|
Summerblast-Problem als Telekom Rechnung getarnt Hallo, ich habe gestern eine falsche Mail von Telekom erhalten und diese samt Anhang geöffnet. Habe mich an die Anleitung aus folgendem Thread gehalten: http://www.trojaner-board.de/160588-...2375929-a.html Anbei meine Logfiles, mit der Bitte um Hilfe. Was soll ich als nächsten Schritt tun? Viele Grüße rasselfisch |
Hallo rasselfisch :hallo: Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.
 Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg. Wir "arbeiten" hier alle freiwillig und in unserer Freizeit *hust*. Daher kann es bei Antworten zu Verzögerungen kommen. Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist. So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Bitte die Logs in CODE TAgs posten. Das erleichtert das Arbeiten. |
Hallo Timo, ok - bin noch neu in der Forenwelt hier und muss mich erst an die Regeln gewöhnen - habe leider vorschnell etwas gepostet, OHNE vorher alle, wirklich alle Schritte durchzulesen... das hab ich mittlerweile nachgeholt und festgestellt: 1. wir sind eine kleine Firma mit 5 Frauen ohne eigene IT-Abteilung - hilfst Du mir trotzdem weiter? 2. ich habe leider Schritt 1 nicht vorher gemacht (Laufwerksemulationen abschalten mit Defogger) sondern direkt mit dem FRST download begonnen, wie in dem anderen Post beschrieben, den ich gefunden hatte und der genau meinem Problem entspricht. viele Grüße rasselfisch |
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
|
Hallo Timo, konnte die gewünschte Datei nur als versteckte Datei auf meinem Rechner finden... kann sie aber nicht aus dem Menü bei VirusTotal hochladen, weil eben versteckt - wie bekomme ich die denn so sichtbar machen, dass ich sie auswählen kann? viele Grüße rasselfisch |
Den Pfad direkt hier rauskopieren und beim Virustotal Hochladedialog einfügen sollte gehen. Mit STRG+C für kopieren, STRG+V für einfügen. |
Hallo Timo, es hat geklappt. Dies ist der Link: https://www.virustotal.com/de/file/785e58e6aaade2891f3a76577874efb0fbec918602176483a802975efaed3432/analysis/1415713881/ Tausend Dank für deine Hilfe! |
Warnung: InfostealerAus deinen Logs ist ersichtlich, dass du Malware eingefangen hast, die es speziell auf deine sensitiven Daten (Benutzernamen, Passwörter, Onlinebankingzugangsdaten, etc.) abgesehen hat. Man kann nicht genau wissen, was alles mitgeloggt wurde, aber sicherheitshalber würd ich alle auf diesem Rechner eingegebenen Daten und Passwörter als bekannt voraussetzen. Ich würde dir daher raten, zum Schluss oder von einem sauberen Rechner aus sämtliche Zugangsdaten, welche an diesem Rechner verwendet wurden, zu ändern. Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\S-1-5-21-4224918936-2246675992-548615425-1006\...\Run: [hcjucfuf.exe] => C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Identities\hcjucfuf.exe [184388 2008-04-14] ( )Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Guten Morgen Timo, hier der fixlogtxt: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 10-11-2014 Ran by gabi at 2014-11-12 08:26:57 Run:1 Running from D:\rasselfisch\a_pdf Loaded Profile: gabi (Available profiles: gabi & Administrator) Boot Mode: Normal ============================================== Content of fixlist: ***************** HKU\S-1-5-21-4224918936-2246675992-548615425-1006\...\Run: [hcjucfuf.exe] => C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Identities\hcjucfuf.exe [184388 2008-04-14] ( ) C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Identities\hcjucfuf.exe ***************** HKU\S-1-5-21-4224918936-2246675992-548615425-1006\Software\Microsoft\Windows\CurrentVersion\Run\\hcjucfuf.exe => value deleted successfully. C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Identities\hcjucfuf.exe => Moved successfully. ==== End of Fixlog ==== Herzliche Grüße Gabi |
Ok, dann so weitermachen: Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Downloade Dir bitte  Malwarebytes Anti-Malware
Starte noch einmal FRST.
