W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI
 

Seit dem letzten Wochenende kämpfe ich mit einem (oder mehreren?) Troyaner(n?). Das erste, wovor Avira Antivirus Pro mich warnte war: „TR/Crypt.XPACK.Gen“. Weil er diesen aber nicht in die Quarantäne verschob und offensichtlich auch nicht gelöscht hat (Störungen bei der Google-Suche, Störungen, wenn ich versuchte Internetadressen aus Worddokumenten heraus zu öffnen, Störungen bei Avira-Updates), habe ich Malwarebytes-Anitmalware heruntergeladen. Dieses Programm fand ganz vieles von/ mit „Conduit“ / „Search Protect“ (einmal ca. 100 Dateien …, einmal 704), die ich gelöscht habe (bei den 704 habe ich 586 sicher gelöscht, beim Rest ist es unklar, Malwarebytes fand danach aber nichts mehr). Avira fand danach aber noch einige „conduit“- Sachen, die ich auch löschte.
Danach gab es keine Störungen mehr bei der Google-Suche oder dem Öffnen von Internet-Adressen aus Worddokumenten.

Gestern fand Avira beim Echtzeit-Scan dann Trojaner mit „brantall“ ohne Meldung zu machen. Ich entdeckte es unter „Ereignisse“. Ab 16.54 Uhr finden sich mehrere unterschiedliche Dateien der Art:
„In der Datei 'C:\Windows\Temp\tmp00004c87\tmp00096951'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Brantall.A.7' [trojan] gefunden.“
Ausgeführte Aktion: Übergeben an Scanner bzw. Zugriff verweigert

Das Letzte was ich mir davor heruntergeladen hatte war Emsisoft Anti-Malware - Version 9.0
von der Seite chip.de. (Auch diese fand immer noch Sachen von „Conduit“ und „Search Protect“, ebenso wie zuvor der ESET Online Scanner, den ich davor über Mittag laufen hatte.)

Seit der ersten Trojaner-Meldung hat Avira Probleme mit dem selbsttätigen Updaten (mal klappte es mal nicht). Seit spätestens gestern kann ich Avira auch nicht mehr deaktivieren, keine Einstellungen ändern und keine manuellen Updates machen (Meldung, dass Verbindung zum Internet nicht hergestellt werden kann, obwohl eine aktive Internetverbindung besteht. Habe ich vielleicht etwas Falsches in Quarantäne verschoben oder gelöscht?).
Und wenn ich den Avira Antivirus Pro deaktivieren will (vorhin, für GMER) oder Einstellungen ändern, bekomme ich nun die Meldung: „Auf das angegebene Gerät, bzw. den Pfad … kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigung …“ Vor der Installierung von ESET und EMSI-Antimalware, funktionierte wenigstens das noch problemlos …

Habe versucht, ob sich durch den RKiller (von bleeping Computer) daran etwas ändert, ohne Erfolg.

Habe nun die in der allgemeinen Anleitung von Euch erbetenen Scans gemacht (GMER funktionierte, aber ich konnte weder Avira noch EMSI dazu deaktivieren, nur die Firewall) und stelle sie hier ein.

(Wenn gewünscht, ich habe mir von allen Suchläufen mit den verschiedenen Programmen vor dem Löschen der Sachen aus der Quarantäne Kopien gemacht. Manche Sachen sind auch noch in der Quarantäne, wo ich mir nicht sicher war … ich bin ja nur eine einfache PC-Userin … das ist aber extrem viel … Ich poste hier erstmal nur die Sachen aus der allgemeinen Anleitung und das was aktuell noch gefunden wird, bzw. noch in Quarantäne ist. Avira und Malwarebytes finden aktuell nichts mehr und dort ist auch nichts mehr in Quarantäne.)

1. Defogger auf „Disable“ gestellt, Anzeigetafel bleibt schwarz, keine Info (hat er also nichts ausschalten müssen?)

2. FRST - Kopie Logfile


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Ich breche mal hier ab, da die Vorschau sagt, dass es sonst zu lang sei ...

