Win 7; Trojan.FakeMS.ED durch Malwarebytes gefunden
Hallo!
Ich habe zunächst über Avira suchen lassen, da ist aber leider nicht viel bei rausgekommen.
Habe dann Avira, Win Defender und die Firewall deaktiviert und mit AdwCleaner und Malwarebytes suchen lassen.
Beim letzten sind dann 4 Trojaner vom Typ Trojan.FakeMS.ED gefunden worden. Ich habe sie nun in Quarantäne gepackt, wobei von den 4 nur 3 aufgelistet sind. Den Ordner habe ich dann nochmal untersuchen lassen und dann entfernt (mit CCleaner im Papierkorb dann).
Wo ist der vierte hin? Wie muss ich weiter vorgehen, damit alles wieder sauber ist/bleibt? Muss ich auch meine externe Festplatte säubern? Die habe ich nämlich auch angeschlossen, als ich noch nicht von dem Virusbefall wusste.
Hier die ganzen Ergebnisse:
AdwCleaner[R0]: Zitat:
# AdwCleaner v4.112 - Bericht erstellt 12/03/2015 um 14:26:06
# Aktualisiert 09/03/2015 von Xplode
# Datenbank : 2015-03-05.1 [Lokal]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (x64)
# Benutzername : Katharina - ANNA-HP
# Gestarted von : C:\Users\Katharina\Desktop\adwcleaner_4.112.exe
# Option : Suchlauf
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gefunden : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Ordner Gefunden : C:\Program Files (x86)\Free Video Converter
Ordner Gefunden : C:\Users\Katharina\AppData\Roaming\dvdvideosoftiehelpers
***** [ Geplante Tasks ] *****
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Free Video Converter
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : [x64] HKCU\Software\Conduit
Schlüssel Gefunden : [x64] HKCU\Software\Free Video Converter
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKLM\SOFTWARE\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : [x64] HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
***** [ Internetbrowser ] *****
-\\ Internet Explorer v11.0.9600.17631
-\\ Mozilla Firefox v35.0.1 (x86 de)
*************************
AdwCleaner[R0].txt - [1935 Bytes] - [12/03/2015 14:26:06]
########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1994 Bytes] ##########
| AdwCleaner[S0]: Zitat:
# AdwCleaner v4.112 - Bericht erstellt 12/03/2015 um 14:28:23
# Aktualisiert 09/03/2015 von Xplode
# Datenbank : 2015-03-05.1 [Lokal]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (x64)
# Benutzername : Katharina - ANNA-HP
# Gestarted von : C:\Users\Katharina\Desktop\adwcleaner_4.112.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\Program Files (x86)\Free Video Converter
Ordner Gelöscht : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\Users\Katharina\AppData\Roaming\dvdvideosoftiehelpers
***** [ Geplante Tasks ] *****
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Free Video Converter
Schlüssel Gelöscht : HKLM\SOFTWARE\Conduit
***** [ Internetbrowser ] *****
-\\ Internet Explorer v11.0.9600.17631
-\\ Mozilla Firefox v35.0.1 (x86 de)
*************************
AdwCleaner[R0].txt - [2089 Bytes] - [12/03/2015 14:26:06]
AdwCleaner[S0].txt - [1890 Bytes] - [12/03/2015 14:28:23]
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1949 Bytes] ##########
| Malwarebytes: Zitat:
Malwarebytes Anti-Malware
www.malwarebytes.org
Suchlauf Datum: 12.03.2015
Suchlauf-Zeit: 14:37:10
Logdatei: Malware.txt
Administrator: Ja
Version: 2.00.4.1028
Malware Datenbank: v2014.11.20.06
Rootkit Datenbank: v2014.11.18.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Katharina
Suchlauf-Art: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 565975
Verstrichene Zeit: 2 Std, 40 Min, 48 Sek
Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(Keine schädliche Elemente erkannt)
Module: 0
(Keine schädliche Elemente erkannt)
Registrierungsschlüssel: 0
(Keine schädliche Elemente erkannt)
Registrierungswerte: 0
(Keine schädliche Elemente erkannt)
Registrierungsdaten: 0
(Keine schädliche Elemente erkannt)
Ordner: 0
(Keine schädliche Elemente erkannt)
Dateien: 4
Trojan.FakeMS.ED, C:\Users\Katharina\Downloads\Microsoft.Office.Professional.Plus.2013.Volume.License.x86.x64.KMSmicro.v3.11.GERMAN-MCU\Activation Helper v1.5\Activation Helper v1.5 x86.exe, In Quarantäne, [48f7b18cc4b8c17536ff5cab7e83bf41],
Trojan.FakeMS.ED, c:\Users\Katharina\Downloads\Microsoft.Office.Professional.Plus.2013.Volume.License.x86.x64.KMSmicro.v3.11.GERMAN-MCU\Microsoft.Office.Professional.Plus.2013.Volume.License.x86.x64.KMSmicro.v3.11.GERMAN-MCU\Activation Helper v1.5\activation helper v1.5 x86.exe, In Quarantäne, [dc631f1ebdbfdb5b80b5ff08996836ca],
Trojan.FakeMS.ED, C:\Users\Katharina\Downloads\Microsoft.Office.Professional.Plus.2013.Volume.License.x86.x64.KMSmicro.v3.11.GERMAN-MCU\Microsoft.Office.Professional.Plus.2013.x64-VL\Activation Helper v1.5\Activation Helper v1.5 x86.exe, In Quarantäne, [2a15ed506d0f40f6ad88c83fe021a15f],
Trojan.FakeMS.ED, C:\Users\Katharina\Downloads\Microsoft.Office.Professional.Plus.2013.Volume.License.x86.x64.KMSmicro.v3.11.GERMAN-MCU\Microsoft.Office.Professional.Plus.2013.x86-VL\Activation Helper v1.5\Activation Helper v1.5 x86.exe, In Quarantäne, [4df2aa93b4c8d660072e38cfa75add23],
Physische Sektoren: 0
(Keine schädliche Elemente erkannt)
(end)
| | 
FRST 32-Bit | FRST 64-Bit