| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ständiges Focus stealing ohne GrundWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.12.2013, 21:26
| #1 |
 |  Ständiges Focus stealing ohne Grund Ein frohes Fest wünsche ich euch! Pünktlich zu Heiligabend hat mit der Weihnachtsmann schöne Malware mitgebracht die mich gerade massiv stört. Und zwar werden in unregelmäßigen Abständen alle meine Programme aus dem Fokus genommen. Passiert aber nur dann, wenn ich aktiv viele Eingaben durchführe wie gerade jetzt. (Das schreiben dieses Posts alleine ist schon extrem nervig), Vollbildanwendungen minimieren sich teilweise ganz. Beim Schauen von Videos passiert gar nichts. Vor gut nem halben Jahr hatte ich ja bereits ein Problem mit Malware und ihr habt mir ja ganz gut geholfen. Die Software von damals hab ich heute teilweise immer noch drauf (Mbam nutze ich mehr oder weniger regelmäßig) noch von diesem Wurm hat es mich leider nicht abgehalten. Diese extreme Form von unbegründeten Focusstealing (Wobei das hier der Desktop ist, der "stealed" oO) kann eigentlich nur in Malware begründet liegen. Hier die Logs mbam quickscan von letzter Nacht Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.12.24.07 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16660 Kevin :: KEVIN-PC [Administrator] 25.12.2013 02:42:21 mbam-log-2013-12-25 (02-42-21).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 215079 Laufzeit: 3 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 9 HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{77777777-7777-7777-7777-770077227758} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings (PUP.Optional.BProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Daten: hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=403C485B39A58CD8&affID=125036&tsp=5037 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Daten: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 1 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.StartPage.A) -> Bösartig: (hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=403C485B39A58CD8&affID=125036&tsp=5037) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 4 C:\Program Files (x86)\IminentToolbar (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Roaming\OpenCandy\35E7E60C110D4E45809827B7950E1323 (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Roaming\OpenCandy\7C27710EB0C14C7BA8D546CB120493A0 (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 16 C:\Users\Kevin\AppData\Roaming\OpenCandy\35E7E60C110D4E45809827B7950E1323\SearchGolTB.exe (PUP.Optional.PCFixSpeed.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\39D5.tmp (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\IminentSetup-1-.exe (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\ccp.exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\MySgolTB.exe (PUP.Optional.SearchGolTB.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\searchInstaller_appending_nch_and_browser.exe (PUP.Optional.BabylonSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Local\Temp\9EABE560-BAB0-7891-BB18-91D0D76598AC\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\Downloads\Free31213YouTubeToMP3Converter.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\Downloads\SoftonicDownloader_fuer_java-se-development-kit-jdk.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\Downloads\wireshark-64-bit-1-6-2.exe (PUP.Optional.ChipXonio) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\17ca2.msi (PUP.Optional.SmartBar) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Kevin\AppData\Roaming\OpenCandy\7C27710EB0C14C7BA8D546CB120493A0\Trial-14.0.1000.89_de-DE_1004733_DE-2.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.12.24.07 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16660 Kevin :: KEVIN-PC [Administrator] 25.12.2013 19:42:52 mbam-log-2013-12-25 (19-42-52).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 382349 Laufzeit: 47 Minute(n), Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Config.Msi\125954a.rbf (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\BitGuard\2.7.1769.27\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll (Rogue.InternetSecurityEssentials) -> Löschen bei Neustart. (Ende) GMER hxxp://pastebin.com/YnvHpNbd Liebe grüße und ein schönes Jahresende, Kevin Geändert von Rakshasa (25.12.2013 um 21:34 Uhr) |
Baum-Darstellung