Ich poste den Rest, sobald mir jemand antwortet. Traue mich gerade nicht, es auf mehrere Posts aufzuteilen, damit es nicht so aussieht, als wäre das Problem schon in Arbeit.

Wäre schön, wenn mir jemand helfen könnte!

Schon mal herzlichen Dank im Voraus!

Undine

hi,

dann poste mal :)

In Ordnung, hier geht es weiter 1. Teil:

Addition.txt - Logfilekopie

(sorry wegen der ganzen Spiele und massenweise Spiel-Ergänzungskarten - "Mapperteam" und andere -, dadurch wird das hier ewig lang ...)

FRST Additions Logfile:
--- --- ---


Gleich geht es noch weiter ...

Hier geht es weiter 2.Teil:

3. Gmer.txt-Logfile-Kopie:


4. Letzte Scan-Ergebnisse mit Funden

Scan mit ESET onlinescanner am 22.4.2015 über Mittag (Alle aus Quarantäne gelöscht! Kam der Trojaner über Veho (wegen C:\Program Files\Veoh Networks\VeohWebPlayer\ConduitInstaller_veoh.exe Win32/Toolbar.Conduit) ?)



Scan mit Emsisoft Anti-Malware. Das Programm blieb bei 67 % des Datei-Scans stecken. Bei einem weiteren, vollständigen Suchlauf wurde aber nichts Zusätzliches gefunden. Einiges, das eindeutig mit Conduit oder SearchProtect in Verbindung stand, habe ich schon aus der Quarantäne gelöscht. Bei Folgendem bin ich mir aber nicht sicher, habe ich dringelassen in der Quarantäne:


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ytd video downloader gefunden: Application.AdStart (A)
C:\ProgramData\ytd video downloader gefunden: Application.AppInstall (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\PROTECTOR_DLL.PROTECTORBHO gefunden: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\PROTECTOR_DLL.PROTECTORBHO.1 gefunden: Application.AdReg (A)
Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN -> VEOHPLUGIN gefunden: Application.AdStart (A)
Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN -> VEOHPLUGIN gefunden: Application.AdStart (A)
Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN -> VEOHPLUGIN gefunden: Application.AdStart (A)

(Die von EMSI in der Avira-Quarantäne gefundenen Sachen waren ca. zwei Jahre alt … ich hatte mich damals nicht getraut, sie ganz zu löschen :crazy: …)

Logfiles der EMSI Anti-Malware-Scans:


RKill – Logfile (Hosts-perm.bat habe ich probiert, der bekam aber offensichtlich keinen Zugriff):

Logfile des RogueKillers (davon habe ich noch gar nichts gelöscht, bin mir zu unsicher und will nicht noch zusätzlichen Schaden anrichten):

Soweit erstmal, vielen Dank für die Mühe!

Undine

Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  FlodderOnceUponATime 2-1-0
  
  YTD Video Downloader 4.0
  
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo schrauber,

Folgendes habe ich schon erledigt:

Revo Uninstaller:

- FlodderOnceUponATime 2-1-0 gelöscht (= Map von Spiel Cultures Saga, also inclusive Cultures Saga und zugehörigen Maps)

- YTD Video Downloader 4.0 gelöscht (wechselte zum normalen Uninstall und fand danach auch keine Reste)

Danach erstmal die wichtigsten Daten (wichtigsten Word-Dokumente, Bilder und Musik) auf USB-Stick gesichert. – Frage: Wie hoch ist das Risiko, dass ich dort nun etwas von den Trojanern mit drauf habe? – EMSI meldete er würde USB-Sticks automatisch mit überprüfen)


Probleme bezüglich Combofix :

Ich weiß nicht, wie ich die EMSI- Antivirensoftware deaktivieren kann. Ich hatte das ja gestern schon versucht. Einzige Idee, unter Einstellungen alle Häkchen zu entfernen, gestern meldete er dann trotzdem noch etwas.

