Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC?

romyleinchen · 30.05.2020, 12:50

Ok, das ist komisch. Ich habe mir das Program "Who stalks my cam" runter geladen... jetzt zeigt mir das an:

Capture Active - host process: svchost.exe - parent host: services.exe

Der Name ist der, meines Druckers (HP04EC45) - hast du da Erfahrung damit?? Verunsichert mich gerade etwas...

romyleinchen · 30.05.2020, 12:56

Hab gerade etwas hier recherchiert, ich lösch das Program wieder.. Scheint ja nicht auf viel Anklang zu stoßen...

felix1 · 30.05.2020, 16:07

Mal bitte Emsisoft Emergency Kit gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Zitat:

Zitat von romyleinchen

Ok, das ist komisch. Ich habe mir das Program "Who stalks my cam" runter geladen... jetzt zeigt mir das an:

Capture Active - host process: svchost.exe - parent host: services.exe

Der Name ist der, meines Druckers (HP04EC45) - hast du da Erfahrung damit?? Verunsichert mich gerade etwas...

Du musst Dir aber auch nicht jeden sinnlosen Müll installieren. Möchte nicht wissen welche PUPs Du Dir da wieder eingefangen hast

Du solltest mal generell Dein Verhalten im WWW überdenken.
Deinstalliere bitte über die Systemsteuerung->Apps den CCleaner.

romyleinchen · 30.05.2020, 18:40

Zitat:

Deinstalliere bitte über die Systemsteuerung->Apps den CCleaner.

ungern

da halte ich ja eigentlich große stücke drauf!

aber gut, wenns sein muss...

danke für deine hilfe!

Code:

ATTFilter

Emsisoft Emergency Kit – Version 2020.5
Letztes Update: N/A
Eigene LAPTOP-AMHCM5VG\Home
 LAPTOP-AMHCM5VG
 Windows 10x64 

Scan-Einstellungen:

Scan-Methode: Malware-Scan
Objekte: Rootkits, Speicher, Spuren, Dateien

PUPs-Erkennung: An
Archive scannen: Aus
E-Mail-Archive scannen: Aus
ADS-Scan: An
Direkter Festplattenzugriff: Aus

Scan-Beginn:	30.05.2020 19:33:11
C:\ProgramData\{F0633500-7A21-BFC6-FCE7-218466A5AA4A}\cesasile 	erkannt: Trojan.Agent.DSEE (B) [krnl.xmd]

Gescannt:	86570
Gefunden	1

Scan-Ende:	30.05.2020 19:39:04
Scan-Zeit:	0:05:53

felix1 · 30.05.2020, 19:14

Sagt Dir diese installierte Software: cesasile etwas?

romyleinchen · 30.05.2020, 19:21

nee, kenn ich nicht..

felix1 · 30.05.2020, 20:34

Sehe mal nach, ob die Software über Systemsteurerung->Apps deinstallierbar ist.

romyleinchen · 30.05.2020, 20:54

Nein, leider nix zu finden..

felix1 · 31.05.2020, 08:16

Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
CloseProcesses:
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
SearchScopes: HKSearchLM-x32 -> DefaultScope {21ACF08C-B0B0-414E-8522-B0FA8AE1C197} URL = 
SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> DefaultScope {A9B154DF-22E3-4BB1-A93C-82318E2F6AF3} URL = 
SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL = 
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
powershell: Set-MpPreference -PUAProtection Enabled 
emptytemp:
End::

Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

romyleinchen · 31.05.2020, 08:28

Code:

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-05-2020 01
durchgeführt von Home (31-05-2020 09:24:16) Run:1
Gestartet von C:\Users\Home\Downloads
Geladene Profile: Home
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
SearchScopes: HKSearchLM-x32 -> DefaultScope {21ACF08C-B0B0-414E-8522-B0FA8AE1C197} URL = 
SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> DefaultScope {A9B154DF-22E3-4BB1-A93C-82318E2F6AF3} URL = 
SearchScopes: HKU\S-1-5-21-4019036141-3525676238-3849331610-1001 -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL = 
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
powershell: Set-MpPreference -PUAProtection Enabled 
emptytemp:

*****************

Prozesse erfolgreich geschlossen.
"AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}" => erfolgreich entfernt
"AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}" => erfolgreich entfernt
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG => Fehler: Kein automatisierter Fix für diesen Eintrag gefunden.
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG => erfolgreich wiederhergestellt
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\User => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Mozilla => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
"\\DefaultScope" => nicht gefunden
"HKU\S-1-5-21-4019036141-3525676238-3849331610-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
HKU\S-1-5-21-4019036141-3525676238-3849331610-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2211d4a5-48d0-47f5-a7cd-81e861470f7f} => erfolgreich entfernt

========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= Set-MpPreference -PUAProtection Enabled =========


========= Ende von Powershell: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 72250773 B
Java, Flash, Steam htmlcache => 1244 B
Windows/system/drivers => 5564516 B
Edge => 5408837 B
Chrome => 4443390 B
Firefox => 394005708 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 41624 B
NetworkService => 5585676 B
defaultuser0 => 5585676 B
Home => 56408396 B
Chris => 57075412 B

RecycleBin => 2352529405 B
EmptyTemp: => 2.8 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:25:49 ====

felix1 · 31.05.2020, 08:46

Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
CloseProcesses:
DeleteKey: HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG
End::

Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

romyleinchen · 31.05.2020, 08:55

Code:

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-05-2020 01
durchgeführt von Home (31-05-2020 09:53:19) Run:2
Gestartet von C:\Users\Home\Downloads
Geladene Profile: Home
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
DeleteKey: HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG

*****************

Prozesse erfolgreich geschlossen.
HKLM-x32\...\{77FCF397-C953-4995-A6D0-5B4515DCC281}) (Version: 1.0.0.0 - Vondos Media GmbH) <==== ACHTUNG => konnte nicht entfernt werden. ErrorCode1: 0xC000003A


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:53:20 ====

felix1 · 31.05.2020, 14:21

Bitte nochmals MBAM und ADWcleaner laufen lassen und die Logs posten.

romyleinchen · 31.05.2020, 16:28

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.5.0
# -------------------------------
# Build:    05-25-2020
# Database: 2020-05-26.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    05-31-2020
# Duration: 00:00:42
# OS:       Windows 10 Home
# Scanned:  31862
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.ACERAOPFramework   Folder   C:\Program Files (x86)\ACER\AOP FRAMEWORK 


AdwCleaner_Debug.log - [87298 octets] - [29/05/2020 08:33:59]
AdwCleaner[S00].txt - [15067 octets] - [29/05/2020 08:34:33]
AdwCleaner[C00].txt - [14712 octets] - [29/05/2020 08:35:45]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 31.05.20
Scan-Zeit: 17:24
Protokolldatei: cef3fce0-a352-11ea-9e0e-5800e3a485ea.json

-Softwaredaten-
Version: 4.1.0.56
Komponentenversion: 1.0.920
Version des Aktualisierungspakets: 1.0.24780
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.836)
CPU: x64
Dateisystem: NTFS
Benutzer: LAPTOP-AMHCM5VG\Home

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 338559
Erkannte Bedrohungen: 1
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 1 Min., 38 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
PUP.Optional.Conduit, C:\USERS\HOME\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GG2H2Z9S.DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 194, 301520, 1.0.24780, , ame, 

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

felix1 · 31.05.2020, 17:24

Den ADWscanner bitte nochmals im Modus clean.

30.05.2020, 19:14	#20
felix1 /// Helfer-Team	Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC? Sagt Dir diese installierte Software: cesasile etwas? __________________ LG Der Felix Keine Hilfe per PN und E-Mail

30.05.2020, 20:34	#22
felix1 /// Helfer-Team	Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC? Sehe mal nach, ob die Software über Systemsteurerung->Apps deinstallierbar ist. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

31.05.2020, 14:21	#28
felix1 /// Helfer-Team	Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC? Bitte nochmals MBAM und ADWcleaner laufen lassen und die Logs posten. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

31.05.2020, 17:24	#30
felix1 /// Helfer-Team	Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC? Den ADWscanner bitte nochmals im Modus clean. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC?

Plagegeister aller Art und deren Bekämpfung: Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC?