Trojaner Trj/GdSda.A detektiert. Grund für Infektion?
 

Sehr geehrte Damen und Herren,
am 16.12.2018 hat mein Viren-Programm "Panda-Security" einen Trojaner (Trj/GdSda.A) entdeckt. Ich habe aber erst durch Zufall vor ein paar Stunden mitbekommen, dass mein PC scheinbar von einem Trojaner infiziert wurde. Ich hatte lediglich am Sonntagabend festgestellt, dass der CHIP-Installer nicht mehr funktioniert, da laut Fehlermelung:
Ein anderes Program auf dmr_72.exe zugreift.
Ich habe mal einen Ereignisbericht von Panda-Security angehängt. Dort wird das erste Mal um 20:57 Uhr der Trojaner gelöscht. Zu diesem Zeitpunkt habe ich mit relativ großer Sicherheit versucht den CHIP-Installer auszuführen. Einen Screenshot zu meinem Browserverlauf zu diesem Zeitpunkt habe ich angehängt.
In dem Ereignisbericht erscheint immer diese Meldung, dass der Trojaner gelöscht wurde, wenn ich scheinbar versucht habe den CHIP-Installer zu verwenden. Dann kam halt auch immer der Fehler, sodass ich den Installer nicht starten konnte.
Jetzt habe ich mich natürlich schon informiert, wie gefährlich ein solcher Trojaner ist (Quelle: https://www.enigmasoftware.com/trjgdsdaa-removal/). Ich bin zum Entschluss gekommen, dass mir meine Bankdaten mehr wert sind, als das ich mich jetzt zurücklehnen könnte. Deshalb hier meine Fragen:

• Ist der Trojaner jetzt wirklich gelöscht? Immerhin wurde der ja laut Panda-Security mehrfach hintereinander gelöscht worden sein.
  Was muss ich machen, damit der Trojaner komplett von meinem System verschwindet?
  Wie kann der Trojaner auf meinen Laptop (Samsung Ativ Book 8) gelangen?

Laut enigmasoftware sei dies nur möglich, wenn jmd. sich physisch zu meinem PC einen Zugang verschafft hat. Nun studiere ich, aber meinen PC lasse ich nie aus den Augen.
Ich habe lediglich einmal einen fremden USB-Stick in meinen PC gesteckt, allerdings hatte ich da das USB-Stick-Schutz-Virenscan-Teil von Panda-Security verwendet. Der meinte, dass der Stick ok sei. Meinen eigenen USB Stick habe ich in Uni PCs verwendet um meine Dateien auf diese Uni-PCs zu übertragen. Allerdings habe ich da dann nicht diesen USB-Prüfscan durchgeführt, sobald ich meinen Stick in meinen PC gesteckt habe.
Und seit wann ist der Trojaner auf meinem PC? Kann ich das irgendwie herausfinden?

Leider weiß ich welche Informationen Sie für eine kleine Analyse benötigen. Schreiben Sie mir deshalb ruhig, falls noch was fehlt.

Mit freundlichen Grüßen
DezzardHD

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.





Ein paar Informationen gleich vorneweg:
Leider liegt "Panda" da falsch. Es handelt sich nicht um Trojaner, sondern um unerwünschte Software (PUP).

Von Enigma Software oder deren Seiten raten wir generell ab, weil dort oft harmlose Software bzw. Software, die man lediglich als PUP bezeichnen könnte, anders klassifiziert wird. Zudem halte ich persönlich nicht viel von Enigma. Deren Software wird teilweise selbst als PUP erkannt.


Der Grund für die Infektion ist doch ganz einach:
Du lädst dir Software von Chip.de mit dem sog. Chip-Installer herunter. Mit dem Chip-Installer kommt Junkware, unerwünschte Software (PUP), etc. auf den Rechner. Lass die Finger von Chip. Hat es sich noch nicht herumgesprochen, dass man Software beim Hersteller direkt lädt?







Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?








Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

War Panda nicht auch im Bunde der Betrüger, die Virenscanner mit Junkware also mit malware ausgeliefert haben?

Ja ich meine, da war mal was... :rolleyes:

Protokolle erstellt.
 

Danke sehr für die schnelle Rückmeldung!
Ich habe die entsprechenden Protokolle als .txt angehängt.
Ich hatte eigentlich nie Probleme mit diesem Chip-Installer. Man muss halt nur diese ganzen Malware Sachen enthacken, bzw. nicht anhacken. Warum sollte zudem Malware auf meinem Rechner installiert werden von diesem Installer, wenn der Installer danach nicht mehr funktioniert um möglicherweise weitere Schadsoftware bei mir zu installieren.
Und zu dem Panda-AV-Programm kann ich nichts weiter sagen. Im Regelfall nutze ich eigentlich nur Windows Defender und lasse alle paar Monate mal mit diversen Programmen einen Scan durchlaufen. Da taucht dann auch eigentlich nie etwas auf. Ist jetzt das erste Mal gewesen :headbang:
Mal schauen was ihr herausfinden könnt.
Wie kommt es eigentlich, dass ihr dass scheinbar freiwillig ohne jegliche Bezahlung machen wollt. Habt ihr so gute Unterstützung? Also das ist doch alles zeitaufwändig... gewissermaßen...