Nachdem ich den Computer aus hatte, kann ich heute Avira wieder manuell deaktivieren (Updates funktionieren aber immer noch nicht).


Ein Zusätzliches Problem ist aufgetreten:

Nach Neustart (Boot) komm auf dem Bildschirm dann die Meldung vom Windows Defender:
„Fehler bei Anwendungsinitialisierung 0x800106ba. Der Dienst dieses Programms wurde aufgrund eines Problems angehalten. …

Auch manuell bekomme ich jedes Mal eine Fehlermeldung, wenn ich den Windows Defender in der Systemsteuerung anklicke.

… momentan ist vielleicht erstmal am wichtigsten, wie ich Emsisoft Antimalware deaktivieren kann.

Herzlichen Dank

Undine

Nochmal hallo!

Inzwischen habe ich die Anleitung zur Deaktivierung von EMSI in der Anleitung zu Combofix gefunden und Combofix ausgeführt. Klappte alles inklusive Systemneustart.

Aber nun finde ich das Logfile nicht, nicht unter C:/Combofix.txt ...

Ich konnte beim Downloaden über Google Chrome keinen Einfluss auf den Ort der Installation nehmen ... da gab's nur "öffnen" ... vielleicht deshalb?

Was soll ich nun machen? Deinstallieren und neu über den Internetexplorer downloaden? Oder kann ich das Logfile doch irgendwie finden?

Ich sehe auch nicht, wohin Combofix installiert wurde, unter "Desktop" jedenfalls nicht ...

Herzliche Grüße

Undine

3. Anlauf

Diesmal hat es funktioniert. Konnte Combofix nach der Anleitung von bleepingcomputer problemlos deinstallieren und habe das Downloaden dann über den Internetexplorer wiederholt ...

Hier ist nun die Logdatei von Combofix:


So, und jetzt gehe ich endlich schlafen, mir brummt der Schädel ...

Undine

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo schrauber

Tut mir leid, dass es etwas gedauert hat. Habe zuerst noch den ESET-Onlinescanner nochmals zweimal laufen lassen (ohne Löschen), um die beiden zum Sichern meiner Daten benutzten USB-Sticks zu überprüfen. Auf den USB-Sticks (Laufwerk F:/) wurde nichts gefunden. Aber mit gegenüber dem Suchlauf vom 22.4.2015 geänderten Einstellung („Erkennung von eventuell unerwünschten Anwendungen aktivieren“ und „Auf potenziell unsichere Anwendungen prüfen“) wurde noch folgendes gefunden unter C:/ gefunden (nicht gelöscht):

Funde beim ESET-Suchlauf mit Mini-USB-Stick (mit nach Trojanerbefall gesicherten Word-Dateien) als Laufwerk F:/ am 25.-26.4.2015 und genauso beim ESET-Suchlauf mit 8 GB-USB-Stick (mit am 24.4.2015 nach Trojanerbefall gesicherten Word-, Bild- und Musikdateien) als Laufwerk F:/ am 26.4.2015:

Funde:
C:\Program Files\Avira\AntiVir Desktop\offercast_avirav7_.exe Variante von Win32/Bundled.Toolbar.Ask.D potenziell unsichere Anwendung
C:\Program Files\Veoh Networks\VeohWebPlayer\OCSetupHlp.dll Win32/OpenCandy potenziell unsichere Anwendung
C:\Users\Ute\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\2899c307-55a4ed59 Variante von Java/Exploit.Agent.OSD Trojaner

----------------

Hier das letzte Logfile vom Bedrohungsscan mit Malwarebytes-Antimalware (vorher MBAM-Update gemacht, MBAM hat nichts in Quarantäne verschoben):

----------------------

Hier das Logfile vom AdwCleaner:


------------

Danach, nach Suchlauf und Löschen mit AdwCleaner ließ sich der Avira E-Mail-Schutz nicht mehr aktivieren. (Vorher schien Avira Antivirus Pro dagegen wieder problemlos zu laufen, ich konnte/kann auf alles zugreifen, er updatet wieder ordnungsgemäß und es gab auch keine Fehlermeldungen mehr.) Habe es auch schon mit Neustart probiert, hilft auch nicht.

