Avira Echtzeitscanner meldete Trojaner, Malwarebytes infizierte Objekte
 

Liebe Community,

leider hatte ich Avira Echtszeitscanner-Meldungen (die erste am 01.03.14, 20:22 Uhr), der Check mit Malwarebytes brachte mehrere infizierte Objekte zu Tage.

Nach dem Entfernen der infizierten Dateien kommen keine Warnmeldungen mehr, Malwarebytes findet auch nichts mehr. Da ich nicht sicher bin, ob der Rechner nun wirklich sauber ist, möchte ich Euch um Eure Experten-Hilfe bitten.
Danke schon mal vielmals...

Hier die erzeugten Logfiles:

Defogger:

FRST:
Addition:
Gmer:
Malwarebytes-Logfile Nr 1:
Malwarebytes-Logfile Nr2:
Avira:

:hallo:

Irgendwie werde ich das Gefühl nicht los, dass es sich hierbei um einen FirmenPC handeln könnte.

Je sais. Hast du per Email eine Rechnung.zip erhalten und diese geöffnet ?

Hallo,
es ist definitiv ein Familien-Privat-PC (Laptop). Wieso sollte es ein Firmen-PC sein?

Und ja, ich habe am Samstag-Abend dummerweise auf den Link einer junk-mail geklickt und das ganze ins Rollen gebracht... Darüber ärgere ich mich sehr, da ich sonst sehr vorsichtig bin.

Danke und Gruß

Delia

Macht der Rechner irgendwelche Probleme ?

Nein, er macht keine Probleme, aber ich habe mich seit der Avira-Meldung ehrlich gesagt, auch nicht mehr getraut, damit zu arbeiten bzw. ins Internet zu gehen, um z. B. bei Online-Händlern einzukaufen. Das mache ich seit Samstag nur noch über unseren anderen Laptop..

Falls der Verdacht auf einen Firmen-PC wegen des MS Office Professional herrührt...
Das "MS Office Professional Plus 2010" -Paket habe ich über meinen Arbeitgeber (Konzern) über das "Microsoft Home Use Program" 2011 sehr günstig käuflich erwerben können.
Ich hoffe, dass das Deinen Verdacht entkräftigt... Oder liegt es an etwas anderem?

Mir gings mehr um den Benutzernamen ;)

Ich sehe so jetzt nichts in den Logfiles. Die von Avira gefundene Datei befindet sich in einem Archiv, welche nicht so ohne weiteres ausgeführt werden kann. Ich kann mir schon denken, was da drinnen steckt.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

da bin ich erleichtert :-)

Könntest Du mir kurz sagen, warum ich externe Festplatten anschließen soll? (wir haben 2, auf denen befinden sich unsere Backups, diese sind aber nicht permanent angeschlossen, sondern werden nur kurz zum Backup machen per USB-Kabel an den Laptop angeschlossen, das letze Mal war das vor ca. 2 Wochen).
Sollen diese mit überprüft werden?
Ich Danke Dir!!

Weil wir grundsätzlich auf infizierte externe Medien suchen.
Aber wenns ne reine Backup Platte ist, dann brauchst du sie natürlich nicht anschließen.

( das jemand sowas noch hat, liest man hier eher selten :daumenhoc )

Guten Morgen,

danke für Dein Verständnis. Ich bin echt froh,dieses Forum gefunden zu haben.

Du schriebst gestern in Beitrag #6:
Darf ich fragen, in welche Richtung Deine Vermutung geht?

Mir ist aufgefallen, dass der Rechner gestern Abend sehr langsam war beim Download des ESET Smartinstallers. Für die 2,2 MB brauchte er 3 Minuten... sonst sind das nicht einmal 2 Sekunden... Vielleicht lag es nur an einer kurzfristig schlechten Internetverbindung, heute Morgen ging nämlich der nochmalige Test-Download schnell wie sonst immer.

hier das ESET logfile:

Aufgefallen ist mir, dass Eset nur 606807 Files gescannt hat, im Gegensatz zu meinem letzten Malwarebyte-scan, der 858514 Objekte durchsuchen konnte.

Malwarebyte-Scan logfile:
Danke :-)

Hallo Larusso,
unser alter Laptop, (nr.2) mit dem ich seit dem Befall des o.g. Laptops ins I-net gegangen bin,ist leider
auch vervirt! :-((
so ein mist...

Soll ich einen neuen Thread wg. Laptop Nr 2 eröffnen? In welchem Forum?
Danke für Deine Hilfe und Antwort.

Hy und Sorry.

Habe derzeit bisschen was zu tun und wohl unter all dem auf dich vergessen :(

Unser all Bekannter BKA Trojaner.

