Trojaner-Board - Malware gefunden und Logdateien gespeichert zum Auswerten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Malware gefunden und Logdateien gespeichert zum Auswerten (https://www.trojaner-board.de/182137-malware-gefunden-logdateien-gespeichert-auswerten.html)

Malware gefunden und Logdateien gespeichert zum Auswerten

Hallo!!!
Alles fing diese Woche an, als ich mir den youtube-converter über chip.de herunterladen wollte. Seitdem funktioniert u.a. mein Task-Manager nicht mehr und bringt folgende Meldung:

"Fehler beim Anzeigen der Sicherheits- und Herunterfahroption" plus Text

Daraufhin habe ich meinen Laptop HPProBook4730s (Betriebssystem Win 10, welches ich bescheuert finde) auf Malware untersucht, indem ich mir ein entsprechendes Programm herunterlud und auch so hier zum Forum gekommen bin. Es wurden u.a. 3 Trojaner gefunden und ich habe sie in Quarantände gesetzt. Mehr tat ich nicht. Nach dem Neustart konnte ich bzgl. des Task Managers keine Problembehebung feststellen.
Ich denke, man müsste nun weitere Schritte einleiten.

Beim Starten meines Laptops bringt er seit langem außerdem noch eine Meldung bzgl. einer RunDLL...

Muss ich die Logdatei nun hier posten?

Gruß
Michaela

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

Bitte arbeite alle Schritte der Reihe nach ab.
Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
Poste die Logfiles direkt in Deinen Thread in Code-Tags.
Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://deeprybka.trojaner-board.de/tdss/codetags.gif

Hallo!!

Vielen lieben Dank für die Rückmeldung!

Aber es wird gemeldet, dass es zu viele Zeichen sind zum Posten.... ;-(

Dann bitte hier pasten und Link posten.

Pastebin.com - #1 paste tool since 2002!

hxxp://pastebin.com/z7W8xpm3

hxxp://pastebin.com/2XNipfNY

Ich hoffe, das ist richtig so .... :confused:

Schritt 1

Bitte deinstalliere folgende Programme:

ByteFence Anti-Malware

Versuche es bei Windows 10 http://deeprybka.trojaner-board.de/b...ne/revo/w8.png mit der Windowstaste + X über http://deeprybka.trojaner-board.de/b...revo/pwin8.PNG.

Sollte das nicht gehen, lade Dir bitte Revo Uninstallerhttp://deeprybka.trojaner-board.de/b...ninstaller.png hier herunter. Entpacke die zip-Datei auf den Desktop. Anleitung

Starte die Revouninstaller.exe http://deeprybka.trojaner-board.de/b...o/revoport.PNG
Klicke auf Optionen und wähle als Sprache Deutsch.
Suche im Uninstallerfeld nach den oben angegebenen Programmen und wähle sie einzeln aus.
Klicke jedes Mal auf Uninstall.
Wähle anschließend den Modus "Moderat" aus.
http://deeprybka.trojaner-board.de/b.../uninstall.PNG http://deeprybka.trojaner-board.de/b...o/moderat2.PNG
Reste löschen:
Klicke auf http://deeprybka.trojaner-board.de/b.../selectall.PNG dann auf http://deeprybka.trojaner-board.de/b...evo/delete.PNG und dann auf http://deeprybka.trojaner-board.de/b...evo/weiter.PNG.

Wenn Du ein Programm nicht deinstallieren kannst, mach mit dem nächsten weiter.
Auch wenn am Ende noch Programme übrig geblieben sind, führe den nächsten Schritt aus:

Schritt 2

Downloade Dir bitte http://deeprybka.trojaner-board.de/adwcleaner/adwc.pngAdwCleaner auf Deinen Desktop.

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Werkzeuge > Optionen und vergewissere Dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel
- "Prefetch" Dateien
- Proxy
- Winsock
- Internet Explorer Richtlinien
- Chrome Richtlinien
Bestätige die Auswahl mit Ok.
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit Deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

http://deeprybka.trojaner-board.de/m...mbamlogo4a.png http://deeprybka.trojaner-board.de/m...mbamlogo4b.png

Download und Anleitung
Starte Malwarebytes' Anti-Malware (MBAM).
Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass Deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Antwort auf Schritt 2

AdwCleaner Logfile:

Code:

# AdwCleaner v6.020 - Bericht erstellt am 06/10/2016 um 12:48:52

# Aktualisiert am 14/09/2016 von ToolsLib

# Datenbank : 2016-10-06.1 [Server]

# Betriebssystem : Windows 10 Home  (X64)

# Benutzername : Michaela - MICHAELA-PC

# Gestartet von : C:\Users\Michaela\Desktop\AdwCleaner_6.020.exe

# Modus: Löschen

# Unterstützung : https://toolslib.net/forum
 
 
 

***** [ Dienste ] *****
 
 
 

***** [ Ordner ] *****
 

[-] Ordner gelöscht: C:\Users\Michaela\AppData\Roaming\Babylon

[-] Ordner gelöscht: C:\Users\Michaela\AppData\Roaming\PerformerSoft

[-] Ordner gelöscht: C:\Program Files\ByteFence

[-] Ordner gelöscht: C:\ProgramData\Babylon

[#] Ordner mit Neustart gelöscht: C:\ProgramData\Application Data\Babylon
 
 