Erstmal soweit, mache mit Scans weiter und vermeide vorerst E-Mails.

Gruß Undine

So, hier geht es weiter:

Junkware removal Tool-Logfile:


und FRST-Logfile:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---



Der Avira E-Mailschutz lässt sich auch weiterhin nicht aktivieren.

Gruß Undine

Das liegt daran weil die Avira-eigene Adware gekillt wurde. Avira einfach neu installieren.

Wie läuft der Rechner denn aktuell?

Hallo schrauber,

ich hoffe, dass das mit dem Neuinstallieren von Avira so einfach geht. Die CD ist nämlich von 2009, danach habe ich immer nur per Internet die Lizenzen verlängert. Ich habe keine Ahnung welcher Code da nun der richtige ist, der von der CD oder der aktuelle ...

Ansonsten scheint alles wieder normal zu laufen, keine Störungen oder Störungsmeldungen mehr, soweit ich es erkennen kann.

Denken Sie, dass ich mir den Trojaner durch Veho eingefangen habe? Dann würde ich Veho nämlich erstmal vermeiden. Oder gibt es sowas wie einen sicheren Zugang zu den Veho-Videos?

Gruß Undine

Einfach auf der Avira Seite den aktuellen Installer laden :)

Möglich dass es durch Veho war, oder sonst einen eher schlechten Download. Viele Freeware Programme bringen Adware mit.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo schrauber,

brauchte gestern mal einen scanfreien Tag (träume schon vom Scannen) ...

Ja, irgendwie gibt es doch noch Probleme. Links von Word zu youtube, die ich in der Zwischenzeit sicherheitshalber nicht benutzt hatte, können teilweise (nicht alle) nicht mehr geöffnet werden. Es erscheint der Hinweis: "... konnte nicht geöffnet werden. Ein Sicherheitsproblem ist aufgetreten." Suche ich mir aber die entsprechende Musik neu bei Youtube und kopiere den Link neu, funktioniert er wieder, auch wenn die Adresse dieselbe ist. (Habe das erstmal mit meinen absoluten Favoriten gemacht ...)

Ich kann nicht sagen, ob es daran liegt, dass ich heute als erstes den Adobe Flashplayer upgedatet habe oder ob das auch vorher schon so war. (Hatte gestern beim youtube-Video-Schauen Probleme, dass ich nicht mehr einen Zeitpunkt in der Mitte des Videos anklicken konnte, weil das Bild dann stoppte und nur noch der Ton weiterlief. Dieses Problem scheint mit dem Update behoben. Der entsprechende Link zum Video aus einem Word Dokument funktionierte gestern wie heute aber.)

Momentan scheint mein Computer keine Wiederherstellungspunkte mehr zu setzen (hatte überlegt das Adobe-Update wegen der Probleme mit den Links rückgängig zu machen, fand aber keinerlei Wiederherstellungspunkte).

Werde sicherheitshalber erstmal nochmal den Malwarebytes Antimalware-Scanner durchlaufen lassen und wenn alles dort soweit in Ordnung ist mich an der Neuinstallation von Avira versuchen, bevor ich mit dem Scannen weitermache.

Soweit erstmal

Gruß Undine

Vielen Dank für den Hinweis, wie ich Avira repariert bekomme. Es hat problemlos funktioniert und der Email-Schutz läuft nun wieder.

Zuvor hatte ich nochmal den Malwarebytes-Antimalwarescanner laufen lassen (keine Funde) und dann die Emsisoft-Antimalware, die folgendes fand:

Ich habe die Funde erstmal weder in die Quarantäne getan, noch gelöscht, weil ich vermute, dass das eher mit den ganzen Scans und Löschaktionen zu tun hat.

