| |
| |||||||
Log-Analyse und Auswertung: vlc von falscher Seite installiert, StartfensterWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.03.2014, 14:06
| #1 |
 |  vlc von falscher Seite installiert, Startfenster Hallo liebe Virenjäger! Vor ein paar Tagen habe ich aus versehen den vlc-mediaplayer von einer falschen Seite (vlc.de) und nicht von der Originalseite runtergeladen und installiert. Da er nicht gleich startete, habe ich ihn einmal als Administrator ausgeführt  .Dann habe ich gemerkt, dass im Firefox und im IE die Startseite verändert wurde auf startfenster. Daraufhin habe ich im Internet rumrecherchiert und einige Maßnahemn durchgeführt, um den Mist zu entfernen. Die Logs, die ich bisher gemacht habe, hänge ich euch an. Ich würde gerne sichergehen, dass der PC jetzt sauber ist und sich nicht etwas Fieses irgendwo versteckt. Ein etwas älteres MBAM-Log von Februar ist auch dabei, "OpenCandy" (?) wurde von Malwarebytes gelöscht. Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.02.04.07 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 11.0.9600.16476 User :: USER-PC [Administrator] 04.02.2014 14:54:14 mbam-log-2014-02-04 (14-54-14).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 202085 Laufzeit: 4 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 5 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=8684bfed-02ca-4365-4a91-4bafd5740b2e&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=28/01/2014&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=8684bfed-02ca-4365-4a91-4bafd5740b2e&searchtype=hp&fr=linkury-tb&installDate=28/01/2014&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=8684bfed-02ca-4365-4a91-4bafd5740b2e&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=28/01/2014&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=8684bfed-02ca-4365-4a91-4bafd5740b2e&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=28/01/2014&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=8684bfed-02ca-4365-4a91-4bafd5740b2e&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=28/01/2014&type=hp1000) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 2 C:\Users\User\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\User\AppData\Roaming\OpenCandy\7980CAEEC7E1468C8479CD4BDA34AECE (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 1 C:\Users\User\AppData\Roaming\OpenCandy\7980CAEEC7E1468C8479CD4BDA34AECE\Installer.exe (PUP.Optional.Linkury.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.03.12.07 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 11.0.9600.16521 User :: USER-PC [Administrator] 12.03.2014 14:58:38 mbam-log-2014-03-12 (14-58-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 361812 Laufzeit: 57 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter # AdwCleaner v3.021 - Bericht erstellt am 12/03/2014 um 13:48:05
# Aktualisiert 10/03/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzername : User - USER-PC
# Gestartet von : C:\Users\User\Desktop\adwcleaner.exe
# Option : Suchen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Datei Gefunden : C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Startfenster.lnk
Ordner Gefunden C:\Users\User\AppData\Roaming\pdfforge
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker-1_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker-1_RASMANCS
Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08121C32A9C319F4CB0C11FF059552A4
***** [ Browser ] *****
-\\ Internet Explorer v11.0.9600.16521
-\\ Mozilla Firefox v27.0.1 (de)
[ Datei : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\p5517w7t.default\prefs.js ]
Zeile gefunden : user_pref("browser.startup.homepage", "hxxp://www.startfenster.de");
*************************
AdwCleaner[R1].txt - [1385 octets] - [12/03/2014 13:48:05]
########## EOF - C:\AdwCleaner\AdwCleaner[R1].txt - [1445 octets] ##########
Code:
ATTFilter # AdwCleaner v3.021 - Bericht erstellt am 12/03/2014 um 13:50:07
# Aktualisiert 10/03/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzername : User - USER-PC
# Gestartet von : C:\Users\User\Desktop\adwcleaner.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
[x] Nicht Gelöscht : C:\Users\User\AppData\Roaming\pdfforge
Datei Gelöscht : C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Startfenster.lnk
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker-1_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker-1_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08121C32A9C319F4CB0C11FF059552A4
***** [ Browser ] *****
-\\ Internet Explorer v11.0.9600.16521
-\\ Mozilla Firefox v27.0.1 (de)
[ Datei : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\p5517w7t.default\prefs.js ]
Zeile gelöscht : user_pref("browser.startup.homepage", "hxxp://www.startfenster.de");
*************************
AdwCleaner[R1].txt - [1525 octets] - [12/03/2014 13:48:05]
AdwCleaner[S1].txt - [1451 octets] - [12/03/2014 13:50:07]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1511 octets] ##########
Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.2 (02.20.2014:1)
OS: Windows 7 Home Premium x86
Ran by User on 13.03.2014 at 11:08:04,06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
~~~ Registry Keys
~~~ Files
~~~ Folders
Successfully deleted: [Folder] "C:\Users\User\AppData\Roaming\pdfforge"
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{06E7494C-ECE6-4445-8F3D-FD0266B79C90}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{0AF3054E-8392-46D4-BB39-CC83D9C49670}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{10E85EA9-79EA-4F8B-B323-F9E021FFE8A5}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{1435CC8B-9875-4183-8453-D00BAF860414}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{15BDEF75-011D-4078-A709-A0EDBEE64026}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{16E6DB08-4E76-4768-856C-C048ECDD6692}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{1AD78DA2-C806-4ADB-99F2-AEA7EF97D1A3}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{2786BD83-EC45-48C2-80C9-BF37A7DD6938}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{29F5D7FF-6A37-466C-9B20-2F722D3A9F3A}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{2DEAD527-AA52-4D87-9023-9106F3285AC5}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{2FEFC5E1-F4CA-49C0-A6F3-DC780EAE4F18}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{34C7D7D1-37C3-446F-919A-EFBAB7A98A44}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{39174048-99A5-400F-92F2-D84ECBD97770}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{44D747C0-1F8B-4A2D-9A91-43F951F533C6}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{44E87274-C769-433E-8938-6BA9134852CA}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{469C444A-7A0A-42FB-8F4D-EBF79CAD3BFD}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{4861ADC4-F24B-4966-94C3-DF9E54FBDCFE}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{49212143-ED63-450A-95E9-1CB15CD693C6}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{4A9897FD-B6FE-4CC9-8AC7-3D81C6A760CF}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{4AF4BC4C-7E15-4406-A3B1-E167728779DF}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{56811167-DBD0-4A6C-8313-BADE7C649A90}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{63841A7D-8FF7-4AD4-9920-E1EC2A0622FF}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{6670C2B5-044A-4D06-B60F-EC95EE0A1A3D}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{678E4CEA-90E8-48D5-B551-8CCABE38E4C2}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{6B228376-70EA-412A-A3D9-646C3D3EDE5A}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{6B812D6B-635F-424A-92B4-C6CB2C88EC3E}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{6CD07A4D-AC80-4505-B187-A7A4C558A52C}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{6D56FC6F-AC52-4D87-A963-3A0385545F56}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{6F253008-1AAA-4D11-9301-09D733723AEA}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{71E49781-43AF-44DA-8CF3-D1589F5DB088}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{73794DD7-EB9A-48EF-906E-0F45B7F8A7DB}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{74DD91DE-EC0E-41B5-95FB-B80E55B7DC89}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{79B91B85-E49F-4670-9203-41CE04B6D5C0}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{7BCCFF76-1574-4486-858D-097259046474}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{7D668927-746D-4049-8F32-F0F80D9B414C}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{83E58E6D-9BAC-47A6-903B-D89DAAA82B47}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{87AB750F-7271-4769-8636-8FF14F114353}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{8D269657-933D-449E-84AB-791B29E6E14F}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{9935E1A1-F4FC-4437-A495-5DF91AC898E6}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{9943E3F9-91FB-4BA0-8BD4-D80082181342}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{9A563768-53A0-4EE9-A9D5-7B6BAEA4974D}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{AB87B136-9EBB-4225-82C9-AD5A9909DBB7}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{B40037F0-7CD2-4E87-A5BB-2053310851E6}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{B4FF877E-D627-419C-B85A-7E65297C9DA2}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{B57884E7-C26A-470E-979F-698896230119}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{B6AD6792-C91D-4A43-A587-A635278EC26E}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{BC38A7F0-93A2-4481-932D-960949D9E310}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{BEB82E2E-64BE-4AA1-89D8-99685251B4EC}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{C1C4CC16-9AFE-49D1-B4E6-E739440EEE62}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{C55C4D94-D741-4D91-86A9-9C0818D3C96D}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{C569C481-3530-4BA7-9265-8814E086CC2A}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{C665C8B2-7E12-4522-9D46-FFEA8FBFCCF8}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{D5D89F0E-9DD9-4F67-8CFC-09906895CB0B}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{DA14A44A-489E-486A-98CA-D59BFB1DA0F1}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{E1BDF199-5303-4E77-90D7-66F79E35B73C}
Successfully deleted: [Empty Folder] C:\Users\User\appdata\local\{EB2F8701-83D8-415C-8497-F879B9C81C46}
~~~ FireFox
Emptied folder: C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\p5517w7t.default\minidumps [440 files]
~~~ Event Viewer Logs were cleared
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 13.03.2014 at 11:10:13,20
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Würde mich freuen, wenn ihr mir helfen könnt. |
| Themen zu vlc von falscher Seite installiert, Startfenster |
| administrator, appdata, autostart, browser, code, desktop, explorer, firefox, home, malwarebytes, microsoft, ordner, pup.optional.helperbar.a, pup.optional.linkury.a, pup.optional.opencandy, registrierungsdatenbank, registry, seite, software, suche, tool |
Baum-Darstellung