|
Hallo Timo, muss leider dringend weg (meine Kind ist krank). Kann erst morgen weitermachen . Tut mir leid. |
Absolut kein Ding. |
guten morgen timo, hier die logdatei:AdwCleaner Logfile: Code: # AdwCleaner v4.101 - Bericht erstellt am 12/11/2014 um 13:10:31 |
OK, die anderen Logs aber bitte auch - wenn es zeitlich nicht passt - kein Ding. |
Hallo Timo, ich konnte leider erst heute wieder arbeiten... Hier das Ergebnis des Junkware Removel Tools: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.3.9 (11.15.2014:2) OS: Microsoft Windows XP x86 Ran by gabi on 17.11.2014 at 14:06:29,04 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL ~~~ Registry Keys ~~~ Files Successfully deleted: [File] "C:\WINDOWS\wininit.ini" ~~~ Folders ~~~ FireFox Successfully deleted the following from C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\mozilla\firefox\profiles\099mirur.default\prefs.js user_pref("google.toolbar.button_option.cached.gtbSearchBlogs", "<toolbarbutton xmlns=\"hxxp://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul\" id=\"gtbSearchBlogs\" t user_pref("google.toolbar.button_option.cached.gtbSearchPhotos", "<toolbarbutton xmlns=\"hxxp://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul\" id=\"gtbSearchPhotos\" user_pref("google.toolbar.button_option.cached.gtbSearchScholar", "<toolbarbutton xmlns=\"hxxp://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul\" id=\"gtbSearchScholar user_pref("google.toolbar.button_option.cached.gtbstoolbar-google-com_CTK0Y7F4MTG6NKYH03WT-xml", "<toolbarbutton xmlns=\"hxxp://www.mozilla.org/keymaster/gatekeeper/there.is.o user_pref("google.toolbar.button_option.cached.gtbstoolbar-google-com_J66T77NJDBMW4FEUU7FA-xml", "<toolbarbutton xmlns=\"hxxp://www.mozilla.org/keymaster/gatekeeper/there.is.o user_pref("google.toolbar.search-icon", "data:image/x-icon;base64,AAABAAEAEBAAAAEAIABoBAAAFgAAACgAAAAQAAAAIAAAAAEAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA7PT7/3zF6/9Ptu//RbHx/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 17.11.2014 at 14:15:06,07 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Hallo Timo, darf ich meine Schutzsoftware wieder aktivieren? Gruss Gabi Hallo Timo, hier das Ergebnis von mbam... Malwarebytes Anti-Malware www.malwarebytes.org Protection, 17.11.2014 14:26:10, SYSTEM, PC003, Protection, Malware Protection, Starting, Protection, 17.11.2014 14:26:10, SYSTEM, PC003, Protection, Malware Protection, Started, Protection, 17.11.2014 14:26:10, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Update, 17.11.2014 14:26:13, SYSTEM, PC003, Manual, Rootkit Database, 2014.9.18.1, 2014.11.12.1, Update, 17.11.2014 14:26:25, SYSTEM, PC003, Manual, Malware Database, 2014.9.19.5, 2014.11.17.3, Protection, 17.11.2014 14:26:26, SYSTEM, PC003, Protection, Refresh, Starting, Protection, 17.11.2014 14:26:35, SYSTEM, PC003, Protection, Malicious Website Protection, Started, Protection, 17.11.2014 14:26:36, SYSTEM, PC003, Protection, Malicious Website Protection, Stopping, Protection, 17.11.2014 14:26:36, SYSTEM, PC003, Protection, Malicious Website Protection, Stopped, Protection, 17.11.2014 14:26:53, SYSTEM, PC003, Protection, Refresh, Success, Protection, 17.11.2014 14:26:53, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Protection, 17.11.2014 14:27:28, SYSTEM, PC003, Protection, Malicious Website Protection, Started, Scan, 17.11.2014 14:52:12, SYSTEM, PC003, Manual, Start: % 1 "% 2", Dauer: % 1 min 24 Sekunden, Bedrohungs-Suchlauf, Abgeschlossen, 4 Malwareerkennung, 3-Malwareerkennung, Protection, 17.11.2014 14:52:13, SYSTEM, PC003, Protection, Malicious Website Protection, Stopping, Protection, 17.11.2014 14:52:13, SYSTEM, PC003, Protection, Malicious Website Protection, Stopped, Protection, 17.11.2014 14:52:13, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Protection, 17.11.2014 14:52:58, SYSTEM, PC003, Protection, Malicious Website Protection, Started, Protection, 17.11.2014 14:54:49, SYSTEM, PC003, Protection, Malware Protection, Starting, Protection, 17.11.2014 14:54:49, SYSTEM, PC003, Protection, Malware Protection, Started, Protection, 17.11.2014 14:54:49, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Protection, 17.11.2014 14:56:02, SYSTEM, PC003, Protection, Malicious Website Protection, Started, (end) und das ergebnis des von frst: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 16-11-2014 03--- --- --- |
Hi ! Ich weiss das man nicht immer die Zeit hat, aber bitte les die Anleitungen genau ! Du hast mir leider das verkehrte Malwarebytes Log gepostet. Zitat:
|