Eine Rückmeldung, ob ich damit richtig liege und ob das so in Ordnung geht, wäre aber nett.

Ich mache vorerst mit Eset weiter ...

Gruß Undine

Hier das Logfile vom Eset Onlinescanner:

`Die Funde kannste auch ruhig in Quarantäne packen.

Der Rest von oben kommt noch?

Warum speichert man eigentlich seine Lieblings-Youtube-links in einem Worddokument??
Es müssen bei einem Update nur die Sicherheitseinstellungen von Word geändert werden, schon geht der Absprung nicht mehr.

Speicher die Links doch gleich im Browser, da wo sie hingehören.

In Ordnung, danke!

Ja, der Rest von oben kommt noch, versuche ich heute zu schaffen.

Warum ich Links zu Lieblingsmusik (Lieblingshörbüchen, Lieblingsfilmen ...) in Worddokumenten habe? Ganz einfach, so muss ich nicht lange suchen, einfach Strg+Link anklicken und schon bin ich da. (Und zu manchen Links schreibe ich auch Infos dazu ...) Zudem benutze ich bezüglich Musik einen Trick. Ich lasse meinen Mediaplayer im Hintergrund (ganz leise) Binaurale Wellen oder in normaler Lautstärke Beruhigungsmusik spielen und dazu kommen dann meine Lieblingsmusik oder Naturgeräusche wie Vogelgezwitscher oder Wellenrauschen von Youtube. Ich mag diese Kombinationen.

Wie kann ich Links im Bowser selber (also in google Chrome) speichern? Und, könnte Google Chrome dann nicht sehen, was da alles gespeichert ist? Und im Falle eines Trojaners eventuell auch noch andere?

Ich mache das mit den Links in Worddokumenten schon seit etwa vier Jahren und in dieser Zeit gab es nie Probleme.

Gruß Undine

bin's nochmal ...

mir ist zu den Funden von Emsi noch etwas aufgefallen. Könnten das die "Opt out"-Einstellungen für den Adobe-Flashplayer sein, die ich gemacht habe? Weil da überall "POLICIES" drin steckt? Die "Opt out"-Möglichkeiten fanden sich bei Adobe unter "Privacy-Policies" glaube ich. Wenn das so wäre, würde ich das natürlich behalten und nicht löschen wollen ...

hier nochmal das Logfil von Emsi:

Also scanne ich erstmal nicht nochmal mit Emsi, sondern mache gleich mit "SecurityCheck" und FRST weiter.

Gruß Undine

Hier das Logfile vom "Security Check":

Die ganzen „Out of date“ sind mir klar. Windows Vista Service Pack 1 und der Internet Explorer 7 ließen sich in den etwa vier Jahren, die ich erst einen Internetzugang habe, nie updaten. Diesbezüglich schlugen alle Updates fehl und ich bekam entsprechende Meldungen. Dass ich Java und den Adobe Reader noch updaten muss, steht an. Vielleicht wissen Sie eine sichere Quelle dafür? Aber dass der „Security Check“ beim Adobe Flash Player, den ich doch erst gestern upgedatet habe, „out of date“ feststellt, wundert mich …

Und hier noch das FRST-Logfile:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Gruß Undine

Die Emsi-Funde beziehen sich nur auf Regedit und Taskmanager, die können raus.

Das die Updates bei Windows nicht klappen ist eher doof, das ist ein enormes Sicherheitsrisiko.


Schauen wir mal.

Windows Repair Tool laufen lassen:
Windows reparieren - so geht's - Anleitungen

Oh je, die Anleitung für das Windows Repair Tool liest sich kompliziert.

Da habe ich gleich mehrere Fragen dazu.