Wegen deinem 2. Laptop bitte ein eigenes Thema aufmachen. 2 PCs in einem Topic ist für dich und für mich verwirrend und kann fatale Folgen haben.


Starte bitte FRST. Setze einen Haken bei adittions.txt und poste mir die FRST und additions.txt.

Macht der Rechner noch irgendwelche Probleme ?

Hallo Larusso,
ich finde es echt toll, dass Du mir hilfst :-)

Anbei die logs:
FRST:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---


addition:
zur Info:
Ich habe ein wenig aufgeräumt und unsere Dateien zusammengesucht, welche ich teilweise bereits auf unsere beiden externen Festplatten gesichert habe (nur von uns erstellte Dateien, sonst nix (hoffentlich)). Das habe ich per copy+paste getan.


Folgendes ist mir am Rechner aufgefallen:

Beim Kopieren auf die ext. Festplatte kam folgende Warnmeldung (sh. Anhang). Diese Meldung kam sowohl für die wma-Datei als auch für eine Word-Datei. Ich habe überspringen gemacht, weil er Administratorrechte gefordert hat, obwohl ich als Admin eingeloggt war).

Dann hat die Flagge des Wartungscenters auf dem Laptop in der Taskleiste ein rotes Kreuz, beim Anklicken erscheint die Warnmeldung, die ich auch angehängt habe.
Dabei habe ich Avira in der Taskleiste hängen und per mouse-over zeigt es an, dass Echtzeitscanner und Windows-Firewall aktiviert sind.,

meine gmx-App auf unserem Android-Tablet schickte mir gestern eine komische mail, dass ich mein Postfach mit einem Passwort schützen soll. Diese mail habe ich nicht einmal geöffnet. Heute morgen konnte ich plötzlich keine mails abrufen über das tablet. es kam die meldung, dass das Passwort falsch wäre, obwohl ich das sonst nie extra eingebe am Tablet... Über unseren alten Laptop konnnte ich mich bei gmx aber danach normal einloggen.
Oh je oh je....

Sonst habe ich mich nicht getraut, mit diesem Laptop groß ins I-net zu gehen. Nur jetzt habe ich mich im Trojaner-Board angemeldet um zu posten.

Danke.

Das mit Avira ist uns ein all bekanntes Problem, dass das Service Center es nicht erkennt.

Du kannst es einfach neu installieren oder zu einem anderen AVP wechseln





Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Ansonsten ist dein Rechner meinerseits sauber.
Warum Windows bei manchen Files mal Adminrechte braucht, kann ich dir nicht sagen aber mir wohl bekannt. Ich habe tausende Lieder auf meiner externen Festplatte und bei ein paar meckert es auch rum.

Hi Larusso,

Avira habe ich neu installiert, werde mir aber ein anderes AV-Programm zulegen.
Welches würdest Du mir empfehlen?

Bzgl. des Trojaner scheine ich nochmal mit einem blauen Auge davongekommen zu sein, oder? Sollte ich dennoch alle Passwörter ändern?

Hier der Fixlog:
Ich hätte noch eine Frage:

Als ich den ESET-Scan machen sollte (Dein Beitrag #6), hast Du ja auch empfohlen, die externen Festplatten mitzuscannen.
Das habe ich jetzt mit einer nachgeholt:
Ich habe auch das Laufwerk D (=Recover-Partition des vorinstalliert gekauften Medion-Laptops), den Arbeitsspeicher und die Festplatte durchsuchen lassen:
(bei den den erweiterten Einstellungen habe ich noch die Häkchen bei "auf eventuell unerwünschte und "potenziell unsichere" Anwendungen gesetzt):
Folgende Toolbar-Meldungen kamen heraus.
Muss ich mir da Gedanken machen?

Merci für Deine Antwort!

Morgen :D

Ich nutze MSE ( Microsoft ) aber es ist jedem seine eigene Sache was er benötigt etc. Ich bin damit recht zufrieden.


Passwörter sollte ( wer machts wirklich ;) ) man in regelmäßigen Abständen ändern. Jetzt ist ne gute Zeit dafür :)


Die Funde von ESET sind hauptsächlich PuPs ( potenziell ungewollte Programme ).
Sie beinhalten halt Toolbars usw was bei ner Free Software eigentlich garnicht mehr anders geht. Irgendwie versteh ich es auch. Software Programmieren ist viel Arbeit und irgendwie muss man auch Geld damit verdienen.

Kannst du dich noch an meinen "Warum wir Avira nicht mehr empfehlen" Text erinnern ? ;)


Da sonst eigentlich alles I.O ist.


Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hi Larusso,

zunächst einmal :dankeschoen: für Deine bisherige Hilfe und Tipps!

