| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: PayPal phishing Mail. Link gefolgt.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.07.2015, 16:05
| #16 |
 |  PayPal phishing Mail. Link gefolgt. auch übersehen, tut mir leid ): Code:
ATTFilter Farbar Recovery Scan Tool (x64) Version:24-06-2015
Ran by Paula at 2015-07-01 14:31:05
Running from C:\Users\Paula\Downloads
Boot Mode: Normal
================== Search Registry: "ytd video downloader;DriverBoost;PC_Drivers_Headquarters" ===========
===================== Search result for "ytd video downloader" ==========
[HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\GreenTree Applications\YTD Video Downloader]
[HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b261d6c1_0]
""="{0.0.0.00000000}.{335d7ee3-3e94-439c-8fbc-8f97db667288}|\Device\HarddiskVolume3\Program Files (x86)\GreenTree Applications\YTD Video Downloader\ytd.exe%b{00000000-0000-0000-0000-000000000000}"
===================== Search result for "DriverBoost" ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|DriverBoost|DriverBoost|ThemePack.DriverBoost.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|DriverBoost|DriverBoost|ThemePack.DriverBoost.dll]
"ThemePack.DriverBoost,Version="1.0.4239.15109",Culture="neutral",FileVersion="1.0.4239.15109",ProcessorArchitecture="MSIL""="U8q$2O0=l?.,r!
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\47790AB27F4360A4C8E76BE944BCE90B]
"DriverBoost"="Whitelabels"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\47790AB27F4360A4C8E76BE944BCE90B\SourceList]
"PackageName"="DriverBoost.msi"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\DriverBoost.exe]
""="C:\Program Files (x86)\DriverBoost\DriverBoost\DriverBoost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\Program Files (x86)\DriverBoost\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverBoost\"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0760F693657F5454DB7CEE8A0904866A]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Agent.ExceptionLogging.XmlSerializers.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1BAA4C1BE43044646934676A82FBF819]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\DriverBoost.Updater.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F78D4A67C5628C48825BDDE0B3244DE]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Agent.Communication.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2FE3022112545A6468DD5C0F1DEB0CFA]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Interop.WUApiLib.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4C59305DAF90BD1439DFA2D13A343813]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\de\Agent.Communication.resources.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5421B008AD0B5444B9122F2BD9FDAB9E]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Agent.CPU.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7BD8B5A3B82AA9E4F8D7B14A61DA7F1E]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Agent.ExceptionLogging.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8DBAEFFD54CFFE24D9E422269244E271]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\XPBurnComponent.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AC84E96F4549FEC42BC00B1CB12F5091]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Microsoft.Practices.ObjectBuilder.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\C24102C4392CE83C0CF5717B4B36C2DD]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\C5F5A9BF828CBA440B4CA8F8D30D29E2]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\config.dat"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D367FAAFD3F219942826010D361A8C38]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Microsoft.Practices.EnterpriseLibrary.Security.Cryptography.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E1DFB05CF05A5BD458A5AC4C2C250001]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\ThemePack.DriverBoost.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF5C16A0C0667C64BB5DB8124DEE914D]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\ISUninstall.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F674A9236679F1542AE9CCE280D3B396]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\DriverBoost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F795820EF9DF9EABC08AE8EAB7C300E3]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F9436DAE2DF3DC442AB02130FAFCB95F]
"47790AB27F4360A4C8E76BE944BCE90B"="C:\Program Files (x86)\DriverBoost\DriverBoost\Agent.Communication.XmlSerializers.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\47790AB27F4360A4C8E76BE944BCE90B\InstallProperties]
"Comments"="DriverBoost Installation"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\47790AB27F4360A4C8E76BE944BCE90B\InstallProperties]
"HelpLink"="hxxp://www.driverboost.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\47790AB27F4360A4C8E76BE944BCE90B\InstallProperties]
"Publisher"="DriverBoost"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\47790AB27F4360A4C8E76BE944BCE90B\InstallProperties]
"URLUpdateInfo"="hxxp://www.driverboost.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Quarantined]
"C:\Program Files (x86)\DriverBoost\DriverBoost\DriverBoost.exe"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727\NGENService\Roots\C:/Program Files (x86)/DriverBoost/DriverBoost/DriverBoost.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0}]
"Contact"="DriverBoost Technical Support"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0}]
"InstallLocation"="C:\Program Files (x86)\DriverBoost\DriverBoost\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0}]
"URLInfoAbout"="hxxp://www.driverboost.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0}]
"DisplayName"="DriverBoost"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\DriverBoost.exe]
""="C:\Program Files (x86)\DriverBoost\DriverBoost\DriverBoost.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\Application\DriverBoost]
[HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]
"C:\Users\Paula\Downloads\DriverBoostPro-Setup.exe"="1"
====== End of Search ======
|
|
01.07.2015, 19:31
| #17 |
| /// TB-Ausbilder   | PayPal phishing Mail. Link gefolgt. Wir entfernen die letzten Reste und kontrollieren nochmal alles. ESET kann länger (> 2 h) dauern.
