Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win10x64 Infektion durch Browser-Umleitung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.10.2017, 09:33   #1
lab-star
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Hallo!

Ich fürchte, dass ich mir auf meinem Laptop einen Schädling eingefangen habe. Wollte mir ein Update für mein Android-Handy herunterladen. Auf der Downloadseite habe ich dann wohl versehentlich auf einen dieser Downloader-Werbebuttons geklickt und wurde auf eine andere Seite umgeleitet. Ich brauche die Daten auf dem Laptop dringend für mein Studium und würde ihn gerne bereinigen.

Der Windows Defender hat vorerst nichts angezeigt. Ich weiß leider nicht, ob und wo der Logfiles ablegt.

Die Logfiles von FRST habe ich als zip im Anhang hochgeladen, weil sie sonst das Zeichenlimit für den Post gesprengt hätten und ich keinen 2. Eintrag schreiben möchte bevor sich jemand gemeldet hat. Bin in der Vergangenheit wegen so einer Aktion schon einmal "übersehen" worden.

Vielen Dank im Voraus für eure Hilfe!

Alt 17.10.2017, 19:50   #2
M-K-D-B
/// TB-Ausbilder
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung







Hast du aktuell ein konkretes Problem mit einem konkreten Internetbrowser?
Oder war die Weiterleitung nur einmal?
__________________


Alt 18.10.2017, 07:55   #3
lab-star
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Hallo M-K-D-B!

Vielen Dank für die rasche Antwort!

Soweit ich mich erinnern kann ist die Umleitung damals auf Firefox passiert, den habe ich aber inzwischen gelöscht.

Das Problem ist aufgetreten als ich mir aktuelle Firmware für mein altes Galaxy S2 herunterladen wollte. War damals auf einer Seite von XDA Developers unterwegs und habe auf einen Dev-Host Link geklickt. Als ich dort die Software herunterladen wollte, hat sich beim Klick auf den Download-Link eine andere Seite geöffnet, die mir ein Update für den Flash-Player andrehen wollte. Ich hab dann alle Fenster geschlossen und die Firmware über eine vertrauenswürdigere Quelle heruntergeladen.

Im nachhinein war ich dann aber etwas unsicher, ob dabei jetzt ein Schädling bei mir gelandet ist. Nach etwas Recherche bin ich dann auf einen Artikel direkt von XDA gestoßen, wo genau dieses Problem beschrieben wird:

https://www.xda-developers.com/xda-devhost/

Code:
ATTFilter
October 16, 2015 

XDA No Longer Recommends Dev-Host

You might recall that back in 2012 we formed a relationship with file hosting site Dev-Host that granted XDA Recognized Developers/Themers/Contributors a free premium membership. It started off good, but*then we started hearing about excessive ads that simulate download buttons, fly-by malware APK attacks from Mobogenie, and reused (and potentially dangerous) short URLs. We’ve tried to work with Dev-Host to fix some of these issues, but they haven’t been willing to change their ways. And so we no longer recommend that XDA users (whether RD/RT/RC or not) use this service, and consider the many other (free) file hosting sites such as AndroidFileHost, Dropbox, Google Drive, Microsoft OneDrive, etc.

If you’ve ever made a thread on XDA that includes a Dev-Host link, we strongly encourage you to re-upload it to another file storage provider and repost the link back into the thread. That way, you’ll be helping the community purge these odious links. In a month from now, we will no longer allow new outgoing links to Dev-Host. We are currently in discussion with some popular, reliable sharing hosts to provide the best options for our developers and users. Sorry for the inconvenience.
         
Mir ist also scheinbar genau das passiert, was da beschrieben wurde. Ich hätte mich vorher besser informieren müssen, da gibt es keine 2 Meinungen.

Das Problem ist seither nicht mehr aufgetreten, ich bin aber unsicher, ob mein System bzw. meine Daten sauber sind.
__________________

Alt 18.10.2017, 20:26   #4
M-K-D-B
/// TB-Ausbilder
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Zitat:
Zitat von lab-star Beitrag anzeigen
Das Problem ist seither nicht mehr aufgetreten, ich bin aber unsicher, ob mein System bzw. meine Daten sauber sind.
Wenn du möchtest, können wir diverse Tools als Kontrolle durchlaufen lassen, deine Entscheidung.
Laut den Logdateien von FRST ist aber auf dem Rechner keine aktive Malware.

Alt 19.10.2017, 09:03   #5
lab-star
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Wenn du möchtest, können wir diverse Tools als Kontrolle durchlaufen lassen, deine Entscheidung.
Wenn möglich, würde ich das gerne so machen, um ganz sicher zu gehen.


