| |
| |||||||
Smartphone, Tablet & Handy Security: Lästige Schadsoftware beim Surfen mit BrowsernWindows 7 Trojaner-Board: Smartphones, Tablets mit Android, iPhones und iPads mit iOS und Windows Phones mit Windows und Windows RT. Wenn du Dir einen Android Trojaner eingefangen hast, melde Dich in diesem Forum. Alle User können dir dabei helfen den Trojaner zu entfernen. |
 |
07.10.2016, 18:40
| #16 |
 |  Lästige Schadsoftware beim Surfen mit Browsern Kein Problem, passiert mir nur zu oft  Malwarebytes = ok, ohne gefundene Schadsoftware. MyPhoneExplorer kann keine Verbindung herstellen. Bei der Anleitung hat soweit ich weiß alles gepasst bis auf den Punkt ADB Treiber installieren. Das, denke ich ist auch der Fehler warum ich nicht auf das Smartphone als Laufwerk zugreifen kann. Ich kann morgen versuchen den Treiber auf Windows zu installieren, natürlich auf meine Verantwortung Aber danke wirklich dass du dich so einsetzt für die Lösung, find ich echt toll. Aber stress dich nicht damit, mir geht es in erster Linie darum dass der Schädling weg ist sollte ich das Smartphone mal verkaufen oä  Die 1,5 Jahre bis zur Vertragsverlängerung könnte ich auch noch so überleben Gruß Markus e/ Sorry, es scheint zu funktionieren. Ich kann eine Verbindung herstellen, wusste nur nicht dass ich am Smartphone auch den Client installieren muss. Ich sehe jetzt über das MyphoneExplorer Interface den Systemspeicher und die Apps. Was willst du da dann genau haben? Gehe jetzt dann aber off [Zitat von alten ICQ-Zeiten ], komm erst morgen wieder zum Laptop.cu Geändert von chackyo (07.10.2016 um 18:48 Uhr) |
|
07.10.2016, 20:00
| #17 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern Einen Screenshot des Appspeichers. Mit MyPhoneExplorer Verbindung nochmals Shdds scan.
__________________ |
|
08.10.2016, 08:42
| #18 |
| | Lästige Schadsoftware beim Surfen mit Browsern Hallo, hier das gewünschte (wenn ich es richtig verstanden hab)
__________________Code:
ATTFilter :: HDD Scanner Logfile
:: Erstellt von : kerri88 (Daniela Kerr)
:: gestartet von Markus auf MARKUS-PC (08.10.2016/ 9:39:24,46)
:: Laufende Prozesse
ExecutablePath
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxCUIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Fujitsu\StatusPanelSwitch\StatusPanelSwitchDaemon.exe
C:\Program Files\Apoint2K\HidMonitorSvc.exe
C:\WINDOWS\system32\dashost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Program Files\Fujitsu\RadioSwitchUtility\RadioSwitchUtilityDaemon.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNService.exe
C:\Program Files (x86)\Intel\Bluetooth\ibtsiva.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHWatchdog.exe
C:\WINDOWS\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DbxSvc.exe
C:\WINDOWS\System32\WinLogon.exe
C:\WINDOWS\System32\dwm.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskhostw.exe
C:\WINDOWS\system32\igfxEM.exe
C:\WINDOWS\system32\igfxHK.exe
C:\WINDOWS\system32\igfxTray.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\conhost.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\FluxSoftware\Flux\flux.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\System32\spool\drivers\x64\3\E_YATIH5E.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNetDm.EXE
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNTray.EXE
C:\Windows\System32\InstallAgent.exe
C:\Windows\System32\InstallAgentUserBroker.exe
C:\WINDOWS\system32\SettingSyncHost.exe
C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe
C:\WINDOWS\system32\ApplicationFrameHost.exe
C:\Program Files\WindowsApps\Microsoft.Windows.Photos_16.511.8780.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe
C:\Program Files\WindowsApps\Microsoft.WindowsStore_11606.1001.39.0_x64__8wekyb3d8bbwe\WinStore.Mobile.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\System32\smartscreen.exe
C:\Program Files (x86)\MyPhoneExplorer\MyPhoneExplorer.exe
C:\Program Files (x86)\MyPhoneExplorer\DLL\adb.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\AUDIODG.EXE
C:\WINDOWS\system32\taskhostw.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\conhost.exe
C:\WINDOWS\System32\Wbem\WMIC.exe
:: Laufwerke
Es wurden alle Laufwerke bis S:\ (außer C:\ [root]) rekursiv aufgelistet. Leere Einträge bedeuten nicht leeres Laufwerk, sondern kein eingelegtes Laufwerk an diesem Port / Gerät nicht bereit.
C:\
Datei C:\ nicht gefunden
---
D:\
---
E:\
E:\Autorun.inf
E:\Document
E:\HiSuite.ico
E:\HiSuiteDownLoader.exe
E:\Document\Copyright Notice.pdf
---
F:\
---
G:\
---
H:\
---
I:\
---
J:\
---
K:\
---
L:\
---
M:\
---
N:\
---
O:\
---
P:\
---
Q:\
---
R:\
---
S:\
---
:: Sicherheitsauflistung des Startups
Es wurden Registry und Fileeinträge aufgelistet
HKLM\...\Run
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="\"C:\\Program Files\\Realtek\\Audio\\HDA\\RAVCpl64.exe\" -s"
HKCU\...\Run
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"OneDrive"="\"C:\\Users\\Markus\\AppData\\Local\\Microsoft\\OneDrive\\OneDrive.exe\" /background"
"f.lux"="\"C:\\Users\\Markus\\AppData\\Local\\FluxSoftware\\Flux\\flux.exe\" /noshow"
"Steam"="\"C:\\Program Files (x86)\\Steam\\steam.exe\" -silent"
"CCleaner Monitoring"="\"C:\\Program Files\\CCleaner\\CCleaner64.exe\" /MONITOR"
"EPLTarget\\P0000000000000000"="C:\\WINDOWS\\system32\\spool\\DRIVERS\\x64\\3\\E_YATIH5E.EXE /EPT \"EPLTarget\\P0000000000000000\" /M \"WP-4025 Series\""
Startup von allen Usern:
Startup von Markus:
C:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\An OneNote senden.lnk
:: Scan fertiggestellt: 08.10.2016/ 9:39:29,45, auf Benutzerbestätigung warten...
:: Fertiggestellt: 08.10.2016/ 9:39:30,80
Markus Geändert von chackyo (08.10.2016 um 08:45 Uhr) Grund: letzten zwei Bilder waren nur halb oben |
|
08.10.2016, 10:12
| #19 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern wie läuft dein Handy? Sehr gute Mitarbeit!  Du hast ein komplettes Backup richtig? In System Speicher gehen (Myphoneexplorer) und Screenshots machen. 'install_recovery.sh', falls vorhanden, kopieren, zippen, anhängen. Daniela |
|
08.10.2016, 15:16
| #20 |
| | Lästige Schadsoftware beim Surfen mit Browsern Hallo, Screen im Anhang. install-recovery finde ich nicht. Hab auch ergoogelt, wo die Datei sein soll. Angeblich wirklich in system/etc, aber da find ich nix. Kann mein ungerootetes smartphone das überhaupt finden? Backup hab ich ansich nicht, ich habe nur die "wichtigen Daten", also Bilder und Videos am Laptop abgespeichert und meine Kontakte sind auf meinem gmail Konto hinterlegt. Wäre die Möglichkeit des neuaufsetzens (mit Original-Android-Software vom Anbieter) vorhanden? Gruß Markus E/ bis jetzt ist nix passiert mehr... Geändert von chackyo (08.10.2016 um 16:16 Uhr) |
|
08.10.2016, 16:32
| #21 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern Sehr gute Mitarbeit! Folgende Anleitung umgehend abarbeiten: 1) Bitte am Handy alles umgehend backuppen, wir müssen unter Umständen alle Speicher formatieren! 2) Durchsuche in MyPhoneExplorer den Anwendungsspeicher im Screenshot nach 'install_recovery' und mache von dem Ergebnis einen Screenshot 3) MyPhoneExplorer offen lassen und nochmal ein Shdds Scan. 4) Windowstaste+R drücken. Eingeben: notepad Dann: Entertaste drücken. Alternativ dazu den Editor von Windows öffnen. Folgendes in den Editor eingeben: Code:
ATTFilter dir /s>temp.txt
start temp.txt