Was heißt "scheinbar" freiwillig? :D Wir machen das freiwillig... ;)
Ich helfe einfach gerne Menschen, die Probleme mit Malware haben. :)




Was kannst du mir zu diesem Proxy sagen? Woher kommt der?








Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Firewall wiederherstellen
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware.

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die zwei neuen Logdateien von FRST.

Ergebnisse
 

Das finde ich ziemlich nice, dass ihr den ganzen Spaß freiwillig betreibt!
Die gewünschten Dateien habe ich angehängt.

Zu der genannten Proxy Adresse kann ich rein gar nichts sagen. Noch nie gesehen, allerdings weiß ich auch nur so halb, was es mit Proxy auf sich hat.

Ich bin mal gespannt was Sie herausbekommen. :confused:

Servus,



zuerst solltest du dich zukünftig fern von Chip.de und vlc.de halten, da du darüber nur unerwünschte Software (PUP) und Adware auf den Rechner bekommst:











So geht es weiter:


Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|chip 1-click installer.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|CHIP Active Download.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|CHIP Starter.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|CHIP Updater.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|SplashForm.exe
Toolbar: HKU\S-1-5-21-426820476-3421194746-223795923-1001 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Windows\System32\ [] ()
S4 3964R; 0x5C00 [X]
Task: {1AFF4E22-8C8D-46C2-9873-C5D67916D788} - kein Dateipfad
Task: {350D3F70-4EA9-4FBA-B21C-8735CA9571ED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {451EC0D1-03F7-4C82-8ED8-453280A84C2D} - System32\Tasks\Driver Booster SkipUAC (DezzardHD) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
C:\Program Files (x86)\IObit
Task: {6ADA92F5-45E8-41F5-83DD-610CC18CF0BC} - kein Dateipfad
Task: {6EAAF7A1-1634-4027-AB73-6F82F95AA522} - System32\Tasks\{4435A0AA-EFC5-4BF6-B510-EE64587A67D3} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\DezzardHD\Desktop\uninstall.exe -c "/U:C:\Users\DezzardHD\Desktop\Uninstall\uninstall.xml"
Task: {6F265FEF-BB5D-45E7-8460-9E395D19BCE8} - kein Dateipfad
Task: {81132DD5-937F-4ED2-9E5A-13F2939085F6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {97E99456-F872-4C36-BFCF-CBE5F80BEECF} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Keine Datei <==== ACHTUNG
Task: {A13055A9-483D-46F7-8457-58CA2B353CDB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {A286CCFC-73D8-4EC4-A42F-D3234D7F378E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {FE51C145-742C-49AE-A3C9-180B5BCC316D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
ProxyServer: [S-1-5-21-426820476-3421194746-223795923-1001] => 64.188.212.9:10200
GroupPolicy: Beschränkung ? <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
GroupPolicyScripts: Beschränkung <==== ACHTUNG
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  wmiaprpl.dll;msdtcuiu.DLL;Secur32.dll;esentprf.dll

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei des FRST-Suchlaufs (Search.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Und hier die nächsten Dateien.
Lässt sich denn jetzt schon irgendetwas genaueres sagen? Habe ich mir mit den Chip-Downloads meinen PC zugemüllt, aber ist es eigentlich gar nicht so gefährlich, als das mich jmd. ausspionieren könnte o. ä.?

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

• Starte die Installationsdatei.
• Klicke auf Erste Schritte und akzeptiere die Nutzungsbedingungen.
• Klicke wiederrum auf Erste Schritte, wähle die empfohlenen Einstellungen aus und klicke auf Weiter.
• Wähle einen Vollständigen Scan aus, aktiviere die Erkennung von potentiell unerwünschten Anwendungen und klicke auf Prüfung starten.
• Zuerst werden die notwendigen Module und Signaturen heruntergeladen, anschließend startet der Suchlauf automatisch.
• Klicke am Ende des Suchlaufs zuerst auf Weiter. Im Scan-Bericht werden gegebenenfalls die gefundenen Elemente aufgelistet, klicke hier auf Scan-Log speichern und speichere das Ergebnis als eset.txt auf deinem Desktop ab.
• Klicke immer auf Weiter und beende ESET mit Ohne Feedback schließen.

ESET
 

Und weiter gehts...

MKDB ist jetzt offline. Ich soll übernehmen.

Bitte poste die Logs in CODE-Tags.

Code-Tags
 

Schau mal bitte ob das echte ESET-Log noch da ist.

Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

Und noch ein Versuch
 

Übrigens danke sehr, dass Sie meinen Fall jetzt behandeln! :D