***** [ Dateien ] *****
 

[-] Datei gelöscht: C:\Users\Michaela\AppData\Roaming\Mozilla\Firefox\Profiles\g12e4gh8.default\invalidprefs.js
 
 

***** [ DLL ] *****
 
 
 

***** [ WMI ] *****
 
 
 

***** [ Verknüpfungen ] *****
 
 
 

***** [ Aufgabenplanung ] *****
 
 
 

***** [ Registrierungsdatenbank ] *****
 

[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Prod.cap

[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\Prod.cap

[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{00B11DA2-75ED-4364-ABA5-9A95B1F5E946}

[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}

[-] Schlüssel gelöscht: HKU\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\BABSOLUTION

[-] Schlüssel gelöscht: HKU\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\AppDataLow\Software\BackgroundContainer

[-] Schlüssel gelöscht: HKU\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\AppDataLow\Software\lyrixeeker

[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\SweetIM

[#] Schlüssel mit Neustart gelöscht: HKCU\Software\BABSOLUTION

[#] Schlüssel mit Neustart gelöscht: HKCU\Software\AppDataLow\Software\BackgroundContainer

[#] Schlüssel mit Neustart gelöscht: HKCU\Software\AppDataLow\Software\lyrixeeker

[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\SweetIM

[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\BABSOLUTION

[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\AppDataLow\Software\BackgroundContainer

[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\AppDataLow\Software\lyrixeeker

[-] Daten  wiederhergestellt: HKU\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\Microsoft\Internet Explorer\Main [Search Page] 

[-] Daten  wiederhergestellt: HKU\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] 

[-] Daten  wiederhergestellt: HKU\S-1-5-21-2390953487-1256651616-3921167675-1000\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] 

[-] Daten  wiederhergestellt: HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] 

[-] Daten  wiederhergestellt: HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] 

[-] Daten  wiederhergestellt: HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] 

[-] Daten  wiederhergestellt: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] 

[-] Daten  wiederhergestellt: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] 

[-] Daten  wiederhergestellt: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] 

[-] Daten  wiederhergestellt: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] 

[-] Daten  wiederhergestellt: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] 

[-] Daten  wiederhergestellt: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] 
 
 

***** [ Browser ] *****
 

[-] Firefox Einstellungen bereinigt: "browser.search.defaultenginename" -  "Yahoo! Powered"

[-] Firefox Einstellungen bereinigt: "browser.search.selectedEngine" -  "Yahoo! Powered"
 
 

*************************
 

:: "Tracing" Schlüssel gelöscht

:: Winsock Einstellungen zurückgesetzt

:: "Prefetch" Dateien gelöscht

:: Proxy Einstellungen zurückgesetzt

:: Internet Explorer Richtlinien gelöscht

:: Chrome Richtlinien gelöscht
 

*************************
 

C:\AdwCleaner\AdwCleaner[C0].txt - [4375 Bytes] - [06/10/2016 12:48:52]

C:\AdwCleaner\AdwCleaner[S0].txt - [5053 Bytes] - [06/10/2016 12:48:15]
 

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [4521 Bytes] ##########

--- --- ---

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 06.10.2016
Suchlaufzeit: 12:59
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.2.1.1043
Malware-Datenbank: v2016.10.06.05
Rootkit-Datenbank: v2016.09.26.02
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: Michaela

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 332633
Abgelaufene Zeit: 36 Min., 7 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)

(end)

Ich weiß nicht, wann ich heute oder morgen Zeit finde, wieder am PC zu sein.. Aber bis jetzt schon einmal vielen Dank... Ich bleibe am Ball ;-)

Bitte frische Logs:

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Diesen Schritt verstehe ich nicht :confused::confused::confused:

FRST ist doch eine Textdatei..da kann ich nicht auf untersuchen klicken?

Ich stehe echt auf dem Schlauch, tut mir leid.. Ich weiß grad gar net, was ich tun soll..:eek:

Na das FRST-Tool starten und einen neuen Scan machen. Wie oben beschrieben.

Possible Spam Detected

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: - Pastebin.com

Oh nein ...

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 04-10- - Pastebin.com

hxxp://pastebin.com/atGPH5MN

hxxp://pastebin.com/W9c6vWWV

Jetzt aber ... :stirn:

Übrigens bringt mein Laptop die Fehlermeldeung bzgl. Run.DLL nicht mehr ;-)
:lach::lach::lach::lach:

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Oh...ist er wieder befreit von dem Trojaner??

Ich danke recht herzlich!!! Ein tolles Forum!!!

Kann ich mir nun den youtube-converter wieder downloaden?
Und welche Möglichkeiten habe ich, wenn Win10 nicht richtig funktioniert? So z.B., wenn ich auf den Start-Button klicke - das Fenster, welches sich dann öffnet, ist nicht so, wie es anfangs, als ich Win10 installierte, es ist nun einfach nur grau- so, wie bei einem "alten" Programm. Ich hatte Win10 installiert, als es noch kostenlos war und dann gelesen, dass es einige damit gibt...?!

Muss ich diese Logdateien nun einfach wieder vom Desktop löschen?

Und welches Programm lasse ich am besten mal über meinen Laptop laufen, damit er optimal (?) geschützt ist?