Trojaner-Board - wajam_update (6).exe

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - wajam_update (6).exe (https://www.trojaner-board.de/160947-wajam_update-6-exe.html)

Die Screenshots hab ich jeweils gemacht als Malewarebytes die Meldungen unten rechts gebracht hat, mit den URL's.

Hätte eh schon nach Logs gesucht aber noch nichts gefunden! Speichert Malewarebytes das iwo wenn Seiten am öffnen gehindert werden?

Kannst du mir zu meinen Frst Logs schon was sagen?

Kontrollscans mit MBAM und ESET bitte:

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlauf Datum: 23.11.2014

Suchlauf-Zeit: 11:12:55

Logdatei: mbam log 23112014.txt

Administrator: Ja
 

Version: 2.00.3.1025

Malware Datenbank: v2014.11.23.04

Rootkit Datenbank: v2014.11.22.01

Lizenz: Testversion

Malware Schutz: Aktiviert

Bösartiger Webseiten Schutz: Aktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows Vista Service Pack 2

CPU: x86

Dateisystem: NTFS

Benutzer: Maggei
 

Suchlauf-Art: Bedrohungs-Suchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 447431

Verstrichene Zeit: 22 Min, 38 Sek
 

Speicher: Aktiviert

Autostart: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(Keine schädliche Elemente erkannt)
 

Module: 0

(Keine schädliche Elemente erkannt)
 

Registrierungsschlüssel: 0

(Keine schädliche Elemente erkannt)
 

Registrierungswerte: 0

(Keine schädliche Elemente erkannt)
 

Registrierungsdaten: 0

(Keine schädliche Elemente erkannt)
 

Ordner: 0

(Keine schädliche Elemente erkannt)
 

Dateien: 0

(Keine schädliche Elemente erkannt)
 

Physische Sektoren: 0

(Keine schädliche Elemente erkannt)
 
 

(end)

Eder läuft schon seit 02:31 bei 33% und hat schon 11 infizierte Dateien....

Code:

ESETSmartInstaller@High as downloader log:

all ok

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.7623

# api_version=3.0.2

# EOSSerial=6eb9ef6c8fe1b345bbf35a9f2e09d797

# engine=21224

# end=finished

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2014-11-23 01:42:28

# local_time=2014-11-23 02:42:28 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode_1='avast! Antivirus'

# compatibility_mode=783 16777213 71 97 16783 29114459 0 0

# compatibility_mode_1=''

# compatibility_mode=5892 16776573 100 100 181036 254282875 0 0

# scanned=428402

# found=11

# cleaned=11

# scan_time=10308

sh=609BEDBA4535279102D2FC83342118D5E94E9343 ft=1 fh=c71c0011cc5d664a vn="Variante von Win32/InstallCore.GZ evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\$RECYCLE.BIN\S-1-5-21-3911476585-206175386-2294385695-1002\$RX4GIZV.exe"

sh=16068B8977B4DC562AE782D91BC009472667E331 ft=1 fh=c3b5a87b7d152749 vn="Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\AdwCleaner\Quarantine\C\Users\Markus\AppData\Local\Temp\OCS\ocs_v71a.exe.vir"

sh=959597D541BB9850520C591A61875C392C8E683C ft=1 fh=3d7657b71f2339df vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\Desktop\FreeVideoToMP3Converter.exe"

sh=5D96A62F0CD4AC412DACA07C30AD7EBE1D184111 ft=1 fh=d5ec1cfd1f40a55a vn="Variante von Win32/SweetIM.C evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\Store and Go 12022014\Dokumente u.ä\Sonstiges\Computer\Virusbefall Netbook\WinRARSDM.exe"

sh=635B529A38126E731C2EF3039181D2F2298B73BC ft=1 fh=9fecb3dbd4caaaf1 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\Store and Go 12022014\Programme\FreeVideoToiPadConverter.exe"