Das in das Rootverzeichnis beim MyPhoneExplorer (System) kopieren, ausführen. Resultat 'temp.txt' in Zip anhängen, falls zu groß. 5) Fragen beantworten: - Welchen Androidbrowser nutzt Du? - Welche Probleme bestehen noch? 6) Die Antwort hier posten Daniela Ps: ich weiß, die Screenshots nerven vielleicht auf Dauer, aber es geht manchmal nicht anders, hellseherische Fähigkeiten habe ich leider noch nicht   Geändert von kerri88 (08.10.2016 um 16:35 Uhr) Grund: Erweiterung |
|
09.10.2016, 10:40
| #22 | |
| | Lästige Schadsoftware beim Surfen mit Browsern Hallo, ja überhaupt kein Problem. Code:
ATTFilter :: HDD Scanner Logfile
:: Erstellt von : kerri88 (Daniela Kerr)
:: gestartet von Markus auf MARKUS-PC (09.10.2016/11:26:01,18)
:: Laufende Prozesse
ExecutablePath
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxCUIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Fujitsu\StatusPanelSwitch\StatusPanelSwitchDaemon.exe
C:\Program Files\Apoint2K\HidMonitorSvc.exe
C:\WINDOWS\system32\dashost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Program Files\Fujitsu\RadioSwitchUtility\RadioSwitchUtilityDaemon.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNService.exe
C:\Program Files (x86)\Intel\Bluetooth\ibtsiva.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHWatchdog.exe
C:\WINDOWS\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DbxSvc.exe
C:\WINDOWS\System32\WinLogon.exe
C:\WINDOWS\System32\dwm.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskhostw.exe
C:\Windows\System32\RuntimeBroker.exe
C:\WINDOWS\system32\igfxEM.exe
C:\WINDOWS\system32\igfxHK.exe
C:\WINDOWS\system32\igfxTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\conhost.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Users\Markus\AppData\Local\FluxSoftware\Flux\flux.exe
C:\Windows\System32\spool\drivers\x64\3\E_YATIH5E.EXE
C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNetDm.EXE
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNTray.EXE
C:\Windows\System32\InstallAgent.exe
C:\Windows\System32\InstallAgentUserBroker.exe
C:\WINDOWS\system32\SettingSyncHost.exe
C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe
C:\Program Files (x86)\MyPhoneExplorer\MyPhoneExplorer.exe
C:\Program Files (x86)\MyPhoneExplorer\DLL\adb.exe
C:\WINDOWS\system32\ApplicationFrameHost.exe
C:\Program Files\WindowsApps\Microsoft.Windows.Photos_16.511.8780.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe
C:\Program Files\WindowsApps\Microsoft.WindowsStore_11606.1001.39.0_x64__8wekyb3d8bbwe\WinStore.Mobile.exe
C:\Windows\System32\WUDFHost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\AUDIODG.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\backgroundTaskHost.exe
C:\Windows\System32\smartscreen.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\conhost.exe
C:\WINDOWS\System32\Wbem\WMIC.exe
:: Laufwerke
Es wurden alle Laufwerke bis S:\ (außer C:\ [root]) rekursiv aufgelistet. Leere Einträge bedeuten nicht leeres Laufwerk, sondern kein eingelegtes Laufwerk an diesem Port / Gerät nicht bereit.
