|
BKA-Fake Trojaner, Firefox gesperrt Hallo! Ich bin PC-technisch sehr hardwarekompetent und seit Jahren zB auf Computerbase und deseen Forum unterwegs, berate Leute in Harwarefragen, baue meine PCs selber usw. In diesem Forum bin ich alerdings neu. Normalerweise habe ich bis jetzt bei einem (möglichen) Schädlingsbefall immer selbst um Rat gewusst, und sonst einfach google bemüht. Jetzt habe ich jedoch einige Fragen. Während des Surfens bin ich plötzlich auf die "Polizei-Seite" gekommen, mit "Achtung! Kinderpornos entdeckt" usw und der Aufforderung, 100,- zu bezahlen. Lol, bescheuerte Fakeseite für Voll-DAUs, dachte ich. Der Tab ließ sich im Firefox allerdings nicht schließen. Nach googlen habe ich ziemlich schnell herausgefunden, dass die der BKA-Faketrojaner ist. Entweder Firefox per Taskmanager killen (hätte ich als nächstes gemacht), oder auch wenn man ca. hundert mal auf "Seite verlassen" klickt, geht das auch weg und man kann den Browser normal schließen. Da ich noch viele Tabs offen hatte, was ich noch lesen wollte, habe ich den Browser offen gelassen und nach ca 30-sekundiger Klickorgie war der Tab tatsächlich zu. Gleichzeitig fand ich per google das hier: http://www.trojaner-board.de/143919-...espolizei.html http://www.trojaner-board.de/143756-...-gesperrt.html Dachte: Passt, anstatt die eigene Scanner zu bemühen, mach mas mal nach "Profi-Art" ;) Habe die Anleitung in ein Textfile kopiert und auf dem Desktop gespeichert, mir die darin vorkommenden Programme geladen und ebenfalls auf dem Desktop gespeichert. Gleich in der richtigen Reihenfolge, wie man laut Anleitung diese anwenden soll. Neben jedes Programm habe ich auch jeweils ein weiteres txt-file mit dem Namen + Log gespeichert, da ich hier dann immer die Logs reinkopieren wollten, damit ich diese für die Dauer der Unternehmung immer bei der Hand und übersichtlich am selben Fleck habe. Ich habe sogar Malwarebytes Antimalware, welches ich sowieso nutze, nochmal neu mit Rechtsklick "als Administrator ausführen" installiert. - Alle Programme und Scaner sind bzw waren auf neuestem Stand. - Internetverbindung durch Kabelziehen getrennt, - Antivir Guard und den Browserschutz deaktiviert. - Sonst keine Verbindungen, nichts läuft, - keine USB Geräte angesteckt (waren zum Zeitpunkt Gott-sei-Dank auch keine) usw. - Jedes Programm habe ich per Rechtsklick "als Administrator ausführen" gestartet. - Wärend der Prozesse habe ich nichteinmal die Maus bewegt, geschweige denn, etwas anderes getan - Falls zum Neustart aufgefordert, habe ich das bestätigt bzw gemacht. - Nach einem Neustart habe ich wieder AntiVir Guard und Browserschutz deaktiviert und bin fortgefahren. Nachdem ich den halben Tag (gestern) alles abgearbeitet und brav alle Logs gespeichert habe, nutzte ich zum Schluss delfix.exe, was mir aber nicht nur die Startdateien der Programme vom Desktop löschte, sondern die meisten logs, die meinen Eigennamen besaßen, gleich mit! Übrig blieb nicht viel! - Malwarebytes Log (keine Funde) - Eset Scan Log (bis auf 6x ...Bundled.Toolbar.Ask... alles false positives) - Security Log (zuerst: UNSUPPORTED OPERATING SYSTEM! ABORTED!), habe PC neu gestartet und nochmal ausgeführt, dann passte alles. - DelFix log Ach ja, ich habe auch ComboFix verwendet. Ich weiß, man soll das nicht leichtfertig verwenden, aber es hat mir schon einmal als letzte Möglichkeit den A gerettet (Netbook, seit Jahren 24/7 online, Win XP, usw). Dachte, wenn ich mich strengstens an die Anleitung halten und keinen Mist baue, irgendetwas drücke oder die Maus bewege und das Programm in Ruhe lasse, passiert auch nichts. War auch kein Problem. Als Vorletzten Schritt vor Delfix.exe steht in der Anleitung, ich solle ComboFix in "uninstall.exe" unbenennen und ausführen, dann löscht es sich und alle Spuren von sich selbst. Tja, bei mir ist es jedenfalls nocheinmal normal durchgelaufen, wie beim ersten Mal (Schritt zwei, gleich nach FRST Log). Naja, Jedenfalls habe ich keine Probleme mit einem gesperrten Browser usw, ich denke es funktioniert auch alles, nur bin ich mir jetzt nicht sicher, ob ich a.) alle möglichen Infektionen los bin und b.) schreit jetzt mein Wartungscenter, dass AntiVir usw deaktiviert ist, obwohl das nicht stimmt. Google sagt, dass man das irgendwie hinkriegt, per Änderung eines Registry-Eintrages. Ich habe auch keine Angst konkret einen Wert zu Ändern, möchte aber generell nicht in der Registry herumpfuschen. Außerdem: Wenn ich durch die Änderung Windows "foole", zu glauben, dass das Programm "an" wäre, und es in Zukunft einmal doch nicht ist, bekomme ich das dann nicht mehr angezeigt? Danke fürs Lesen meiner "Story" und um Vorschläge. Wie gesagt, ein par wenige Logs besitze ich noch :) MfG Smartbomb |
