Avast Bedrohungsmeldung - Objekt: http://047.088.216.068:8888/test.dat
 

Hallo,

seit Tagen erhalte ich vom Avast-Virenwächter Bedrohungsmeldungen folgender Art auf meinen privaten Rechner zu Hause:

Bedrohung blockiert
Objekt: hxxp://47.88.216.688888/test.dat

Die folgenden Meldungen habe ich bereits erhalten:

30.04.2017 08:58 Objekt: hxxp://047.088.216.068:8888/test.dat
30.04.2017 17:12 Objekt: hxxp://047.088.216.068:8888/test.dat
30.04.2017 17:31 Objekt: hxxp://047.088.216.068:8888/test.dat
30.04.2017 17:33 Objekt: E:\_Down\test.dat.part
01.05.2017 01:35 Objekt: hxxp://047.088.216.068:8888/test.dat
01.05.2017 17:40 Objekt: hxxp://047.088.216.068:8888/test.dat
01.05.2017 20:40 Objekt: hxxp://047.088.216.068:8888/test.dat
01.05.2017 23:40 Objekt: hxxp://047.088.216.068:8888/test.dat
02.05.2017 02:39 Objekt: hxxp://047.088.216.068:8888/test.dat
02.05.2017 14:40 Objekt: hxxp://047.088.216.068:8888/test.dat
02.05.2017 17:41 Objekt: hxxp://047.088.216.068:8888/test.dat
04.05.2017 08:40 Objekt: hxxp://047.088.216.068:8888/test.dat
04.05.2017 17:40 Objekt: hxxp://047.088.216.068:8888/test.dat
04.05.2017 23:40 Objekt: hxxp://047.088.216.068:8888/test.dat

Wenn ich den Internetzugang blockiere, erhalte ich keine Meldungen. Auffallend sind die Zeiten, zu denen diese Meldungen aufpoppen.

Was kann ich hier tun? Ich weiß ja nicht einmal, wo und wie ich die Schadsoftware suchen soll.

Ein Fullscan mit Malwarebytes hat erbracht, daß keine Bedrohung gefunden wurde. Was in der Test.dat drinsteht, weiß ich nicht, vermute aber Windows-Script.

Die IP-Nummer wird von einigen Webseiten in Kanada lokalisiert, einige andere meinen, sie käme aus China. Keine Ahnung, was zutrifft. Ich vermute, irgend eine Schadsoftware versucht, diese Datei test.dat herunterzuladen und auszuführen. Ergo hätte ich bereits einen Virus auf dem Rechner.

Im Entwicklerforum (bin Delphi-Programmierer) hat man mich auf eine gewisse ser.exe hingewiesen:

hxxp://www.2-spyware.com/file-ser-exe.html

Die Empfehlungen vor dem Posten einer Hilfe-Anfrage habe ich gelesen und ausgeführt. Dabei bin ich auf das Userprofil UpdatusUser gestoßen, das mir zuvor unbekannt war und das auch nicht in der Liste der Profile auftaucht (Systemsteuerung -> Benutzerkonten -> anderes Konto verwalten). Dieses Konto wurde am 27.12.2016 angelegt, aber nicht von mir.

Da die Logdateien zu groß sind, versuche ich, sie in zwei anschliessenden Beiträgen zu posten.

Ich hoffe, es kann mir jemand weiterhelfen.

Gruß aus Dublin

FRST.txt

Addition.txt
 

Addition.txt

Vergessen hatte ich zu erwähnen, dass Avast diesen Virus identifiziert haben will:

Win32:Rootkit-gen [Rtk]
Prozess: C:\Windows\System32\wbem\scrons.exe

Ergänzung: Habe heute vor Mitternacht noch einmal einen Malwarebyte-Scan durchgeführt und bin dann erstmal schlafen gegangen. Nach knapp drei Stunden war ich aber wieder wach und habe nachgesehen: Malwarebytes hat folgende Dateien als Bedrohung identifiziert und in Quarantäne verschoben:

hi,

ist das ein gewerblich genutztes System?