C:\
Datei C:\ nicht gefunden
---
D:\
---
E:\
E:\Autorun.inf
E:\Document
E:\HiSuite.ico
E:\HiSuiteDownLoader.exe
E:\Document\Copyright Notice.pdf
---
F:\
---
G:\
---
H:\
---
I:\
---
J:\
---
K:\
---
L:\
---
M:\
---
N:\
---
O:\
---
P:\
---
Q:\
---
R:\
---
S:\
---
:: Sicherheitsauflistung des Startups
Es wurden Registry und Fileeinträge aufgelistet
HKLM\...\Run
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="\"C:\\Program Files\\Realtek\\Audio\\HDA\\RAVCpl64.exe\" -s"
HKCU\...\Run
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"OneDrive"="\"C:\\Users\\Markus\\AppData\\Local\\Microsoft\\OneDrive\\OneDrive.exe\" /background"
"f.lux"="\"C:\\Users\\Markus\\AppData\\Local\\FluxSoftware\\Flux\\flux.exe\" /noshow"
"Steam"="\"C:\\Program Files (x86)\\Steam\\steam.exe\" -silent"
"CCleaner Monitoring"="\"C:\\Program Files\\CCleaner\\CCleaner64.exe\" /MONITOR"
"EPLTarget\\P0000000000000000"="C:\\WINDOWS\\system32\\spool\\DRIVERS\\x64\\3\\E_YATIH5E.EXE /EPT \"EPLTarget\\P0000000000000000\" /M \"WP-4025 Series\""
Startup von allen Usern:
Startup von Markus:
C:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\An OneNote senden.lnk
:: Scan fertiggestellt: 09.10.2016/11:26:05,79, auf Benutzerbestätigung warten...
:: Fertiggestellt: 09.10.2016/11:26:06,43
Datei (list.bat) hab ich erstellt, aber beim Hochladen über MyPhoneExplorer sagt er mir, wenn ich es in /systemspeicher/ oder einem dessen Unterordner speichern will, folgende Fehlermeldung: Zitat:
Ich hab die Datei dann im internen Speicher mal abgelegt und gestartet - das Resultat folgt hier in zip, da >800k Zeichen :O Gruß Markus e/ .temp hochgeladen e2/ sonst habe ich keine Probleme mit dem Smartphone e3/ Beim rühersehen über temp.txt sehe ich, dass anscheinend nur vom PC gelogt wurde :/ Geändert von chackyo (09.10.2016 um 10:48 Uhr) |
|
09.10.2016, 15:50
| #23 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern Hm, das funktioniert nicht ganz so wie es sollte. Liegt aber an mir temp.txt im internen Speicher oder so bringt gar nix, da liest dort alles auf und nicht in der Systemfraktion. Bitte die Batch nochmal im Systemspeicher ausführen (als Administrator), falls die Meldung wieder kommt, Screenshot machen, sonst Log anhängen. Falls die Batch nix bringt, kein Log posten. Die shdds.bat in den internen oder Systemspeicher kopieren, dort beides mal als Admin ausführen, getrennt hier posten. Hast du ein kompletes Backup der Handydaten? Daniela PS: kommt die Meldung im Browser weiterhin? Welchen verwendest du auf deinem Phone? Hallo nochmal, ich vermute den 'Virus' in deinem Android Browser, welcher auch immer das ist. Schau nochmal in die Screenshot Meldung unter #1, das ist eine sog. JavaScript AlertBox: alert('Meldung...');, die die Meldung auf der Seite 'ybjgg62pz8.pw' anzeigt. Ich folgere daraus, dass dein Browser im Android auf diese Seite umgeleitet wird. Meiner Kenntnis nach ist das eine System app die nicht mitgelöscht wird. Bitte nochmal in den Myphoneexplorer, dort Suche nach Browser machen und ein Screenshot vom Ergebnis  Daniela |
|
11.10.2016, 10:32
| #24 |
| | Lästige Schadsoftware beim Surfen mit Browsern Ja hallo, Diese Fehlermeldung konnte ich bis jetzt nicht reproduzieren, taucht halt nur hin und wieder auf. Log von der batch im internen Speicher: Code:
ATTFilter :: HDD Scanner Logfile
:: Erstellt von : kerri88 (Daniela Kerr)
:: gestartet von Markus auf MARKUS-PC (11.10.2016/11:18:08,62)
:: Laufende Prozesse
ExecutablePath
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxCUIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Fujitsu\StatusPanelSwitch\StatusPanelSwitchDaemon.exe
C:\Program Files\Apoint2K\HidMonitorSvc.exe
C:\WINDOWS\system32\dashost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Program Files\Fujitsu\RadioSwitchUtility\RadioSwitchUtilityDaemon.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNService.exe
C:\Program Files (x86)\Intel\Bluetooth\ibtsiva.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHWatchdog.exe
C:\WINDOWS\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DbxSvc.exe
C:\WINDOWS\System32\WinLogon.exe
C:\WINDOWS\System32\dwm.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskhostw.exe
C:\WINDOWS\system32\igfxEM.exe
C:\WINDOWS\system32\igfxHK.exe
C:\WINDOWS\system32\igfxTray.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\conhost.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Users\Markus\AppData\Local\FluxSoftware\Flux\flux.exe
C:\Windows\System32\spool\drivers\x64\3\E_YATIH5E.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\SettingSyncHost.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNetDm.EXE
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNTray.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe
C:\WINDOWS\system32\AUDIODG.EXE
C:\Windows\System32\WUDFHost.exe
C:\Windows\System32\smartscreen.exe
C:\Program Files (x86)\MyPhoneExplorer\MyPhoneExplorer.exe
C:\Program Files (x86)\MyPhoneExplorer\DLL\adb.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\taskhostw.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\conhost.exe
C:\WINDOWS\System32\Wbem\WMIC.exe
:: Laufwerke
Es wurden alle Laufwerke bis S:\ (außer C:\ [root]) rekursiv aufgelistet. Leere Einträge bedeuten nicht leeres Laufwerk, sondern kein eingelegtes Laufwerk an diesem Port / Gerät nicht bereit.
C:\
Datei C:\ nicht gefunden
---
D:\
---
E:\
E:\Autorun.inf
E:\Document
E:\HiSuite.ico
E:\HiSuiteDownLoader.exe
E:\Document\Copyright Notice.pdf
---
F:\
---
G:\
---
H:\
---
I:\
---
J:\
---
K:\
---
L:\
---
M:\
---
N:\
---
O:\
---
P:\
---
Q:\
---
R:\
---
S:\
---
:: Sicherheitsauflistung des Startups
Es wurden Registry und Fileeinträge aufgelistet
HKLM\...\Run
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="\"C:\\Program Files\\Realtek\\Audio\\HDA\\RAVCpl64.exe\" -s"
HKCU\...\Run
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"OneDrive"="\"C:\\Users\\Markus\\AppData\\Local\\Microsoft\\OneDrive\\OneDrive.exe\" /background"
"f.lux"="\"C:\\Users\\Markus\\AppData\\Local\\FluxSoftware\\Flux\\flux.exe\" /noshow"
"Steam"="\"C:\\Program Files (x86)\\Steam\\steam.exe\" -silent"
"CCleaner Monitoring"="\"C:\\Program Files\\CCleaner\\CCleaner64.exe\" /MONITOR"
"EPLTarget\\P0000000000000000"="C:\\WINDOWS\\system32\\spool\\DRIVERS\\x64\\3\\E_YATIH5E.EXE /EPT \"EPLTarget\\P0000000000000000\" /M \"WP-4025 Series\""
Startup von allen Usern:
Startup von Markus:
C:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\An OneNote senden.lnk
:: Scan fertiggestellt: 11.10.2016/11:18:15,54, auf Benutzerbestätigung warten...