Alt 19.10.2017, 16:01   #6
M-K-D-B
/// TB-Ausbilder
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Servus,





Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • Tracing Schlüssel
    • Prefetch Dateien
    • Proxy
    • Winsock
    • IE Richtlinien
    • Chrome Richtlinien
  • Bestätige die Auswahl mit Ok.
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist. Am Ende des Suchlaufs öffnet sich automatisch eine Logdatei. Schließe diese.
  • Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
  • Klicke am Ende der Bereinigung auf Jetzt neu starten. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





Schritt 3
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die zwei neuen Logdateien von FRST.

Alt 20.10.2017, 08:38   #7
lab-star
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Hi!

AdwCleaner:

Code:
ATTFilter
# AdwCleaner 7.0.3.1 - Logfile created on Fri Oct 20 07:13:25 2017
# Updated on 2017/29/09 by Malwarebytes 
# Running on Windows 10 Pro (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

No malicious folders deleted.

***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

No malicious registry entries deleted.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Prefetch files deleted
::Proxy settings cleared
::IE policies deleted
::Chrome policies deleted
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [944 B] - [2017/10/20 7:12:16]


########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########
         

mbam:
Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 20.10.17
Scan-Zeit: 09:17
Protokolldatei: c16fad26-b566-11e7-97e0-f83441421386.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.212
Version des Aktualisierungspakets: 1.0.3054
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 15063.674)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-CSRJT8V\ASP

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 344464
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 0 Min., 42 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)
         
Die Logfiles von FRST habe ich in den Anhang verschoben, weil sonst das Zeichenlimit überschritten wird.

Generell: Die Scans vom AdwCleaner und von mbam waren super schnell fertig. Hatte ich wesentlich langsamer in Erinnerung. FRST hat vor dem Untersuchen scheinbar ein Update gemacht. Hab jetzt einen "FRST-OlderVersion" Ordner am Desktop


Gruß,
lab-star
Miniaturansicht angehängter Grafiken
Win10x64 Infektion durch Browser-Umleitung-desktop-1.jpg  

Alt 20.10.2017, 20:05   #8
M-K-D-B
/// TB-Ausbilder
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Servus,



Zitat:
FRST hat vor dem Untersuchen scheinbar ein Update gemacht. Hab jetzt einen "FRST-OlderVersion" Ordner am Desktop
Ja, das ist ganz normal. FRST wird häufig aktualisiert.
Wir entfernen alles am Ende, keine Sorge.







wir entfernen noch ein bisschen was und kontrollieren nochmal alles.



Hinweis: Der Suchlauf mit ESET kann länger dauern.





Schritt 1
  • Kopiere den Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    RemoveProxy:
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke den Entfernen Button.
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.
  • Starte die HitmanPro.exe
  • Klicke auf
  • Entferne den Haken bei
  • Klicke auf
    und
  • Akzeptiere die Lizenzbedingungen und klicke auf
  • Klicke auf

    und auf
  • Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
    und speichere die Logdatei auf Deinem Desktop.
  • Schließe HitmanPro und poste mir das Log.

 







Schritt 3
Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)
  • Starte die Installationsdatei.
  • Akzeptiere die Nutzungsbedingungen.
  • Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
  • Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
  • Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
  • Wähle In Textdatei speichern... aus und speichere die Datei als eset.txt auf deinem Desktop ab.
  • Füge den Inhalt der eset.txt mit deiner nächsten Antwort hinzu.
  • Sollte ESET nichts finden, so kann auch keine Logdatei erstellt werden. Teile uns das dann unbedingt mit.
  • Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Gibt es jetzt noch Probleme mit dem PC oder mit deinen Internet Browsern? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von HitmanPro,
  • die Logdatei von ESET,
  • die beiden neuen Logdateien von FRST,
  • die Beantwortung der gestellten Fragen.

Alt 22.10.2017, 09:45   #9
lab-star
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Hi!