Hallo und :hallo: Bitte keine Romane für eine simple Ransom-Infektion schreiben. Poste alle schon vorhandenen Logfiles aller Tools wie zB Combofix und FRST usw Auch bitte alle Funde deines Virenscanners posten  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Romane? Ich wollte so genau wie möglich berichten bzw Informationen angeben. Das wo man in jedem Forum gebeten wird, weil man so am Besten helfen kann. Und woher sollte ich wissen, dass es "eine simple Ransom-Infektion" ist oder was das ist? ;) Malwarebytes Log (ohne Funde) Code: Malwarebytes Anti-Malware 1.75.0.1300"neues FRST Log" (gestern Abend) FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-11-2013Addition.txt: FRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 28-11-2013ESET Online Scan Log (ohne false positives) Code: ESETSmartInstaller@High as downloader log:Security Check Log (erster Start): Code: UNSUPPORTED OPERATING SYSTEM! ABORTED!Code: Results of screen317's Security Check version 0.99.76 DelFix Log: Code: # DelFix v10.4 - Datei am 27/11/2013 um 23:37:26 erstelltnach Beendigung der Serie (also nach Delfix) nochmal SecurityCheck: Code: Hoffe das reicht erstmal. Außer ein par Temp files, supercookies dürfte nichts sein. Hmmm, hab ich trotz Deaktivierung des Java Plugins im Firefox, trotz Better Privacy und Ghostery. Hmmm. Malwarebytes AM free findet jedenfalls nix. Danke schonmal! |
Ick seh da keine ransoms im FRST Log. Da du lustigerweise ja auch gleich mal ohne Anweisung delfix ausgeführt hast, kann man hier auch kaum noch etwas nachvollziehen. Wenn noch Probleme offen sind bitte ich darum, diese mal kurz aber präzise zusammenzufassen. |
Ich dachte ja nicht, dass Delfix sogar selbst erstellte txt-files vom Desktop löscht! Ich dachte, nur von den Programmen automatisch generierte! Offen ist: a) bin ich völlig virus- und trojanerfrei und sind alle möglichen reste entfernt? b) Windows Wartungscenter glaubt, dass AntiVir nicht aktiviert ist. Thx! |
Lesestoff:Warum wir Avira nicht mehr empfehlen Avira liefert seit einiger Zeit mit der Standardinstallation die Ask Toolbar mit aus. Diese Toolbar ist Voraussetzung dafür, dass der Webguard zuverlässig funktioniert. Die Ask Toolbar ist dafür bekannt, dass sie das Surfverhalten des Benutzers ausspioniert, um damit in letzter Konsequenz Geld zu verdienen. Daher wird diese Toolbar von uns als "schädlich" eingestuft. Mehr Informationen. Eine Sicherheitsfirma, die dem Benutzer praktisch ungefragt schädliche Software "unterjubelt", scheidet für uns daher aus. Wir empfehlen daher allen Nutzern von Avira aufgrund dieser Geschäftspraktik, der teilweise äußerst schlechten Erkennungsrate und der überaus nervtötenden Werbung Avira zu deinstallieren und auf ein alternatives Produkt auszuweichen. Solltest du dich zu einem Wechsel entscheiden, empfehlen wir dir nach der Deinstallation mit dem Avira-Cleaner alle Reste zu entfernen. |
Ja, ist mir bekannt. Diese Toolbar habe ich natürlich ausradiert. Das eine popup nach jedem Update wegklicken ist für mich gerade noch ertragbar. Nutze Avira Antivir schon ewig und bin, dafür dass es gratis ist, eigentlich sehr zufrieden. Es soll auch eher wenig Systemleistung bzw -ressourcen verbrauchen. Anstatt mir von Avira abzuraten, hätte ich gerne einen heißen Tipp für ein anderes. Brain.exe läuft ja bereits ;) hxxp://www.trojaner-board.de/144103-suche-guten-virenscanner-kostenlos-habt-mich-4.html |
Wenn du mich fragst: ich hab auf meinen Windowskisten gar keinen Virenscanner mehr drauf. Selbst mein Vater mit seinem Win8.1 Notebook hab ich verschont und das Ding rennt. Diese Frage nach einem Virenscanner nimmt schon fast religiöse Züge an. |
Tja, das mit den religiösen Zügen... ein einfacher Gratisscanner reicht. UNd wenn man zu blöd ist, also alles und jedes anklickt und ohne zu lesen alles installiert une einem niuchts auffällt, dann nützt auch die kompletteste Suite nichts... Ganz ohne bzw auf den Windows Defender würde ich mich aber keinesfalls verlassen. Wüsste nicht, warum das bei Win 8(.1) anders sein sollte. Aja, habe auf C: noch Ordner mit den Progs gefunden AdwCleaner[R0].txt AdwCleaner Logfile: Code: # AdwCleaner v3.013 - Bericht erstellt am 27/11/2013 um 17:28:24AdwCleaner[S0].txt AdwCleaner Logfile: Code: # AdwCleaner v3.013 - Bericht erstellt am 27/11/2013 um 17:37:55 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board