:: Fertiggestellt: 11.10.2016/11:18:16,25
Als Browser primär Google Chrome, jedoch ist das auch mit dem Standard-Browser von - ich glaub - Android (oder vom EMUI - dem OS von Huawei???) passiert einmal. Hat inhaltlich gleich ausgesehen, von der grafischen Oberfläche her halt ein bissl anders. Hab davon aber keinen screen. Ja, Backup habe ich über MyPhoneExplorer erstellt. Während des Schreibens noch edit/: Ich habe es jetzt geschafft über den MyphoneExplorer-Cache vom Handy die batch aufzuspielen - ein Bild mit Pfad habe ich eingespielt als Anhang, allerdings (natürlich als Admin gestartet) spuckt der Log genau das gleiche aus wie die male zuvor. Und ein Bild als Anhang wo ich nach Browser suche. Und sorry dass ich jetzt zwei Tage off war, war ziemlich eingespannt :/ Danke, Gruß |
|
11.10.2016, 12:29
| #25 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern Suche nach folgenden durchführen: Code:
ATTFilter .pw
Bitte nochmals die 'Browser' Suche durchführen und mir an kerri88@web.de die 'Browser.apk' und 'browser_config' zur Analyse schicken. Frisches Mobile MBAM Log und SHDDS Logfile. Gib mir bitte bescheid wenn die Daten geschickt sind, NICHTS mehr am Handy machen. Weitere Infos folgen im Fertig-Thread. Edit: machen = ändern |
|
12.10.2016, 19:03
| #26 |
| | Lästige Schadsoftware beim Surfen mit Browsern Guten Abend, entschuldige nochmals für die lange Abwesenheit meinerseits, bin privat aktuell ziemlich eingespannt - ich hoffe dass es ab morgen etwas besser wird wieder. Screen von .pw im Anhang Screen von browser im Anhang Die Screens von MBAM im Anhang (das neue hat nur 3 Sekunden gedauert - vermutlich scannt es nur noch veränderte Apps wenn der letzte Scan noch nicht lang her ist oder so...) Logfile von shdds: Code:
ATTFilter :: HDD Scanner Logfile
:: Erstellt von : kerri88 (Daniela Kerr)
:: gestartet von Markus auf MARKUS-PC (12.10.2016/20:00:59,05)
:: Laufende Prozesse
ExecutablePath
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxCUIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Fujitsu\StatusPanelSwitch\StatusPanelSwitchDaemon.exe
C:\Program Files\Apoint2K\HidMonitorSvc.exe
C:\WINDOWS\system32\dashost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Program Files\Fujitsu\RadioSwitchUtility\RadioSwitchUtilityDaemon.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNService.exe
C:\Program Files (x86)\Intel\Bluetooth\ibtsiva.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
C:\Program Files (x86)\360\Total Security\safemon\QHWatchdog.exe
C:\WINDOWS\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DbxSvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\WinLogon.exe
C:\WINDOWS\System32\dwm.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\system32\taskhostw.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\WINDOWS\system32\igfxEM.exe
C:\WINDOWS\system32\igfxHK.exe
C:\WINDOWS\system32\igfxTray.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\conhost.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\FluxSoftware\Flux\flux.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\AUDIODG.EXE
C:\Windows\System32\spool\drivers\x64\3\E_YATIH5E.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
C:\Windows\System32\WUDFHost.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\System32\InstallAgent.exe
C:\Windows\System32\InstallAgentUserBroker.exe
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNetDm.EXE
C:\Program Files\Fujitsu\Plugfree NETWORK\PFNTray.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\SettingSyncHost.exe
C:\WINDOWS\servicing\TrustedInstaller.exe
C:\WINDOWS\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.14393.82_none_5be7b69702339d1d\TiWorker.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\backgroundTaskHost.exe
C:\Windows\System32\smartscreen.exe
C:\WINDOWS\system32\taskhostw.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\conhost.exe
C:\WINDOWS\System32\Wbem\WMIC.exe
:: Laufwerke
Es wurden alle Laufwerke bis S:\ (außer C:\ [root]) rekursiv aufgelistet. Leere Einträge bedeuten nicht leeres Laufwerk, sondern kein eingelegtes Laufwerk an diesem Port / Gerät nicht bereit.
