Virus: Gen:Variant.Adware.BHO.Bprotector.1
 

Liebes Foren-Team!
Ich habe ein kleines Problem mit meinem Computer und hoffe, ihr könnt mir dabei weiterhelfen.
Vor einiger Zeit hat sich auf meinem Laptop (Windows 7) im Browser Defender offensichtlich ein Virus eingenistet, der von meinem Security-Programm nie ganz vernichtet werden konnte. Ich habe hier mal alle Meldungen, die ich damit in Verbindung bringe, chronologisch aufgelistet:

Am 07.07. und am 08.07. kam je zweimal diese Meldung:

Beim Öffnen der Datei "C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll" wurde der Virus "Gen:Variant.Adware.BHO.Bprotector.1 (Engine A)" entdeckt. Zugriff verweigert.

Am 08.07. hat mein Internetsecurity dann das Problem erkannt und eine Meldung gemacht:

Datei: C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll
Virus: Gen:Variant.Adware.BHO.Bprotector.1 (Engine A)
Eine Kopie der Datei wurde in der Quarantäne angelegt. Zum Entfernen der Originaldatei ist ein Neustart erforderlich.

Ich habe das dann selbstverständlich gelöscht, machte mir aber nicht sehr große Sorgen, da “Adware” für mich nicht sonderlich bedrohlich klingt … die soll doch nur mein Online-Verhalten ausspionieren, um mich dann besser zuzuspammen, oder?

Am 15.07. wurde dann im Leerlauf-Scan folgende Meldung gebracht:

Datei: C:\ev in Benutzer schon enthalten\EPSON\AppData\Local\Temp\jar_cache3641617584732180437.tmp
Virus: Java.Trojan.Agent.1I5V0T, Java.Trojan.Agent.J3CXOK (Engine B)

Ich hab die Datei gelöscht (und auch alles andere in tmp) und einen Komplett-Scan gestartet, der dann folgende Ergebnisse brachte:

Objekt: 99[1].htm
Pfad: C:\ev in Benutzer schon enthalten\EPSON\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PG88O8R3
Status: Virus, Datei gelöscht
Virus: Trojan.Script.486172 (Engine A)
+ Archiv: pack[1].7z
Pfad: C:\Users\Daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FAIH6CZS
Status: Virus, Datei gelöscht
Virus: Gen:Variant.Adware.BHO.Bprotector.1 (Engine A)

Danach ist lange nichts passiert (obwohl ich jeden Tag stundenlang den Computer im Internet habe), sodass ich mir keine nennenswerten Sorgen machte. Nachdem ich vor einem zweiwöchigen Urlaub ohne Internet zurückgekehrt war, kam allerdings am ersten Tag nach der Ankunft (11.08.)folgende Meldung:

Prüfung von Web-Inhalten: Virenfund
Adresse: d1js21szq85hyn.cloudfront.net
Virus: Gen:Variant.Adware.BHO.Bprotector.1 (Engine A)
Status: Der Zugriff wurde verweigert.

In derselben Sekunde (laut Security-Programm) wurde auch versucht, den Virus von der Seite d1js21szq85hyn.cloudfront.net/builds/206EFBE/pack.7z, also noch einmal derselben (dieses pack.7z stand auch schon bei dem vom 15.07. dabei), herunterzuladen.
Am nächsten Tag kam wieder eine Meldung: Dasselbe Virus, wieder zweimal, einmal von einer Seite namens www.sofosystem.com und noch einmal in derselben Sekunde von www.sofosystem.com/206EFBE/pack.7z, wieder geblockt.

Irgendwo in meinem System scheint also etwas übriggeblieben zu sein, dass permanent versucht, mich zu infizieren.

Falls es irgendeine Bedeutung hat: Alle diese Meldungen kamen nicht sofort, nachdem der Computer Verbindung zum Internet aufgenommen hatte, sondern erst irgendwann Stunden danach.

Hm, wenn ich mir das jetzt so alles auf einem Haufen ansehe, denke ich, dass ich möglicherweise schon früher hier fragen hätte sollen, aber nachdem ich den Virencheck gemacht und die drei gelöscht hatte, war eben so lange nichts mehr los.
Wenn ich mir die anderen Beiträge in diesem Forum durchlese, werdet ihr mir jetzt wohl ein paar Scanning-Programme empfehlen, mit denen ich meinen Computer durchsuchen soll, wobei ich mein GData dazu abdrehen muss, damit sich die beiden nicht in die Quere kommen. Dabei kann ich dann auch die Internetverbindung trennen, oder? Mir ist nämlich nicht ganz wohl bei dem Gedanken, mit diesem offensichtlichen Virus irgendwo ohne mein Security-Programm mit dem Internet verbunden zu sein.