Guten Morgen Timo, tut mir leid, ich dachte, das wäre das neueste Protokoll. Ich habe eben noch mal Mbam gestartet. Das allerneueste von heute Früh ist dieses: Malwarebytes Anti-Malware www.malwarebytes.org Protection, 18.11.2014 08:16:34, SYSTEM, PC003, Protection, Malware Protection, Starting, Protection, 18.11.2014 08:16:34, SYSTEM, PC003, Protection, Malware Protection, Started, Protection, 18.11.2014 08:16:34, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Protection, 18.11.2014 08:17:55, SYSTEM, PC003, Protection, Malicious Website Protection, Started, Update, 18.11.2014 08:22:20, SYSTEM, PC003, Scheduler, Malware Database, 2014.11.17.3, 2014.11.18.2, Protection, 18.11.2014 08:22:20, SYSTEM, PC003, Protection, Refresh, Starting, Protection, 18.11.2014 08:22:20, SYSTEM, PC003, Protection, Malicious Website Protection, Stopping, Protection, 18.11.2014 08:22:21, SYSTEM, PC003, Protection, Malicious Website Protection, Stopped, Protection, 18.11.2014 08:22:41, SYSTEM, PC003, Protection, Refresh, Success, Protection, 18.11.2014 08:22:41, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Protection, 18.11.2014 08:23:18, SYSTEM, PC003, Protection, Malicious Website Protection, Started, Update, 18.11.2014 09:17:09, SYSTEM, PC003, Scheduler, Malware Database, 2014.11.18.2, 2014.11.18.3, Protection, 18.11.2014 09:17:09, SYSTEM, PC003, Protection, Refresh, Starting, Protection, 18.11.2014 09:17:09, SYSTEM, PC003, Protection, Malicious Website Protection, Stopping, Protection, 18.11.2014 09:17:09, SYSTEM, PC003, Protection, Malicious Website Protection, Stopped, Protection, 18.11.2014 09:17:30, SYSTEM, PC003, Protection, Refresh, Success, Protection, 18.11.2014 09:17:30, SYSTEM, PC003, Protection, Malicious Website Protection, Starting, Protection, 18.11.2014 09:18:06, SYSTEM, PC003, Protection, Malicious Website Protection, Started, Detection, 18.11.2014 09:22:23, SYSTEM, PC003, Protection, Malicious Website Protection, IP, 94.102.53.149, 0, Outbound, Detection, 18.11.2014 09:22:26, SYSTEM, PC003, Protection, Malicious Website Protection, IP, 94.102.53.149, 0, Outbound, Detection, 18.11.2014 09:22:32, SYSTEM, PC003, Protection, Malicious Website Protection, IP, 94.102.53.149, 0, Outbound, (end) |
Gibt es kein Suchlauf Protokoll ? Das was du postet ist das Schutz Protokoll. |
Oh Gott! - du musst mich für den kompletten Deppen halten. Mir ist gar nicht aufgefallen, dass es 2 Protokolle gibt und habe deshalb nur auf die aktualität geachtet... Hier nun also das Suchlaufprotokoll von gestern: Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 17.11.2014 Suchlauf-Zeit: 14:27:01 Logdatei: mbam.txt Administrator: Ja Version: 2.00.3.1025 Malware Datenbank: v2014.11.17.03 Rootkit Datenbank: v2014.11.12.01 Lizenz: Testversion Malware Schutz: Aktiviert Bösartiger Webseiten Schutz: Aktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows XP Service Pack 3 CPU: x86 Dateisystem: NTFS Benutzer: gabi Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 364352 Verstrichene Zeit: 24 Min, 17 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (Keine schädliche Elemente erkannt) Module: 0 (Keine schädliche Elemente erkannt) Registrierungsschlüssel: 0 (Keine schädliche Elemente erkannt) Registrierungswerte: 0 (Keine schädliche Elemente erkannt) Registrierungsdaten: 2 PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Gut: (0), Schlecht: (1),Ersetzt,[dbfcba8265178fa72e3e79ccc1441de3] PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Gut: (0), Schlecht: (1),Ersetzt,[4d8aec50b5c7fa3c066781c4679e8f71] Ordner: 0 (Keine schädliche Elemente erkannt) Dateien: 5 PUP.SmsPay.pns, C:\Dokumente und Einstellungen\gabi\Eigene Dateien\Downloads\installer_java_se_development_kit_(jdk)_6u6-windows-i586_Deutsch_Deutsch.exe, In Quarantäne, [8057a09c106c2b0b173c384b37c9a759], Trojan.Agent.ED, C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\5B9.tmp, In Quarantäne, [12c51725057748ee31b7be258b7601ff], Trojan.Malpack, C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\2426.tmp, In Quarantäne, [8f4870cc1a627bbb303554890af7857b], Trojan.Agent.ED, C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\C93.tmp, In Quarantäne, [a2351f1d2f4dfe38cc1cc2217c8538c8], Trojan.Agent.ED, C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\1C4.tmp, In Quarantäne, [def97fbd4e2ed85ecd1b6e759a67bc44], Physische Sektoren: 0 (Keine schädliche Elemente erkannt) (end) |
:uglyhammer: Downloade Dir bitte  SecurityCheck und:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: emptytemp:Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
ESET Online Scanner
ALTERNATIVE: FALLS ESET NICHT FUNKTIONIERT (Proxy-Fehler) und auch nur dann: Lade Dir bitte von hier  Emsisoft Emergency Kit herunter.