Falls ja: Bitte zuerst mal die Regeln bzgl gewerblich genutzter Rechner lesen --> http://www.trojaner-board.de/108422-...-anfragen.html

Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".

Hallo,

ich habe die Regeln gelesen. Mein Computer wird hauptsächlich privat genutzt. Ab und zu, wenn ich mal einen Auftrag erhalte, nutze ich ihn natürlich auch dafür, denn ich habe keinen anderen Rechner. Derzeit habe ich keinen Auftrag, sondern programmiere wie meistens für mich privat an einem meiner privaten Projekte. Ich lebe von Hartz-IV, also in Armut, bin 57 Jahre, finde natürlich keinen Job mehr und kann mir deshalb auch keine Hilfe leisten, die was kostet. Muß ich jetzt meinen letzten Hartz-IV-Bescheid hier posten? Ich kriege knapp 800,- Euro, wovon nach Abzug aller Fixkosten fast 200,- Euro übrigbleiben, von denen ich leben muß. Ich leide sehr unter dieser Armut, aber noch mehr darunter, als Untermensch, unwürdiger Mensch, ja sogar als vernichtenswerter Schmarotzer behandelt zu werden. Leider kann ich nicht, wie hier in diesem Fall auch, alle Kontakte vermeiden, die zu solchen Behandlungen führen. Ich weiß hier nicht weiter, werde aber darauf hingewiesen, daß ich erstmal Bakshish abdrücken soll, bevor mir geholfen wird?

Irgendwelche privaten Daten konnte ich in keinem der Logfiles finden.

Soeben habe ich wieder eine Blockade-Meldung von Avast erhalten, die nicht mal in die Benachrichtigungsliste eingetragen wurde. Wenn ich Windows hochfahre, sind bei Avast nicht alle Module aktiviert, das war vorher anders, da war Avast immer gleich im vollen Schutzmodus. Ich kann mir leider auch keinen "vernünftigen" Virenschutz leisten.

Ich hab inzwischen einen weiteren Scanner (da gibts doch noch was von Malwarebytes) laufen lassen, der ebenfalls nichts gefunden hat.

Wenn ihr mir nicht helfen wollt, dann sagt es soch einfach frei heraus, dann such ich eben anderswo nach Hilfe.

Wieso kannst du den Text nicht einfach richtig lesen?

NIRGENDS steht, dass wir nicht helfen wollen. Und es wurde extra betont, dass wir helfen wenn jmd keinen eigenen IT Support hat weil sich das nicht lohnt oder weil er kein Geld dafür hat oder warum auch immer.

Steht da irgendwo, dass du hier uns über deine monatlichen Einkünfte informieren musst? Nein? Warum also postest du so einen Unsinn?! :wtf:

Das was mir besonders wichtig ist habe ich deutlich noch mal farblich hervorgehoben. Ich hoffe zumindest das wurde richtig gelesen und verstanden. :kaffee:

Sorry, wenn ich etwas überreagiere, aber ich bin voll genervt und habe Angst, daß mein System zusammenbricht oder irreparabel beschädigt wird. Angst begleitet mein Leben seit vielen Jahren, Angst vor dem Jobcenter, Angst vor den Mitmenschen. Vor einigen Jahren wurde ich sogar verprügelt, nur weil einer zu seinen Kumpels gemeint hat, "wir sollten mal wieder ein paar Hartzer klatschen". Man sieht mir meine Armut an, ich bin seit vielen Jahren arm und werde das wohl auch im Alter bleiben. Verzweifelt versuche ich immer wieder, irgend was dazuzuverdienen, um zumindest mal einen Staubsauger oder eine Waschmaschine kaufen zu können. Meist langt es gerade dafür, die verschlissene Kleidung ersetzen zu können und ein paar Sachen, die man ständig braucht, auf Vorrat zu kaufen. Das Geld reicht nie wür die tatsächlichen Bedürfnisse. Mit der Zeit wird man da überempfindlich, man kann gar nicht mehr "normal" sein, was immer normal auch sei.