Ich habe auch eine Sicherung meines Computers auf einer externen Festplatte, die sich jede Woche automatisch erneuert. Momentan ist sie ausgesteckt, aber zum Zeitpunkt der Infizierung war sie auch dran, also muss die wohl auch mitgecheckt werden, oder soll ich sie besser löschen und nachher eine neue machen?
Und sicher habe ich in dieser Zeit auch meinen USB-Stick einmal angesteckt...

Mit freundlichen Grüßen,
Mark

Hallo Mark,

schauen wir mal mit FRST rein, wie schlimm es denn steht...


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo,

Danke schon einmal für die Antwort. Ich habe mir jetzt bei den FAQs "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" nochmal durchgelesen und da steht, dass man mit "defogger" irgendwas abstellen soll. Ich muss das aber nicht machen, oder? Weil ich kenne mich bei so etwas echt schlecht aus...
Und meine externe Festplatte und so, soll ich die mitscannen oder abgesteckt lassen?

Mit freundlichen Grüßen, Mark

Mach einfach nur den FRST-Scan, so wie es beschrieben ist. Um den Rest müssen wir uns noch nicht kümmern.

Mein Securityprogramm hat jetzt die Meldung gebracht: erunt.exe ist ein vermeintlich bösartiges Programm (Herausgeber: unbekannt, gestartet von: cmd.exe)
Ich nehme an, das ist das FRST und ich muss mein Securityprogramm jetzt abdrehen, oder?

Ja das ist ein Fehlalarm. Das Tool erunt wird benötigt, um die Registry zu sichern.
Deaktiviere dein Securityprogramm bitte temporär für diesen Scan.

Danke, hat jetzt alles gut geklappt:

FRST:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---



Addition:

Hey, ich hab mir gerade meinen log aus Interesse mal selbst durchgelesen und gesehen, dass auf meinem system noch minecraft cracked drauf ist ... hab ich mal von einem freund bekommen und installiert, weil er meinte das passt schon (kenne mich echt schlecht mit sowas aus), aber das dürfte dann wohl nicht ganz legal sein, oder? Ich hab das Programm auf jeden Fall jetzt deinstalliert, falls das für euer Forum ein Problem ist. Da ich das Spiel irgendwie nie sehr toll fand, wollte ich es schon länger weg haben, aber ich hab offensichtlich nur die Verknüpfung auf den Desktop gelöscht :headbang:
Na ja, jetzt ist es auf jeden Fall weg, sonst passt aber alles am Rechner, oder? Bitte sagt es mir, wenn ihr noch etwas weghaben wollt ... Den Youtube to MP3 Converter hab ich von chip.de, da wurde mir von allen Seiten immer wieder gesagt, wie legal es ist (seit es aber eine Virenwarnung gab, benutze ich ihn nicht mehr.

Hier die neuen logfiles:


FRST Logfile:



FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Addition:

Hallo,

das passt so. :)


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
• Suche und deinstalliere dort der Reihe nach folgende Einträge:
  • BrowserDefender
  • Delta toolbar
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von JRT
• Log von FRST

Also:

AdwCleaner:

JRT:

Und FRST:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Gut, dann noch eine Kontrolle.
Läuft der Rechner normal?


Schritt 1

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste in deiner nächsten Antwort:

• Log von MBAM
• Log von ESET

Läuft alles normal, es ist nur das Icon von Skype und meinem Security-Programm von rechts unten in der Taskleiste (wo auch das Netzwerk-Center, der Lautsprecher usw. stehen) gelöscht worden, aber ich habe es neu in die Taskleiste gehängt, auch wenn es jetzt links ist und nicht mehr da, wo es mal war.

Werde gleich die nächsten Checks durchführen, danke schonmal :)

Edit: Und für diesen Online Check muss ich an das Internet angeschlossen sein, oder was?

Ja.

Hallo, hat sehr lange gedauert, aber alles gegangen.

Malwarebytes hat 2 Logs erstellt:

Und von ESET:

Sieht gut aus, das sind keine relevanten Funde mehr.
Wir räumen auf.


Schritt 1

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 25.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
2. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
3. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
4. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Vielen Dank für eure Hilfe, ich hab jetzt alles aktualisiert und die Zusatzprogramme runtergeladen und hoffe auch, dass jetzt lange alles ok bleibt.

Ich hab jetzt den neuen Adobe Reader XI (11.0.03) runtergeladen, bei den Programmen sind aber auch noch Adobe AIR (installiert 18.03.2011), Adobe Flash Player 11 Active X (11.06.2013) und Adobe Flash Player Plugin (11.07.2013) aufgelistet. V.a. das erste ist ja ziemlich alt, daher: muss ich die noch irgendwie deinstallieren oder so?

Mit freundlichen Grüßen und vielen Dank,
Mark92