DHL .pdf-Anhang geöffnet > Trojaner Win32/peals.F!plock gefangen?
 

Hallo,
beim Online-Banking sollte ich zu allererst eine Überweigsung von ca. 2.160 EUR an einen mir Unbekannten erledigen, weil ich eine unberechtigte Gutschrift erhalten habe.
Diese Nachricht öffnete sich, als ich bereits eingeoggt war.
Nach dem sofortigen telefonischen Kontak mit der Bank meinte man dort, es sei ein Trojaner,
weil zwar auf meinem Monitor diese falsche Gutschift habe, beim Kontrollmonitor auf der Bank jedoch kein Zahlungseingang zu erkennen ist.
Mein Konto hat die Mitarbeiterin der Bank vorläufig gesperrt.
Hier liegt vor:
a) Word Dokument mit BildschirmKopien mit den Ergebniss von MS-Security-Essentials
b) FRST.txt und Addition.txt
c) GMER.log
d) CD-Emulatoren keine auf dem PC, daher kein Defogger-Log

Erbitte Hilfestellung bei Beseitigung
Danke

PS.
Das Anklicken von "#" ergibt nur den Text ""
Vielleicht aber so:

> FRST.txt TEIL 1

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

>> FRST.txt Teil 2 und GMER.log

Hallo Jürgen,
Danke, nicht schwer zu erkennen, ich bin Andreas,
schon etwas älteres Semester, aber nicht ganz
"PC-unfähig"

:o) andreas

So, nun noch Addition.txt:

Kannst Du das bitte auch hochladen. Danke

www.filedropper.com

Link dann hier posten.

Das Word Dokument mit den Bildschirm-Kopien kann ich hier nicht einfügen.

Microsoft Security Essentials meldet also unter
"Alle erkannten Elemente" :

a) Trojan:Win32/Emotet.G >schwerwiegend >29.05.2015 >10:22 < Unter Quarantäne
b) Trojan:Win32/Peals.F!plock >schwerwiegend >29.05.2015 >14:14 < Unter Quarantäne
c) Trojan:Win32/Peals.F!plock >schwerwiegend >29.05.2015 >14:15 < Unter Quarantäne
d) Trojan:Win32/Emotet.G >schwerwiegend >29.05.2015 >14:15 < Unter Quarantäne

Ja, deswegen ja der Link zu filedropper. Aber wenn da auch nichts anderes steht, dann brauchst das nicht machen.

Die richtige ist hier:

[Link entfernt]

Entferne den Link in Deiner Antwort.

Super!

Wir fangen jetzt an:

Schritt 1
http://deeprybka.trojaner-board.de/b...s/combofix.pngScan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Zwischenzeitlich noch eine neue Meldung von MS-Security-Essentials:
hxxp://www.filedropper.com/nochwasneues

hier der Combofix.log (ein Bewegen der Maus war nicht zu vermeiden!!):

Jetzt bitte so weitermachen:

Schritt 1

http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png

• Download und Anleitung
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Das ist nicht das richtige Log. :)

Malwarebytes Anti-Malware Logfile finden - Anleitungen

P.S. Ich habe Dir eine private Nachricht geschrieben.

Here we go:

Malwarebytes - Log

Ergänzung:
die Datei "Unlocker1.9.2.exe" kommt aus einem virengeprüften(??)
Download von www.Chip.de

Gruß
(o: andreas

Mein Smily wird immer verändert!

Hier mal was zum Lesen:

CHIP-Installer - was ist das? - Anleitungen

Jetzt bitte einen Suchscan mit ESET ausführen:

Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Jürgen,
der Scan mit Eset läuft jetzt seit mehr als einer Stunde.
Es sind aber lt. Fortschrittsbalken nocht nicht einmal 20% gescannt.
Ich lass Eset jetzt laufen. Ich denke, wir machen dann morgen weiter.

Bis denne
Gruß (o: andreas

Ja, der dauert lange. Gute Nacht. :)

Guten Tag Jürgen,
weiter unten nun der ESET-Log.
Nach dem sehr interessanten Lesestoff aus Deinem Post (> #15) ein Hinweis:
Jetzt ist auf C: nur (noch) ein CHIP-Installer.exe.
Die andern gefundenen "evtl. unerwünschten Anwendungen" sind nur auf Laufwerken, die nicht regelmäßig gebraucht werden.
Ich denke, diese Sortware wir nur aktiv, wenn man sie ausführt.
Die Dateinen auf E, F und I mit gefundenen Trojaner/Viren werde ich löschen.
So sieht eine Platte aus, wenn man häufig alles mögliche runterlädt, auch wenn man es eigentlich nicht braucht. Ich streue Asche auf mein Haupt!

Vor allen weiteren warte ich aber Deine Anweisung ab.

Ja, aktive Malware wurde keine gefunden. Schauen wir uns noch ein frisches FRST an:

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte starte FRST erneut, und drücke auf Scan.
Bitte poste mir den Inhalt des Logs.

FRST - Log >> Teil 1

FRST - Log >> Teil 2

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...st/frstfix.png

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

• Starte FRST und drücke auf den Fix-Button.
• Das Tool erstellt eine "Fixlog.txt" -Datei.
• Das Log brauchst Du nicht posten.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/ESS.png
ESET Smart Security

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Vielen Dank für Alles.
Eine Abschließende Frage noch:
beim Uninstall mit "DelFix" ist eine Registry-Sicherung möglich.
Diese habe ich auch aktiviert.
Kann jedoch leider nicht erkennen,
unter welchem Namen und wo diese Sicherung gespeichert wurde.

Gruß
(o: andreas

C:\Windows\ERUNT\DelFix