Nur weil ich ein bissel was dazuverdiene, bin ich natürlich gewerblich, aber ich hab trotzdem kein Geld und lebe von der Hand in den Mund, kaufe gebrauchte Klamotten, frequentiere die Tafeln usw. Oft hab ich nichtmal einen eigenen Internetanschluß, weil ich nicht zahlen kann, und muß dann den von meiner Nachbarin nutzen, die sowieso den ganzen Tag auf Arbeit ist.

Kurzum, und sorry, aber ich bin längst emotional geschädigt, sozialphobisch, ein gestörter Mensch, der systematisch kaputtgemacht wurde von den deutschen Hartz-Gesetzen und den medial aufgehetzten Mitmenschen. Ich kann nicht anders.

Es ist hier offenbar wie überall, man muß sich, um überhaupt Hilfe bekommen zu dürfen, erst vollständig entkleiden und zeigen, daß man eine arme Haut ist. Und selbst dann wird einem oft nicht geglaubt, die Bettler in den Straßen sind ja auch alle professionell organisiert bei der rumänischen Bettlermafia, sagen die Leute.

Ich weiß jetzt noch immer nicht, ob mir hier jemand helfen kann und will. Sicher muß ich noch weitere Erklärungen schreiben, und damit mich weiter entblößen und am Ende mache ich mich durch meine direkte Art unbeliebt und fliege aus dem Forum. Das ist mir schon öfter passiert.

Dass du arm bist tut mir Leid hat aber nix mit deinem Computerproblem direkt zu tun!
Also komm nicht von hundertsten ins tausendste und dichte in Hinweisen und Regeln nicht irgendeinen Unsinn rein; niemand fordert hier eine "Entkleidung" :balla:

Es ist doch ganz einfach: wir sehen hier einen neuen Thread. Und nun stell dir mal vor, wir können nicht sehen, ob hinter dem Hilfesuchenden ein Angestellter, ein Chef, ein Selbständiger oder sonstwer steckt, ich sehe nur bestimmte Programminstallationen oder Konfigs die ein Indiz für gewerbliche Nutzung sein können. Und dann gibt es eben den entsprechenden Hinweis v.a. dass wir eben hinter keine kompletten Logfiles löschen!

Ein einfaches "ja ich hab die Hinweise gelesen und weiß nun, dass ihr keine kompletten Logfiles löscht" hätte gereicht, deine Lebensgeschichte ist hier völlig unnötig.

Und wie geht's jetzt weiter? Geht's irgendwie weiter? Wie gesagt, ich leide (u.a.) unter Zwangshandlungen, ich kann nicht anders als meiner lange angestauten Empörung Luft zu machen. Ich entschuldige mich dafür, wenn ich dir Unrecht getan habe, aber mir wird ständig Unrecht getan. Müssen wir das jetzt ausdiskutieren oder darf ich dann doch irgendwann auf Hilfe hoffen? Du könntest doch auch einfach schreiben, meine Befürchtungen treffen nicht zu, du bist keiner von denen, die auf andere herabsehen, nur weil sie arm sind und in Not leben. Da könnte ja jeder kommen und sagen, er habe kein Geld, nur damit er was umsonst kriegt. Da gibts bei den Tafeln auch welche, die kriegen trotzdem was, es ist immer genug da.

Wie gesagt, ich gestehe freimütig: ich bin ein emotional gestörter Mensch, also ein emotionales Wrack, und das ist nicht verwunderlich. Aber eigentlich bin ich hier nicht reingeschneit, um das zu thematisieren, ich wollte eigentlich nur um Hilfe bei meinem Virusproblem bitten.

Danke.