FRST Fix:

Code:
ATTFilter
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20-10-2017
durchgeführt von ASP (21-10-2017 10:38:40) Run:1
Gestartet von C:\Users\ASP\Desktop
Geladene Profile: ASP (Verfügbare Profile: ASP)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************


========= RemoveProxy: =========

HKU\S-1-5-21-1264493876-4056030521-3555784546-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wert erfolgreich entfernt
HKU\S-1-5-21-1264493876-4056030521-3555784546-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt


========= Ende von RemoveProxy: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 6053888 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10545556 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 69022 B
Edge => 276613130 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 10736 B
ASP => 30951171 B

RecycleBin => 931 B
EmptyTemp: => 309.2 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 10:38:45 ====
         
HitmanPro:

Code:
ATTFilter
HitmanPro 3.7.20.286
www.hitmanpro.com

   Computer name . . . . : DESKTOP-CSRJT8V
   Windows . . . . . . . : 10.0.0.15063.X64/4
   User name . . . . . . : DESKTOP-CSRJT8V\ASP
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2017-10-21 10:57:13
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 1m 45s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 3

   Objects scanned . . . : 2.104.938
   Files scanned . . . . : 136.587
   Remnants scanned  . . : 776.360 files / 1.191.991 keys

Suspicious files ____________________________________________________________

   C:\Users\ASP\Andreas\Software-Setupdateien\Programme FACC\ScreenCapture Programme\FSCaptureSetup72.exe
      Size . . . . . . . : 2.428.191 bytes
      Age  . . . . . . . : 4.7 days (2017-10-16 17:01:20)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : E093A671CAD191A59D1E9454362AB67EC71810A10448DEBFD3BF9D9F41C70360
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Users\ASP\Desktop\FRST-OlderVersion\FRST64.exe
      Size . . . . . . . : 2.402.816 bytes
      Age  . . . . . . . : 4.0 days (2017-10-17 10:17:03)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 58C0B625273D26ED4CABCAF9086B15ECD9210A59685216189F6C4316E69D94A4
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
      Forensic Cluster
          0.0s C:\Users\ASP\Desktop\FRST-OlderVersion\FRST64.exe
          0.6s C:\ProgramData\Microsoft\Windows Defender\Scans\MetaStore\4\10\6A14F9D71C28AEB2.dat
          0.6s C:\ProgramData\Microsoft\Windows Defender\Scans\MetaStore\4\10\
          1.3s C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store\BCD2A3DB9758DCF6DB3B726C25E03C3F
          1.8s C:\ProgramData\Microsoft\Windows Defender\Scans\MetaStore\1\10\6A14F9D71C28AEB2.dat
          2.1s C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Resource\{EF402546-8434-4BB0-BD7A-F4012964F3C7}
          5.1s C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Resource\{8B65865F-9BFD-4E6A-BA87-1FD300B12FD6}
          5.4s C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Unknown.Log

   C:\Users\ASP\Desktop\FRST64.exe
      Size . . . . . . . : 2.402.816 bytes
      Age  . . . . . . . : 0.0 days (2017-10-21 10:38:29)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 026E2A94FA7550847E9551B353F117693ECE595945585222BF0B0C3C99449757
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
         

Das gefundene Screen Capture Programm hatte ich bei einem Berufspraktikum im Einsatz, ist mir also nicht unbekannt.


ESET:

Code:
ATTFilter
C:\Users\ASP\Andreas\AppData\Roaming\ERoot\resource\share\arm\eroot.apk	Android/Exploit.Lotoor.GL Trojaner,ist OK	
C:\Users\ASP\Andreas\Software-Setupdateien\HP B110a\PS_AIO_07_B110_USW_Full_Win_deu_140_126.exe	Variante von Win32/Adware.Coupons.AA Anwendung
         
Die erste Datei hatte ich vor Jahren vermutlich im Einsatz um das Xperia Neo Smartphone meiner Freundin zu rooten.
Die zweite Datei, kann ich mir nicht erklären, warum das Adware sein soll, weil das die Windows-Software für den HP-Drucker meiner Eltern ist.


FRST:

Auf Grund des Zeichenlimits sind die beiden Logfiles wieder im Anhang


Generelle Beobachtungen:

Beim Neustart nach dem FRST Fix ist das System bereits vor der Anzeige des Login Bildschirms eingefroren. Nach einem erzwungenen Neustart (Laptop durch langes drücken auf den Power-Knopf ausgeschaltet, dann neu gestartet) hat wieder alles gepasst.
HitmanPro ist beim ersten Scan-Versuch bei 59% eingefroren, nach und nach auch das restliche System. Auch hier war ein erzwungener Neustart notwendig. Danach hat der Suchlauf ohne Probleme funktioniert.



Das System scheint bis auf diese beiden Fälle stabil zu laufen.