1. Wie komme ich in den "Save Mode with Networking"?

2. Ich besitze keine "Check-Disk" und offensichtlich auch keine CD mit Windows Vista Home Basic (das habe ich nachschauen lassen wo ich den Laptop gekauft habe: Es war keine entsprechende CD dabei, nur ein Flyer "Stellen sie Ihr System ohne Wiederherstellungsmedium (CD/DVD) wieder her" - Samsung Recovery Solution ...)

3. Hat das "Backup" etwas mit "Wiederherstellungspunkten" zu tun? Wenn ich unter Systemsteuerung/Wartung nach Wiederherstellungspunkten suche, bekomme ich folgende Meldung: "Der Computerschutz ist deaktiviert". Ich müsste ihn neu aktivieren und dazu ankreuzen/anhaken, für welche Datenträger automatische Wiederherstellungspunkte gesetzt werden sollen (Recovery, Lokaler Datenträger C:, Lokaler Datenträger D: ). Was muss ich da ankreuzen?

4. Denken Sie, dass mein PC jetzt soweit trojanerfrei ist, dass ich nochmal alle meine Dateien ohne Risiko sichern kann (USB-Stick)? Das würde ich gerne vorher machen. Auf den beiden kleinen USB-Sticks war nur das allerwichtigste ... Ich musste mir erst einen ausreichend großen besorgen.

5. Zur Abbildung mit 5,6,7 in der Anleitung: Sind die Haken in den Kästchen im linken Teil automatisch richtig gesetzt?

Gruß Undine

1) brauchst Du nit, einfach im normalen Modus laufen lassen
2) Check Disk ist der Name des Programmes, welches dann gestartet wird durch einen Klick :)
3) Backup bedeutet Backup der Registry, nicht Wiederherstellung.
4) Ja, Daten sichern geht :)
5) Ja sind sie.

Hallo schrauber,

wollte mich mal zurückmelden. Ich habe inzwischen wenigstens meine Daten gesichert und den Eset-Onlinescanner nochmal laufen lassen und die Funde dort gelöscht. Ich hoffe, dass ich das Windows-Reparieren morgen oder übermorgen schaffe.

Gruß Undine :kaffee:

ok :)

Geschafft!

Habe die Windows-Reparatur durchgeführt. Scheint auch geklappt zu haben, obwohl das Programm unter 3. schrieb: "Der Windows-Ressoursenschutz hat beschädigte Dateien gefunden und konnte einige Dateien nicht reparieren."

Jedenfalls funktioniert die Systemwiederherstellung nun wieder und auch das Updaten scheint zu gehen (1 Update gemacht).

Dafür ist der Avira-Emailschutz wieder kaputt ... :aarr:


... hatte eine anstrengende Woche ... mein Kopf ist heute nicht mehr gebrauchsfähig ...

Gruß Undine

Avira neu installieren, dann ein frisches FRST log bitte :)

Hallo Schrauber,

Avira ist nun wieder heil (repariert).

Hier das neue FRST-Logfile:


FRST Logfile:
--- --- ---



Gruß Undine

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Noch PRobleme mit dem Rechner?

Hallo schrauber,

hier der Fixlog:

Vor dem Fix mit FRST lief alles, soweit ich beurteilen kann, problemlos.

Gruß Undine

Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren .

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.pngAbsicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.
Meine Empfehlung:
http://filepony.de/icon/emsisoft_anti_malware.png
Emsisoft

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Ui, dann mache ich mich mal an's aufräumen!

Schon mal gaaaanz herzlichen Dank für Ihre Hilfe und Geduld :abklatsch: :bussi: !

Manchmal hatte ich echt Muffensausen :crazy:, aber es hat letztlich immer alles funktioniert!


Sollte es noch Probleme geben oder sollten noch Fragen auftauchen, melde ich mich nochmal.

Aber ich werde zum Aufräumen wohl etwas Zeit brauchen ...

Ganz herzliche Grüße

eine sehr erleichterte Undine


--------------

Bin's doch nochmal.