|
Guten Morgen! Hier das Ergebnis des SecuriyCheck - checkup.txt Results of screen317's Security Check version 0.99.89 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` McAfee Anti-Virus und Anti-Spyware Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` McAfee SiteAdvisor Adobe Flash Player 15.0.0.223 Adobe Reader XI Mozilla Firefox (33.1) ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbam.exe Malwarebytes Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` und dies ist das ergebnis des fixlogtests: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-11-2014 03 Ran by gabi at 2014-11-19 08:33:11 Run:2 Running from D:\rasselfisch\a_pdf Loaded Profile: gabi (Available profiles: gabi & Administrator) Boot Mode: Normal ============================================== Content of fixlist: ***************** emptytemp: ***************** EmptyTemp: => Removed 2.2 GB temporary data. The system needed a reboot. ==== End of Fixlog ==== |
Ok. Das ESET Log dauert lang. |
dies ist das logfile von eset: ESETSmartInstaller@High as downloader log: all ok # product=EOS # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.7623 # api_version=3.0.2 # EOSSerial=3057273e3710354d81c3aeefbaf5a13c # engine=21158 # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2014-11-19 09:49:57 # local_time=2014-11-19 10:49:57 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1031 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode_1='McAfee Anti-Virus and Anti-Spyware' # compatibility_mode=5124 16777214 100 100 1222295 102805613 0 0 # scanned=77834 # found=3 # cleaned=3 # scan_time=5473 sh=2B7CF9E096E5B7FA5F9209F0B1CBBF3DED07B9B0 ft=1 fh=f88e1350f14a13c6 vn="Variante von Win32/Injector.BPQO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\mailpv.exe" sh=446B8370259C8E27E6CF2999403EDA9535A1F956 ft=1 fh=575557e34b09c9aa vn="Win32/SoftonicDownloader.A evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\Dokumente und Einstellungen\gabi\Eigene Dateien\Downloads\SoftonicDownloader7563.exe" sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Mehrere Bedrohungen" ac=C fn="${Memory}" |
Nanu ? Löschen solltest du nicht, aber wir müssen wohl grad nochmal neu nachschauen. Bitte nochmal neue FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
hallo timo, bin leider erst jetzt wieder gesund am arbeitsplatz... habe jetzt den eset onlie scanner noch einmal laufen lassen. dies ist der log.txt dazu: ESETSmartInstaller@High as downloader log: all ok # product=EOS # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.7623 # api_version=3.0.2 # EOSSerial=3057273e3710354d81c3aeefbaf5a13c # engine=21254 # end=finished # remove_checked=false # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2014-11-25 12:08:59 # local_time=2014-11-25 01:08:59 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1031 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode_1='McAfee Anti-Virus and Anti-Spyware' # compatibility_mode=5124 16777214 100 100 1749037 103332355 0 0 # scanned=78717 # found=1 # cleaned=0 # scan_time=2258 sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Variante von Win32/Emotet.AB Trojaner" ac=I fn="${Memory}" Und das ist das Ergebnis des FRST.logs: FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 23-11-2014--- --- --- --- --- --- und dann hat sich direkt auch ein Addition.txt geöffnet. Der Inhalt ist:FRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 23-11-2014 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board