:wtf: :wtf: :wtf:

Sag doch einfach klar und deutlich, dass du meine Hinweise gelesen und verstanden hast :kaffee: (es werden keine Logfiles im Nachhinein gelöscht)

Ich sage klar und deutlich: Ich habe mehrfach gelesen, daß keine Logfiles im Nachhinein gelöscht werden ... was immer das auch bedeutet. Vermutlich bewahrt ihr die Logfiles auf, wozu auch immer. Oder meinst du damit die Logfiles, die ich hier gepostet habe, werden nicht aus der Forendatenbank gelöscht? Ja und, das ist mir völlig egal, ob ihr da was löscht oder nicht, auch wenn ich glaube, das nicht ganz richtig verstanden zu haben. Aber egal, ich brauche Hinweise, wie ich diesen Trojaner entfernen kann, der zum Glück noch immer von Avast in Schach gehalten wird. Leider kann ich der Empfehlung, den Rechner bis zur Bereinigung nicht mehr zu verwenden, nicht nachkommen, denn ich habe nur diesen einen Rechner und kenne auch niemanden, der mich die nächsten Tage ständig an seinen Rechner läßt. Geld für Internetcafé hab ich im Moment leider auch keines.

Danke.

Nachtrag

Mit einer als Admin ausgeführten Konsole konnte ich soeben die verantwortliche Datei C:\Windows\System32\wbem\scrcons.exe in einen gesonderten Ordner kopieren. Im Explorer wie auch im FreeCommander ist diese Datei nicht sichtbar, wenn sie sich in wbem befindet, im gesonderten Ordner dagegen schon. Ein Scan dieser Datei bei VirusTotal hat keine Verseuchung gezeigt:

https://www.virustotal.com/de/file/60c1258ef64fdcd0bcc1f87679935d1199e085663bcb17c14ea1c65a07a8c3db/analysis/1494082794/

Das ist dann wohl die Original-Windows-Datei. Da wird dann offenbar eine verseuchte scrcons.exe drüberkopiert? Von wem? Ich hab keinen Durchblick hier.

http://www.delphiman.de/BIN/C-WINDOW...em.scrcons.jpg

Gut, dann können wir ja endlich anfangen :rofl:

Bitte Avast deinstallieren. Am besten mit Revo, siehe weiter unten.
Das Teil können wir einfach nicht mehr guten Gewissens empfehlen. => Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog
Auch andere Freewareanbieter wie Avira, AVG oder Panda springen auf diesen oder ähnlichen Zügen rauf, basteln Junkware in die Setups, arbeiten mit ASK zusammen etc; so was ist bei Sicherheitssoftware einfach inakzeptabel.



Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  
  (alles von Avast)
  
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Gib Bescheid wenn Avast weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

Avast ist jetzt weg. Muß ich jetzt erstmal neu starten, weil Revo Uninstaller nicht alle Avast-Dateien und -Verzeichnisse löschen konnte?

Und wie ist das jetzt mit der Bedrohung? Wenn Avast weg ist, kann doch die Schadsoftware ungehindert die Test.dat herunterladen, oder?

Ich sehe hier im Verbindungsmonitor ständig die Adresse cloudfront.net, seit ich Avast deinstalliert habe.

Und die rundll.exe ruft dauernd worra.com:80 auf.

... mbar.exe scannt die Systemplatte ...

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Mbar ist fertig und hat folgendes Logfile hinterlassen:

Der Rechner wurde neu gebootet und, weil ich vor ein paar Tagen Malwarebytes installiert habe, diese ebenfalls gestartet. Seit dem Beginn der Unterstützung durchs Trojanerboard hab ich nichts weiter installiert und während des MBar-Scans auch alle anderen Programme beendet.

Ich warte jetzt auf neue Anweisungen.

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!



1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass adwCleaner so eingestellt wie auf diesem Screenshot zu sehen:
  
  http://saved.im/mtg4nzk1egdo/malware...r-settings.png
  
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.