Nach den ersten beiden Schritten (Defogger re-enable und Combofix deinstallieren) funktionierte das Avira Icon auf dem Desktop nicht mehr (das kleine in der Schnellstartleiste schon) und ließ sich erstmal auch nicht reparieren.

Habe dann nochmal mit Malwarebytes gescannt (kein Fund) und mit Emsisoft (2 Funde).

Hier der Logfile des Emsi-Scans:


Wie soll ich jetzt weiter vorgehen?

(Erstmal lade ich das Avira-Programm neu aus dem Internet runter und versuche nochmal zu reparieren ...)

Gruß Undine

Avira neu installieren, die beiden Funde einfach Löschen :)

Hallo Schrauber,

ich muss mich doch nochmal melden mit Fragen und Problemen.

Frage: Wie bekomme ich GMER gelöscht?

Problem: Nach "Delfix" habe ich ein Problem mit der "Zuletzt verwendet" Verknüpfung. Von dort erreiche ich Word-Dokumente, die ich ständig benutze. Nun wird das aber zugemüllt seit Delfix, weil unter "Zuletzt verwendet" bei jedem Öffnen oder teilweise sogar nur Verändern des Dokumentes weitere Links dergestalt hinzufügt werden: "Für Trojaner-Board (2), Für Trojaner-Board (3), Für Trojaner-Board (4), Für Trojaner-Board (5) ..."
Bin ständig dabei diese überzähligen Verknüpfungen zu löschen. Das nervt! (Die ursprüngliche Verknüpfung funktioniert problemlos weiter.)


Delfix wurde vom Emsi-Soft-Scanner als “gefährlich” eingestuft und in die Quaranäne verschoben. Ich musste das Programm erstmal von dort wiederherstellen und Emsisoft deaktivieren, damit es funktionierte.

Hier das Logfile von Delfix:

Nach Delfix Avira Emailscanner repariert (zum vierten Mal inzwischen :crazy:).

Habe Java, Adobe-Reader und Adobe Flash Player dank Ihrer Links gut aktualisiert bekommen.

Leider gibt es weiter Probleme mit dem Updaten auf den aktuellen Internet Explorer. Ich habe mir die Einstellungen meines DSL-Gerätes angesehen (meine Telefon- und Internetverbindung ist alt - und super billig, wichtig für mich ...). Leider kann man den Browser nicht umstellen. Die Verbindung wird standartmäßig über den Internet-Explorer gestartet, auch wenn ich an anderer Stelle Chrome als Standartbrowser festgelegt hatte (funktioniert für Links aus Word-Dokumenten).

Das Problem mit dem Updaten vom Internet Explorer ist, das ich noch W. Vista Service Pack 1 habe, der nicht mehr unterstützt wird. Trotz Anleitung "Informationen zum Installieren von Windows Vista Service Pack 2 (SP2)" bin ich immer noch nicht weiter ...

Werde heute weiter probieren ... Aber wenn Sie eine Idee haben ...

Gruß Undine



Inzwischen bin ich mit dem Windows Updater immerhin soweit, dass ich das Update für den Vista Service Pack 2 angezeigt bekomme ... Aber bei 50 % der Installation ist jedesmal Ende, es geht nichts mehr weiter und ist auch nach einer halben Stunde immer noch bei 50 %.

Ich habe das Update von Vista Service Pack 2 nun drei Mal abgebrochen. Nach dem ersten Versuch fand ich 14 weitere wichtige Updates zum Installieren, was auch klappte. ... Beim letzten Versuch hatte ich Antiviren-Programme und Firewall deaktiviert, funktionierte auch nicht.

Ein weiteres Problem ist aufgetaucht: Emails zu schicken klappt nicht (empfangen schon). Ob dieses Problem erst durch die Update-Versuche entstanden ist, oder schon davor kann ich nicht sagen. Ich hatte - sofern mein Email-Schutz funktionierte - immer meine Mails gelesen (auch Links z. B. nach hier benutzt) aber keine eigenen Mails geschickt.

