Trojaner-Board - Erpresserischer Trojaner Funde bei Malewarebytes Logfile

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Erpresserischer Trojaner Funde bei Malewarebytes Logfile (https://www.trojaner-board.de/120918-erpresserischer-trojaner-funde-malewarebytes-logfile.html)

Erpresserischer Trojaner Funde bei Malewarebytes Logfile

Hallo,

ich habe mir heute beim versuchten Download auf der Seite Ad.fly einen erpresserischen Trojaner eingefangen. Ich habe den Rechner vor Schreck so schnell ausgeschaltet und vom Netz getrennt, dass ich nicht mehr genau weiss welcher es war. Er sah vom Aufbau aus wie der BKA oder Gema Trojaner. Ich sollte 50 Euro zahlen um ihn freizuschalten.
Habe dann im abgesicherten Modus eine Systemwiederherstellung gemacht und mein Sicherheitsprogramm von Unitymedia scannen lassen.
Danach Highjackthis und bei beidem keine Funde.
Bei Malewarebytes gibt es 8 Funde.
Das Logfile habe ich unten angehängt und bitte um Hilfe bei der Auswertung.
Bisher habe ich nichts unternommen seit der Scan beendet wurde.
Muss ich die gefundene Bedrohung einfach mit Malewarebytes, nach schließen aller anderen Programme, entfernen?
Oder kommt es wieder?

Gruß, Andrea

Code:

 Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.31.10
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Andrea :: HÖLLENMASCHINE3 [Administrator]
 

31.07.2012 20:05:38

mbam-log-2012-07-31 (22-03-26).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|Z:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 596129

Laufzeit: 1 Stunde(n), 55 Minute(n), 13 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 8

C:\Users\Andrea\AppData\Local\Temp\C9dtieDA.exe.part (Adware.Bundler) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Desktop\Musik\SoftonicDownloader_fuer_fl-studio.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Desktop\Musik\SoftonicDownloader_fuer_magix-music-maker.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Desktop\Musik\SoftonicDownloader_fuer_reason.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Desktop\Musik\SoftonicDownloader_fuer_virtual-piano.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Downloads\SoftonicDownloader_fuer_fl-studio.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Downloads\SoftonicDownloader_fuer_free-youtube-download.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

C:\Users\Andrea\Downloads\SoftonicDownloader_fuer_ikea-home-planer.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
 

(Ende)

Mein Freund hat die Funde jetzt in Quarantäne verschoben und dann gelöscht^^
Ich hoffe nicht dass das falsch war.
Kann ich jetzt damit rechnen dass der Trojaner entfernt ist?
Nach einem erneuten Scan wird nichts mehr angezeigt.

hi
finger weg von
Softonic
!!!
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo, danke für Deine Hilfe. Das Problem hat sich schon erledigt. Mein Bruder hat sich heute darum gekümmert. Bin jetzt erst dazu gekommen hier zu posten. Softonic habe ich entfernt. Vielleicht könntest Du mir noch verraten was daran nicht in Ordnung ist. Ich hatte es immer für ein brauchbares Programm gehalten.

Oh. Ok. Softonic ist diese Downloadseite. Hab es grade verwechselt mit DVDVideosoft Free Studio. Das hatte ich als download von Softonic.
Hatte es jetzt gelöscht.
Gut. Werde in Zukunf die Finger von Softonic lassen.
Danke.

was hat dein bruder entfernt, die funde von malwarebytes, das heißt lange nicht das der pc sauber ist

Zitat:

Zitat von markusg (Beitrag 880954)

was hatt dein bruder entfernt, die funde von malwarebytes, das heißt lange nicht das der pc sauber ist

Ich war nicht dabei. Er hat den Laptop mit zu einem Studienkollegen genommen und gemeint dass alles in Ordnung sei jetzt, weil der Typ das Problem erst vor kurzem hatte und sich auch wohl damit auskennt. Und ich soll meinen Freund nicht wieder drann lassen wenn noch mal was ist. :)
Aber trotzdem nochmal danke.