__________________Im Anschluss entfernen wir alle verwendeten Tools und ich gebe dir noch ein paar Tipps mit auf den Weg. Schritt 1 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter start
CloseProcesses:
HKU\S-1-5-21-877251764-1122788797-4291482508-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-877251764-1122788797-4291482508-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Extension: flv movies downloader - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\Extensions\flvmoviesdownloader@rzll.xpi [2011-05-15]
FF Extension: Flash Video Downloader - YouTube HD Downloader [4K] - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\Extensions\artur.dubovoy@gmail.com [2015-05-31]
S3 BrYNSvc; "C:\Program Files (x86)\Browny02\BrYNSvc.exe" [X]
C:\Users\Paula\SETUP.EXE
Task: {C8DE9D06-811B-47B7-882A-520FA310EF6C} - System32\Tasks\{AF50FF36-FF34-48DC-8776-8FFD965E2E65} => pcalua.exe -a C:\Users\Paula\Downloads\DriverBoostPro-Setup.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {BC75587D-DE4F-47DD-8852-49366AD296D4} - System32\Tasks\{7062068E-24A0-40E7-BFBC-C7A22771660A} => pcalua.exe -a C:\Users\Paula\Downloads\Deamon_Tools_Pro_4300305\DTPro4300305.exe -d C:\Users\Paula\Downloads\Deamon_Tools_Pro_4300305
AlternateDataStreams: C:\ProgramData\Temp:A8AF8B49
DeleteKey: HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\GreenTree Applications
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|DriverBoost|DriverBoost|ThemePack.DriverBoost.dll
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\47790AB27F4360A4C8E76BE944BCE90B
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\DriverBoost.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727\NGENService\Roots\C:/Program Files (x86)/DriverBoost/DriverBoost/DriverBoost.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0}
DeleteKey:
RemoveProxy:
EmptyTemp:
end
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2 ESET Online Scanner
Schritt 3 Downloade Dir bitte  SecurityCheck und:
Bitte poste mit deiner nächsten Antwort
|
|
05.07.2015, 11:44
| #18 |
| /// TB-Ausbilder | PayPal phishing Mail. Link gefolgt. Fehlende Rückmeldung
__________________Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen! |
|
08.07.2015, 16:39
| #19 |
| | PayPal phishing Mail. Link gefolgt. so. (: auf ein weiteres: Code:
ATTFilter Fix result of Farbar Recovery Scan Tool (x64) Version:24-06-2015
Ran by Paula at 2015-07-07 20:01:12 Run:1
Running from C:\Users\Paula\Downloads
Loaded Profiles: Paula (Available Profiles: Paula)
Boot Mode: Normal
==============================================
fixlist content:
*****************
start
CloseProcesses:
HKU\S-1-5-21-877251764-1122788797-4291482508-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-877251764-1122788797-4291482508-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Extension: flv movies downloader - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\Extensions\flvmoviesdownloader@rzll.xpi [2011-05-15]
FF Extension: Flash Video Downloader - YouTube HD Downloader [4K] - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\Extensions\artur.dubovoy@gmail.com [2015-05-31]
S3 BrYNSvc; "C:\Program Files (x86)\Browny02\BrYNSvc.exe" [X]
C:\Users\Paula\SETUP.EXE
Task: {C8DE9D06-811B-47B7-882A-520FA310EF6C} - System32\Tasks\{AF50FF36-FF34-48DC-8776-8FFD965E2E65} => pcalua.exe -a C:\Users\Paula\Downloads\DriverBoostPro-Setup.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {BC75587D-DE4F-47DD-8852-49366AD296D4} - System32\Tasks\{7062068E-24A0-40E7-BFBC-C7A22771660A} => pcalua.exe -a C:\Users\Paula\Downloads\Deamon_Tools_Pro_4300305\DTPro4300305.exe -d C:\Users\Paula\Downloads\Deamon_Tools_Pro_4300305
AlternateDataStreams: C:\ProgramData\Temp:A8AF8B49
DeleteKey: HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\GreenTree Applications
