--> Games\Q\Quartz2\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Peed.777

Wenn das ist, wonach es aussieht, dann wäre das ziemlich unklug.. Siehe auch hier: http://www.trojaner-board.de/95394-c...-software.html


Wenn alles runter ist, können wir mal reinschauen:


Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere es auf den Desktop.

• Starte die FRST64.exe.
• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

Man muss sich doch absichern, nicht das die nächsten 10 Antworten von einem echten Anwalt von *** kommen.
Kennst dich ja anscheinend aus. Sieht der Ausdruck jetzt besser aus ?

Zitat:

Sieht der Ausdruck jetzt besser aus ?

Das Zeug soll nicht aus dem Thread hier raus, sondern vollständig vom Rechner runter, wenn wir helfen sollen.. http://www.trojaner-board.de/95394-c...-software.html

Habe/ versuche es immer noch mit dem farber recovery Scan. Leider braucht er mittlerweile über 1std. Hoffe habe mir damit keinen Virus eingefangen den so oft hat Windows noch nie gemeckert, das dass Programm von einer nicht vertrauenswürdigen Quelle stammt.
Hab es mit und ohne Admin versucht.
Vielleicht noch ne andere Alternative zum Auslesen ?

Zitat:

Vielleicht noch ne andere Alternative zum Auslesen ?

Ja:


Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

OK hat doch mit Farber Recovery Scan funktioniert hier das Resultat.
(Autsch bestimmt alles kaputt )

Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Adwcleaner
• Log von Combofix
• Log von FRST

Erstmal danke,
Für deine Hilfe Leo. Werde jetzt mal die Schritte von dir abarbeiten und dann Posten.
Aber kannst du mir sagen ob du irgendwas Trojaner/ Virenmäßiges in der file gesehen hast.
Schreibst ja Combofix erst nach Anleitung anwenden. Also hört es sich für mich erstmal böse an.
Danke

Hier schonmal die ADWCleaner file.

So hier jetz die Combofix und die FRST Datei.
Hätte ich gewusst was CODE-Tags sind hätte ich es dir natürlich auch so geschickt
Die Programme sind soweit gut durchgelaufen ausser FRST wollte nenupdate, was ich ignoriert habe da Antivir noch aus war.

Also nochmal vielen Dank, für deine Hilfe (Auch wenn ich nicht wirklich gewusst habe was ich da mache)

Hoffe PC ist sauber, vielleicht kennst du ja noch ein prog. wo es dann auch ein Laie erkennt
und es wäre super wenn du mir sagen könntest ob du schon in den Log.-files eine Gefahr für meinen Pc gesehen hast.
Danke

Hab auch versucht die, von dir erwähnte, Software zu löschen. War von nem alten Nokia N95 konnte aber die part1.rar nicht finden.
MfG
Für deine freundliche und schnell Hilfe.

Hallo,

wie läuft denn der Rechner so? Ist alles normal oder bemerkst du Probleme oder Unregelmässigkeiten?
Hast den denn bei diesem Elektroshop-Mail nur das zip-File geöffnet oder auch die darin befindliche Datei ausgeführt?

Vielen dank erstmal für deine schnelle unkomplizierte Hilfe.Diese Seite ist es echt wwertunterstützt zu werden.
Der PC läuft denke ganz gut.bis auf das Problem mit Origin (Battlefield 3) kann das ein Problem darstellen ?
Das der Virus von Origin noch erkannt wird?

Ja ich habe die Seite mit ZIP Anhang geöffnet
Was ist eigentlich mit der Mahnung von Zalando, kann das mit dem Trojaner zusammenhängen ?

Wäre super wenn du mir noch ein Programm nennen könntest mit dem ich überprüfen kann ob der Trojaner/Virus endgültig entfernt ist.

Nochmal vielen Dank und macht weiter so.
Eine super Seite mit schneller unkomplizierter Hilfe !

Sowohl die Mahnung von Zalando als auch das andere sind nur Versuche, dir Malware unterzuschieben. Einfach ignorieren.

Wir kontrollieren, ob zwei Scanner noch etwas sehen können:


Schritt 1

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste in deiner nächsten Antwort:

• Log von MBAM
• Log von ESET