Gruß,
lab-star

Alt 22.10.2017, 19:58   #10
M-K-D-B
/// TB-Ausbilder
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Servus,



Zitat:
Die erste Datei hatte ich vor Jahren vermutlich im Einsatz um das Xperia Neo Smartphone meiner Freundin zu rooten.
Ok



Zitat:
Die zweite Datei, kann ich mir nicht erklären, warum das Adware sein soll, weil das die Windows-Software für den HP-Drucker meiner Eltern ist.
Vermutlich schlägt ESET hier an, weil in dem Installer Adware/PUP mit eingebaut ist.









Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweise:
Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Cleanup
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.
  • Starte deinen Rechner zum Abschluss neu auf.
Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst du diese bedenkenlos löschen.






Virenscanner + Firewall
Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf! Kein Antivirusprogramm erkennt 100% der Schadsoftware.

Sofern du noch unentschieden bist, verwende MAXIMAL EIN EINZIGES der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:
Microsoft Security Essentials (MSE) / Windows Defender (WD) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE/WD entschieden hast, brauchst du nicht extra MSE/WD zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Verwende immer nur reine Virenscanner (keine Produkte mit "Suite", "Internet Security", "Endpoint" oder "Total Security" in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird)

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware , AdwCleaner und mit dem ESET Online Scanner scannen.
Diese Programme sind alle kostenlos und stören nicht den Betrieb deines Antivirenprogramms.





Absicherungen
Beim Betriebsystem Windows ist es wichtig, die automatischen Updates zu aktivieren.
Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen.

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden. Sicherheitslücken werden beispielsweise dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.

Besonders aufpassen bzgl. der Aktualität musst du insbesondere bei folgender Software - sofern diese überhaupt benötigt wird:

Optionale Browsererweiterungen
  • Adblock Plus oder uBlock Origin (Firefox - Chrome) - können Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
  • NoScript - verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden.





Grundsätzliches
  • Ändere regelmäßig deine Online-Passwörter und erstelle regelmäßig Backups deiner wichtigen Dateien oder des Systems. Genaueres dazu findest du unten im Lesestoff zu Backups.
  • Lade keine Software von Chip, Softonic, SourceForge oder VLC.de. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
  • Lade Software von einem sauberen Portal wie oder direkt beim jeweiligen Hersteller / Entwickler.
  • Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne die Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
  • Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten bis nicht belegbar. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht.
    Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.





Lesestoff:
Backup-/Image-Tools

IMHO sind Wiederherstellungspunkte nix weiter als eine Notlösung, wer sich auf was Funktionierendes verlassen will und muss, kommt um echte Backup/Imaging Software nicht herum. Ich nehme unter Windows immer Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64

Damit man sinnvolle Backups hat, muss man regelmäßig (z. B. wöchentlich) ein Image auf eine separate externe Festplatte erstellen. Diese externe Festplatte wird nur dann angeschlossen, wenn man das Backup erstellen will (oder etwas wiederherstellen muss), sonsten bleibt sie aus Sicherheitsgründen sicher im Schrank verwahrt - allein schon aus dem Grund, die Backups vor Krypto-Trojaner zu schützen.



Option 1: Drivesnapshot

Offizielle TB-Anleitung --> http://www.trojaner-board.de/186299-...esnapshot.html






Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64
Download (32-Bit) => http://www.drivesnapshot.de/download/snapshot.exe
Download (64-Bit) => http://www.drivesnapshot.de/download/snapshot64.exe



Es gibt da auch leicht abgespeckte Versionen von Acronis TrueImage gratis wenn man Platten von Seagate und/oder Western Digital hat. Vllt sagen diese Programme dir mehr zu. Mein Favorit aber ist das kleine o.g. Drivesnapshot.



Option 2: Seagate DiscWizard
Download => Seagate DiscWizard - Download - Filepony


Screenshots:
http://filepony.de/screenshot/seagate_discwizard5.jpg
http://filepony.de/screenshot/seagate_discwizard4.png
http://filepony.de/screenshot/seagate_discwizard3.jpg




Option 3: Acronis TrueImage WD Edition
Download => Acronis True Image WD Edition - Download - Filepony


Screenshots:
http://filepony.de/screenshot/acroni...d_edition1.jpg
http://filepony.de/screenshot/acroni...d_edition2.jpg

Alt 23.10.2017, 15:22   #11
lab-star
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Hi!

Hier noch der Inhalt vom DelFix Log:

Code:
ATTFilter
# DelFix v1.013 - Datei am 23/10/2017 um 16:06:48 erstellt
# Aktualisiert am 17/04/2016 von Xplode
# Benutzer : ASP - DESKTOP-CSRJT8V
# Betriebssystem : Windows 10 Pro  (64 bits)

~ Aktiviere die Benutzerkontensteuerung ... OK

~ Entferne die Bereinigungsprogramme ...