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|DriverBoost|DriverBoost|ThemePack.DriverBoost.dll
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\47790AB27F4360A4C8E76BE944BCE90B
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\DriverBoost.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727\NGENService\Roots\C:/Program Files (x86)/DriverBoost/DriverBoost/DriverBoost.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0}
DeleteKey:
RemoveProxy:
EmptyTemp:
end
*****************
Processes closed successfully.
"HKU\S-1-5-21-877251764-1122788797-4291482508-1001\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => value removed successfully
HKCR\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => key not found.
HKU\S-1-5-21-877251764-1122788797-4291482508-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => value removed successfully
HKCR\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => key not found.
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\Extensions\flvmoviesdownloader@rzll.xpi => moved successfully.
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\Extensions\artur.dubovoy@gmail.com => moved successfully.
BrYNSvc => Service removed successfully
C:\Users\Paula\SETUP.EXE => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C8DE9D06-811B-47B7-882A-520FA310EF6C}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C8DE9D06-811B-47B7-882A-520FA310EF6C}" => key removed successfully
C:\Windows\System32\Tasks\{AF50FF36-FF34-48DC-8776-8FFD965E2E65} => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{AF50FF36-FF34-48DC-8776-8FFD965E2E65}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BC75587D-DE4F-47DD-8852-49366AD296D4}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC75587D-DE4F-47DD-8852-49366AD296D4}" => key removed successfully
C:\Windows\System32\Tasks\{7062068E-24A0-40E7-BFBC-C7A22771660A} => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{7062068E-24A0-40E7-BFBC-C7A22771660A}" => key removed successfully
C:\ProgramData\Temp => ":A8AF8B49" ADS removed successfully.
HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\GreenTree Applications => could not remove at first attempt (ErrorCode: C0000121), see next line.
HKEY_USERS\S-1-5-21-877251764-1122788797-4291482508-1001\Software\GreenTree Applications => key removed successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|DriverBoost|DriverBoost|ThemePack.DriverBoost.dll => key removed successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\47790AB27F4360A4C8E76BE944BCE90B => could not remove at first attempt (ErrorCode: C0000121), see next line.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\47790AB27F4360A4C8E76BE944BCE90B => key removed successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\DriverBoost.exe => key removed successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727\NGENService\Roots\C:/Program Files (x86)/DriverBoost/DriverBoost/DriverBoost.exe => could not remove at first attempt (ErrorCode: C0000121), see next line.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727\NGENService\Roots\C:/Program Files (x86)/DriverBoost/DriverBoost/DriverBoost.exe => key removed successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2BA09774-34F7-4A06-8C7E-B69E44CB9EB0} => key removed successfully
DeleteKey: => could not removekey.: incorrect path.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKU\S-1-5-21-877251764-1122788797-4291482508-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\S-1-5-21-877251764-1122788797-4291482508-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
========= End of RemoveProxy: =========
EmptyTemp: => 587.4 MB temporary data Removed.
The system needed a reboot..
==== End of Fixlog 20:03:48 ====
und zweitens: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=c67ba4e647c08b4da63d4e47e9ed9cee
# end=init
# utc_time=2015-07-07 06:29:41
# local_time=2015-07-07 08:29:41 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 24689
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=c67ba4e647c08b4da63d4e47e9ed9cee
# end=updated
# utc_time=2015-07-07 06:32:52
# local_time=2015-07-07 08:32:52 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=c67ba4e647c08b4da63d4e47e9ed9cee
# engine=24689
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-07-08 05:18:51
# local_time=2015-07-08 07:18:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 40177 187962581 0 0
# scanned=277428
# found=17
# cleaned=0
# scan_time=38758
sh=8992F72873D09212597E582A16F8D9BC60E6A22A ft=1 fh=e21391a34e842ffc vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\Common Files\DVDVideoSoft\TB\ConduitInstaller.exe.vir"
sh=531FF0A9D22D63AC4B01A2603B1C9DEC717D9B99 ft=1 fh=2d1fb7038f001cc8 vn="Variante von Win32/Adware.Synatix.A Anwendung" ac=I fn="C:\Qoobox\Quarantine\C\Users\Paula\AppData\Roaming\Windows Net Data\uninstaller.exe.vir"
sh=97AE0446E095C562464F842537CD700CF0598B97 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs-1.js"
sh=68A8887F0444F387A70F2E4E96A951C0B1A5A240 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js"
sh=31B9C8E2D7C871A0C378B09535BCED7815C86D6B ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js.BAK"
sh=B1609552C4D576CB185A41E16B45E5C4FDE8CBF9 ft=1 fh=632208a8703de82c vn="Variante von MSIL/DownloadGuide.D evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\endless-mahjong-Downloader.exe"
sh=A19594C6836D5B5A3D364CAB7C980871BB12D885 ft=1 fh=8a8ff7b6e8a34a83 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeStudio.exe"
sh=BB06CBAB7C1B565A18F2B80CC07E01C8D8236C71 ft=1 fh=61e8f7399592afde vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeDownload.exe"
sh=D91BE9C388EAAB3FB51B2937F4995C1B005874A6 ft=1 fh=b8ac9f398ccdef96 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeToMp3Converter(2).exe"
sh=FC36E37C5AF2A351DCD003127821BE33E48D56CF ft=1 fh=cc013aa1066e7274 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeToMp3Converter(3).exe"
sh=FF42995D8E24E05FF9EBA12DCB27B9AAB183A290 ft=1 fh=605214e765268a80 vn="Variante von Win32/Toolbar.Conduit.AI evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeToMP3Converter(5).exe"
sh=8547D1E5EACE099ECFE5EDBF6958FA077650894B ft=1 fh=61435738673b6524 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeToMP3Converter(6).exe"
sh=3308BEBA5E02E49A1363583BB8CEA8AAA26B9D85 ft=1 fh=7b4073d88eb8119f vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeToMP3Converter(7).exe"
sh=596D78A7F03D1DAEE86BCCE8DD7713AA60E8F9E4 ft=1 fh=8eaf1d336ac02ccc vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubetoMP3Converter(8).exe"
sh=D91BE9C388EAAB3FB51B2937F4995C1B005874A6 ft=1 fh=b8ac9f398ccdef96 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\FreeYouTubeToMp3Converter.exe"
sh=F2E67543DB913A0936B1CA8989EB994E3C552331 ft=1 fh=a2c6fd635d2b5c45 vn="Variante von MSIL/DownloadGuide.D evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\magicalmahjong_setup-Downloader.exe"
sh=6CF8A9F031B45F70BE3E66E7ACC7449CDA15FA34 ft=1 fh=2de4b6f517306153 vn="Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Paula\Downloads\PDFCreator-1_2_3_setup.exe"
Code:
ATTFilter Results of screen317's Security Check version 1.004
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Spybot - Search & Destroy
Java(TM) 6 Update 25
Java version 32-bit out of Date!
Adobe Flash Player 18.0.0.194
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox (38.0.5)
````````Process Check: objlist.exe by Laurent````````
Spybot Teatimer.exe is disabled!
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
vielen dank und nochmal entschuldigung für die länger als angekündigte abwesenheit! (: |
|
08.07.2015, 18:56
| #20 | ||||||||||
| /// TB-Ausbilder | PayPal phishing Mail. Link gefolgt. Reste entfernen Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter start
CloseProcesses:
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs-1.js
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js.BAK
C:\Users\Paula\Downloads\endless-mahjong-Downloader.exe
C:\Users\Paula\Downloads\FreeStudio.exe
C:\Users\Paula\Downloads\FreeYouTubeDownload.exe
C:\Users\Paula\Downloads\FreeYouTubeToMp3Converte*.exe
C:\Users\Paula\Downloads\magicalmahjong_setup-Downloader.exe
C:\Users\Paula\Downloads\PDFCreator-1_2_3_setup.exe
EmptyTemp:
end
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Die Fixlog von FRST gleich posten, da diese sonst mit DelFix (siehe weiter unten) automatisch entfernt wird! Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.  Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.  Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde:  Combofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte  DelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...  und/oder das Forum mit einer kleinen Spende  unterstützen.   Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:
Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen. Optional:  Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren. NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. Ghostery Erkennt und blockiert Tracker, Web Bugs, Pixel und Beacons und weitere Scripte, die das Surfverhalten ausspähen/beobachten. Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.Lade Software von einem sauberen Portal wie  .Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
|
10.07.2015, 22:12
| #21 |
| /// TB-Ausbilder | PayPal phishing Mail. Link gefolgt. Ich bin froh, dass wir helfen konnten  In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest: Lob, Kritik und Wünsche Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
|
11.07.2015, 07:13
| #22 |
| | PayPal phishing Mail. Link gefolgt. so, jetzt erst mal den fixlog. wiedermal etwas verspätet, tut mir leid.  Code:
ATTFilter Fix result of Farbar Recovery Scan Tool (x64) Version:24-06-2015
Ran by Paula at 2015-07-11 08:01:01 Run:2
Running from C:\Users\Paula\Downloads
Loaded Profiles: Paula (Available Profiles: Paula)
Boot Mode: Normal
==============================================
fixlist content:
*****************
start
CloseProcesses:
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs-1.js
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js.BAK
C:\Users\Paula\Downloads\endless-mahjong-Downloader.exe
C:\Users\Paula\Downloads\FreeStudio.exe
C:\Users\Paula\Downloads\FreeYouTubeDownload.exe
C:\Users\Paula\Downloads\FreeYouTubeToMp3Converte*.exe
C:\Users\Paula\Downloads\magicalmahjong_setup-Downloader.exe
C:\Users\Paula\Downloads\PDFCreator-1_2_3_setup.exe
EmptyTemp:
end
*****************
Processes closed successfully.
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs-1.js => moved successfully.
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js => moved successfully.
C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\o6tbyg3m.default\prefs.js.BAK => moved successfully.
C:\Users\Paula\Downloads\endless-mahjong-Downloader.exe => moved successfully.
C:\Users\Paula\Downloads\FreeStudio.exe => moved successfully.
C:\Users\Paula\Downloads\FreeYouTubeDownload.exe => moved successfully.
C:\Users\Paula\Downloads\FreeYouTubeToMp3Converte*.exe => moved successfully.
C:\Users\Paula\Downloads\magicalmahjong_setup-Downloader.exe => moved successfully.
C:\Users\Paula\Downloads\PDFCreator-1_2_3_setup.exe => moved successfully.
EmptyTemp: => 361.2 MB temporary data Removed.
The system needed a reboot..
==== End of Fixlog 08:01:16
|
|
11.07.2015, 11:02
| #23 |
| /// TB-Ausbilder | PayPal phishing Mail. Link gefolgt. sieht gut aus. DelFix anwenden und Hinweise beachten. |
|
| Themen zu PayPal phishing Mail. Link gefolgt. |
| browser, daten, ebanking, einfach, eingeschränkt, email, emailadresse, forum, geändert, hinweis, installiert, konto, link, link angeklickt, links, neue, neuen, nichts, onlinebanking, passwort, passwörter, paypal, paypal phishing, phishing, seite, spyware, zugriff, öffnen |
+ R Taste und schreibe Combofix /Uninstall in das 
Linear-Darstellung
