2 Winlogon Prozesse - 100kb Uploadtraffic - fremde RemoteIP
 

Guten Tag zusammen!

Kurze Vorgeschichte: Ich habe letztens an meinem Windows Rechner bemerkt, wie von Geisterhand nach Paypal gegoogelt und auch auf die Seite gegangen wurde. Danach war erstmal nichts zu erkennen. Über die Netzwerk Trafficanzeige habe ich bemerkt, dass ca. 100kb Upload stattfinden/fanden.

Da ich auf meiner Systempartition sowieso nichts wichtiges habe, wurde der PC neu aufgesetzt. Direkt nachdem Installieren von Windows habe ich sporadisch die Prozesse angeschaut und 2 Winlogon Prozesse gefunden (einer davon läuft unter App/Temp..) Ich kann diesen beenden, ohne dass ein Bluescreen kommt oder dass sich dieser neustartet. Einmal beendet ist Ruhe.

Gerade habe ich wieder bemerkt, dass der Prozess mit 100kb Uploadtraffic am arbeiten ist. Die RemoteIP zum Prozess lautet: 62.141.39.160 -> hxxp://ip-lookup.net/index.php

Mittels AntiVir habe ich erst gestern einen vollständigen Systemscan vollzogen. Kein Ergebnis. Malewarebytes hat ebenfalls nichts auszusetzen.

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Servus,


hört sich nicht unbedingt schlimm an... die IP deutet auf "fibre one networks gmbh" hin.


Willst du deinen Rechner auf Malware überprüfen? Wenn ja, dann geht es so los:



Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hey,
danke für die schnelle Antwort! Ich kann gar nicht sagen, ob es komisch oder nicht komisch ist. Das Verhalten mit Paypal vor dem Neuaufsetzen finde ich zumindest nicht normal :). Die aktuelle Sache mit dem outgoing Traffic finde ich beunruhigend aber vielleicht ist es auch nur ein Update oder ähnliches. Die IP geht ja in ein Rechenzentrum von der myloc managed IT AG, die laut meinen Informationen auch mit Microsoft zusammenarbeiten. Habe die IP-Adresse trotzdem mal in der hosts auf 127.0.... gesetzt.

Hier kommen die Logfiles:

FRST.txt

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition.txt

Servus,


du bist ja lustig... :rolleyes:
Teile die FRST.txt auf, wenn sie nicht in eine Code-Box passt oder mach zwei posts draus. ;)

:). Hab das mit der Addition.log dann auch rausgefunden. Hätte nur nicht gedacht, das diese Section auch entscheidend ist. sorry :pfeiff:

Servus,




Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

weitergehts :)

mir fällt gerade auf, dass der 2. winlogon Prozess nicht mehr gestartet wurde. Anscheinend hat das letzte Programm etwas gefunden oder gelöscht?! Aber: Bin ich blind oder steht davon nichts in den logfiles?

Combofix - Quarantäne

Servus,



ComboFix macht weitaus mehr als man in den Logdateien sehen kann. ;)


Wir kontrollieren nochmal alles:





Schritt 1
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

Hey,
ich wollte nur kurz Bescheid geben, dass ich die letzten Tage beruflich unterwegs war. Werde wahrscheinlich erst morgen zu den restlichen Checks kommen. Erstmal vielen Dank - ich melde mich!

Servus,


dann bis heute. ;)

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Sorry! Hat doch alles länger gedauert als erwartet.

Die restlichen Checks waren alle ohne Befund! Vielen Dank für die kompetente Hilfe :) und noch ein schönes Wochenende!