Gelöscht : C:\FRST
Gelöscht : C:\AdwCleaner
Gelöscht : C:\Users\ASP\Desktop\FRST-OlderVersion
Gelöscht : C:\Users\ASP\Desktop\Addition.txt
Gelöscht : C:\Users\ASP\Desktop\AdwCleaner[C0].txt
Gelöscht : C:\Users\ASP\Desktop\adwcleaner_7.0.3.1.exe
Gelöscht : C:\Users\ASP\Desktop\Fixlog.txt
Gelöscht : C:\Users\ASP\Desktop\FRST Logfiles 2.zip
Gelöscht : C:\Users\ASP\Desktop\FRST Logfiles 3.zip
Gelöscht : C:\Users\ASP\Desktop\FRST Logfiles.zip
Gelöscht : C:\Users\ASP\Desktop\FRST.txt
Gelöscht : C:\Users\ASP\Desktop\FRST64.exe

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #1 [Windows Update | 10/16/2017 05:12:53]
Gelöscht : RP #2 [Windows Update | 10/20/2017 07:04:43]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########
         
Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.
Soweit ich das beurteilen kann, ist mir nichts ungewöhnliches mehr aufgefallen. Darum:

Vielen Dank für die kompetente und geduldige Unterstützung bei der Bereinigung meines Notebooks.






Beste Grüße!

Geändert von lab-star (23.10.2017 um 15:36 Uhr) Grund: Zitat eingefügt

Alt 23.10.2017, 20:53   #12
M-K-D-B
/// TB-Ausbilder
 
Win10x64 Infektion durch Browser-Umleitung - Standard

Win10x64 Infektion durch Browser-Umleitung



Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM inklusive Link zum Thema.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Antwort

Themen zu Win10x64 Infektion durch Browser-Umleitung
aktion, andere, anhang, brauche, daten, defender, dringend, eingefangen, eintrag, gefangen, gemeldet, gen, hilfe!, infektion, laptop, logfiles, nichts, schädling, studium, update, versehentlich, vorerst, win, windows, würde




Ähnliche Themen: Win10x64 Infektion durch Browser-Umleitung


  1. Win7x64 Infektion durch Browser-Umleitung
    Log-Analyse und Auswertung - 29.08.2017 (1)
  2. IP Umleitung durch Chrome Virus?
    Plagegeister aller Art und deren Bekämpfung - 11.12.2015 (1)
  3. Windowsprobleme durch Infektion?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2015 (12)
  4. Windows 7 HP: Infektion durch softwareupdater.ui
    Log-Analyse und Auswertung - 30.12.2013 (19)
  5. Suchmaschinen Umleitung/redirect Infektion zu ivehtane und anderen Seiten
    Plagegeister aller Art und deren Bekämpfung - 13.05.2013 (11)
  6. infektion durch claro search virus
    Log-Analyse und Auswertung - 10.12.2012 (26)
  7. Infektion durch ihavenet Virus
    Plagegeister aller Art und deren Bekämpfung - 26.11.2012 (1)
  8. Browser-Umleitung zu schädlicher Seite und unerwüschte Werbeeinblendung
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (7)
  9. Startleiste weg durch Infektion
    Plagegeister aller Art und deren Bekämpfung - 03.03.2012 (0)
  10. Infektion durch PATCHED.NBE
    Plagegeister aller Art und deren Bekämpfung - 11.01.2012 (8)
  11. Falsche Internetseitenverlinkung/Umleitung durch google
    Plagegeister aller Art und deren Bekämpfung - 08.03.2011 (19)
  12. Infektion durch Exploit mit sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (20)
  13. Infektion durch TR/Spy.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (2)
  14. Browser umleitung egal welcher
    Mülltonne - 04.09.2008 (0)
  15. infektion nur durch das kopieren von dateien?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (1)
  16. Browser Umleitung (z.B. Google Links)
    Log-Analyse und Auswertung - 10.04.2007 (1)
  17. Browser about:blank umleitung
    Log-Analyse und Auswertung - 14.11.2004 (1)

Zum Thema Win10x64 Infektion durch Browser-Umleitung - Hallo! Ich fürchte, dass ich mir auf meinem Laptop einen Schädling eingefangen habe. Wollte mir ein Update für mein Android-Handy herunterladen. Auf der Downloadseite habe ich dann wohl versehentlich auf - Win10x64 Infektion durch Browser-Umleitung...
Archiv
Du betrachtest: Win10x64 Infektion durch Browser-Umleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.