Hier die Anzeigen der letzten beiden Versuche (... statt persönliches):
Betreff … Protokoll: SMTP, Serverantwort: '454 TLS not available due to temporary reason', Port: 25, Secure (SSL): Ja, Serverfehler: 454, Fehlernummer: 0x800CCC7F

Und nach Neustart beim nächsten Versuch: Unbekannter Fehler. Betreff … Protokoll: SMTP, Port: 25, Secure (SSL): Ja, Fehlernummer: 0x800CCC0B

Gruß Undine



Hallo schrauber,

inzwischen habe ich es geschafft den Service Pack 2 manuell zu installieren (nachdem ich alle vorher nötigen Updates mit dem Windows Updater gemacht hatte, die SP2-Installation per Updater aber nicht klappte) und dann den Windows Explorer 9 installiert (der Link von Filepony funktionierte nicht richtig, leitete zwar zu Microsoft Windows weiter, aber nicht zum Internet Explorer 11).



Die Probleme mit "zuletzt verwendet" und dem Senden von Mails bestehen aber weiterhin. Was kann ich da machen?

Gruß Undine

Hast Du es mal beim Emailanbieter auf der Weboberfläche versucht? Die Fehlermeldung ist eigentlich eindeutig und zeigt nen Error beim Anbieter.

Hallo schrauber,

beim Email-Anbieter, auf dessen Webseite klappt das Senden. Das habe ich gestern ausprobiert, weil ich die Mail unbedingt senden wollte. Nur bei Windows Mail, das ich üblicherweise benutze, funktioniert das Senden nicht.

Gruß Undine

Einstellungen zum Senden in Windows Mail kontrollieren, evtl testweise auf schwächere Verschlüsselung umstellen oder Anbieter kontaktieren :)

Sorry, dass ich da so ahnungslos bin.

Aber ich weiß nicht wonach ich im Windows Mail schauen muss.

Unter "Extras"/"Konten"/"Eigenschaften"/"Erweitert" ist die Sicherheitseinstellung so wie von "gmx" vorgegeben (SSL). Habe auch "Extras"/"Optionen" geöffnet (zum ersten Mal überhaupt in meinem Userleben ...) aber verstehe da nur Bahnhof ...

Und was sollte ich "gmx" sagen, wenn das Senden doch über deren Server/Website direkt funktioniert (gesendet, dort keinerlei Meldung, dass es nicht geht), bloß aus Windows Mail heraus nicht mehr?

Und was ist mit den ständigen überzähligen "zuletzt verwendet". Das nervt mich sehr und ich würde das gerne weg haben (nur die überzähligen). Denn ich nutze das "zuletzt verwendet" sehr viel ... Sollte ich es nochmals mit einer Windows Reparatur versuchen?

Danke für Ihre Mühe!

Gruß Undine

Hast Du das zuletzt verwendet mal über die Einstellungen geleert? Füllt es sich dann wieder?

GMX sagen, dass das Senden über WIndows Mail mit Fehlermeldung XY nicht funktioniert. Mal sehen was als Antwort kommt. Mehr würde ich jetzt auch nicht machen.

Danke schon Mal!

Ich musste erst einmal suchen, was Sie mit "über Einstellungen" meinen.
Nachdem ich dann den "Recent"-Ordner gefunden und alle Dateien darin gelöscht hatte, funktioniert die "zuletzt Verwendet" Funktion tatsächlich wieder ohne Probleme und ohne überzählige (1), (2), (3), (4), (5) ... auf so eine Idee wäre ich nie gekommen.

Da bin ich sehr erleichtert! :Boogie:

Um Windows Mail habe ich mich heute nicht gekümmert ... kommt morgen oder übermorgen dran, hoffentlich ...

Wie bekomme ich GMER gelöscht? Einfach mit Rechtsklick und dann auf "löschen"?

Gruß Undine

Einfach löschen, ja :)