Leider habe ich ein neues Problem :heulen:

Ich kann als Administrator nicht mehr auf alle Ordner zugreifen. Vor vielen (seltsamen???) Ordnern ist ein Schloss-Symbol zu sehen, wie z. B. bei C:\ProgramData\Desktop oder C:\Documents and Settings

Folgende Meldung erscheint: "oben im Fenster: Der Pfad ist nicht verfügbar Z. B.. Auf C:\Users\user\Eigene Dateien kann nicht zugegriffen werden. Zugriff verweigert).

Dies scheinen versteckte Ordner zu sein. Ich sehe sie nicht, wenn das im Explorer die versteckten Dateien und Ordner ausblende.

Folgendes habe ich zuvor (im Admin-Modus) durchgeführt:

- Defogger->reenable
- Delfix ausgeführt (alle Häkchen gesetzt).
- Secunia Online Scan konnte ich nicht ausführen.
Der Link auf der Seite http://www.trojaner-board.de/83959-s...ector-psi.html --> hxxp://tools.trojaner-board.de/secunia.html zeigt bei mir eine halb-weiße Seite (mit Firefox,mit google auch) sh.Anhang "secunia-link-weiss.jpg".
Mit dem IE konnte ich den unteren Teil der Seite richtig sehen und kam auf die Secunia-Seite, die besagt, dass der Online-Scan nicht mehr angeboten wird. (sh. Anhang secunia...discontinued).
Deshalb habe ich mir Secunia PSI runtergeladen und ausgeführt. Die angezeigten fehlenden Updates habe ich ausgeführt.

- WinPatrol installiert

- TFC installiert und ausgeführt + Rechner neu gestartet.

Nach dem Neustart fielen mir zunächst auf dem Desktop zwei Desktop-Ini Icons auf, die vorher definitiv nicht da waren (sh. Anhang Desktop ini.jpg)

Folgender Inhalt:
Dektop-ini-Inhalt Nr1:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

Nr2:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183



Ach und noch was ist mir aufgefallen:
in der Windows-Systemsteuerung kann ich die Ansicht nicht ändern (extragroße Symbole bis Kacheln ist ausgegraut, ebenfalls "sortieren nach" und "gruppieren nach")


Was sagst Du als Experte dazu?

Merci :-)

Hy

Diese Ordner sind für User ( Auch Admins ) nicht zugreifbar. Es bedarf mehr Rechte, die Ordner zu "öffnen"

Falls du jemals XP hattest, kennst du sicher noch den "Dokumente und Einstellungen" Ordner. Diese gibt es seit WIn Vista aufwärts nur noch wegen der Abwärtskompatibilität.
Programmiere nutzen gewisse Pfade für ihre Software. Ist der Pfad nicht mehr vorhanden, kann die Software nicht genutzt werden.

Diese Ordner sind standardmäßig versteckt, weil es einfach keine wirklichen Ordner sind sondern sogenannte Junctionpoints. Im Grunde nichts anderes als eine Verknüpfung :)


Danke für den Hinweis, dass Secunio offline ist. Ich werde das intern im Team melden und wir suchen eine geeignete Alternative.


Ich glaube dein Problem mit der Systemsteuerung ist ein Eintrag in der Registry.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: look.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
• Starte die look.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"

Es wird sich ein Textdokument öffnen. Poste den Inhalt bitte hier.

Danke für die schnelle Antwort und die ausführliche Erklärung.
Nun bin ich beruhigt...

Hier ist look.txt

Okay, hier ist mal nichts.



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere C:\WIndows\System32\GroupPolicyUsers in das Ausführen Fenster --> OK.

Es sollte sich ein Ordner öffnen. Ist dieser leer ? Wenn ja, OK. Wenn nein den Inhalt löschen.



Das selbe bitte mit folgenden Ordner
C:\windows\SysWow64\GroupPolicyUsers

Hi,

beide Male waren die Ordner leer. ("Dieser Ordner ist leer")

In der Systemsteuerung ?

Du meinst nicht zufällig in den Explorer Einstellungen ?

Ich meine wirklich die Systemsteuerung. Beim Explorer funktioniert es. Ich kam darauf, als ich nach der folgenden Anweisung http://www.trojaner-board.de/105213-...tellungen.html unsere Java-Version überprüfen wollte.

Wenn ich dann auf Programme klicke, sieht die "Ansicht" genauso aus.
Das Screenshot ist im Anhang.

:rofl:

Das geht standardmäßig nicht :D

o.k. :-)

Sonst noch Fragen ?
Wenn nein, sehe ich das Thema als erledigt :)

Momentan habe ich keine weiteren Fragen.

Noch einmal Tausend Dank für Deine tolle Hilfe!! :-)