C:\
Datei C:\ nicht gefunden
---
D:\
---
E:\
E:\Autorun.inf
E:\Document
E:\HiSuite.ico
E:\HiSuiteDownLoader.exe
E:\Document\Copyright Notice.pdf
---
F:\
---
G:\
---
H:\
---
I:\
---
J:\
---
K:\
---
L:\
---
M:\
---
N:\
---
O:\
---
P:\
---
Q:\
---
R:\
---
S:\
---
:: Sicherheitsauflistung des Startups
Es wurden Registry und Fileeinträge aufgelistet
HKLM\...\Run
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="\"C:\\Program Files\\Realtek\\Audio\\HDA\\RAVCpl64.exe\" -s"
HKCU\...\Run
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"OneDrive"="\"C:\\Users\\Markus\\AppData\\Local\\Microsoft\\OneDrive\\OneDrive.exe\" /background"
"f.lux"="\"C:\\Users\\Markus\\AppData\\Local\\FluxSoftware\\Flux\\flux.exe\" /noshow"
"Steam"="\"C:\\Program Files (x86)\\Steam\\steam.exe\" -silent"
"CCleaner Monitoring"="\"C:\\Program Files\\CCleaner\\CCleaner64.exe\" /MONITOR"
"EPLTarget\\P0000000000000000"="C:\\WINDOWS\\system32\\spool\\DRIVERS\\x64\\3\\E_YATIH5E.EXE /EPT \"EPLTarget\\P0000000000000000\" /M \"WP-4025 Series\""
Startup von allen Usern:
Startup von Markus:
C:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\An OneNote senden.lnk
:: Scan fertiggestellt: 12.10.2016/20:01:09,46, auf Benutzerbestätigung warten...
:: Fertiggestellt: 12.10.2016/20:01:10,05
Danke Gruß, Markus |
|
12.10.2016, 19:45
| #27 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern Per E-Mail gesendete werde ich mir morgen ansehen Hab heute Busspätschicht, muss noch ne Gruppe fahren und bin bis 23:00 daheim bin grad nur im Handy. . .Bis morgen, Daniela |
|
15.10.2016, 11:41
| #28 |
| | Lästige Schadsoftware beim Surfen mit Browsern Hallo Kerri, zip Datei habe ich gespeichert. Zugriff verweigert,kann nicht ausgeführt werden. LG Claudia |
|
15.10.2016, 12:06
| #29 |
| Gesperrt | Lästige Schadsoftware beim Surfen mit Browsern @Degna ich meinte du solltest aus diesem Thread runterladen und in deinen posten @Markus für dich nicht relevant, ein Fehler in meiner PN... |
|
15.10.2016, 14:11
| #30 |
  | Lästige Schadsoftware beim Surfen mit Browsern Mal so am Rande: Windows.old sollte man nicht per Explorer löschen, sondern über die Datenträgerbereinigung. Sprich inkl. Systemdatenbereinigung. |
|
| Themen zu Lästige Schadsoftware beim Surfen mit Browsern |
| android, angezeigt, bilder, blockiert, browser, cache, chrome, daten, einstellungen, erhalte, falsch, fehlermeldung, funktioniert, guten, heute, hilfe, löschen, meldungen, nichts, pop ups, probleme, reset, schädling, smartphone, surfen, sämtliche, ups, woche, wochen |
Linear-Darstellung