sh=846D95D63EDE9508EFC7CEEE1D145D7CE62988C3 ft=1 fh=ec23a4ae3310ce50 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\Store and Go 12022014\Programme\FreeYouTubeToMP3Converter.exe"

sh=1F905FBB047E55C9ACD75D6D64F88EDCF1C71AEA ft=1 fh=5a5e42141b27077f vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\USB Stick Upload\FreeStudio.exe"

sh=75D810E69C897A213736E4F0E1F4F317E0E73F2E ft=1 fh=6625dd78d6f8ef3f vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\USB Stick Upload\FreeVideoToiPadConverter.exe"

sh=DFA5DB5464F7024B4B5032DB18DF2B1012A146D0 ft=1 fh=d517649666f2d39f vn="Variante von Win32/OpenInstall evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Desktop\Programme, Spriele usw\USB Stick Upload\MiroVideoConverter_Setup.exe"

sh=67B9FCA417FEBA3B2124AB426602AD9950D4411E ft=1 fh=859d0e6ecd566113 vn="Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Maggei\Downloads\Audacity - CHIP-Downloader.exe"

sh=E8CD33623287C08C7CC3662A042E45522654BB30 ft=1 fh=7cd3b160b0dbd4bd vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Users\Public\Downloads\FreeYouTubeToMP3Converter.exe"

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

EmptyTemp:

Hosts:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Kann es sein das mir der Virus meine ISDN Verbindung geschrottet hat?
Komme nämlich seit gestern Abend nicht mehr darüber ins Inet! Werde später deinen Reparaturvorschlag durchführen.

FrstFix läuft, weiß nur noch nicht genau ob ich die fixlog auf eines meiner mobilien Geräte (iPhone oder iPad) bekomm um sie hier ins Forum zu stellen, weil ich ja wie gesagt seit gestern keine isdn Dsl Verbindung mehr hinbekomme, aber übern iphone Hotspot würd's schon iwie gehn!

Glaubst du könnte das sein das für das Problem mit der isdn leitungvielleichtauch der wajam verantwortlich ist?

Das Zeug ist nur Adware! Adware verfolgt nicht das Ziel die Internetverbindungen der Opfer-Rechner lahmzulegen.

Was fummelst du denn da noch mit ISDN herum, kein DSL oder Kabel bei dir verfügbar? ISDN ist grottig aus heutiger Sicht, wie kannst du damit überhaupt surfen? Heutige Websites sind für dermaßen langsame Verbindungen nicht wirklich ausgelegt.

Wenn du DSL meinst und nicht ISDN dann solltest du deinen Router mal 10 Minuten von der Stromversorgung trennen.

Ok, dann liegt das warschl. an Iwas änderm, Weiß ich das das langsam ist, aber wir haben bei uns so ne sch.. Telefonanlage die nur mit isdn dsl läuft KabelD hatten wir schonmal für drei Wochen, war zwar sau schnelles Inet, aber dafür hatten wir drei Wochen kein Telefon mehr. Also wechselten wir wieder zur Tkom.
Im Fixlog steht:
Content of Fixlist:

Emtytp:
Host:

************
Host: => Error: No Automatik fic found for this entry.
emtytp: => Removed 10GB temporary Data.
The system Neefs a Renoir.
end of Fixlog

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Im Moment meldet avast zumindest nix mehr weiß aber nicht ob der nicht noch was in der Quarantäne hat!
Surfe zwar in dsl Geschwindigkeit jedoch über ein isdn Modem! Das mit dem Router vom Strom versuch ich später, hatte ihn aber schon für 5-10 sek vom Strom genommen!

Was habt ihr alle immer nur mit der Quarantäne? :wtf:
Überleg doch mal was eine Quarantäne ist. Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Also ist's ja eh gut wenn man da die Funde hinpackt oder!?

ja, richtig erkannt ;)

Dann wären wir durch! :daumenhoc

Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen.

Helfen kann dir dabei delfix:

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.