Virenbefall mit bisher unbekannt vielen Funden
 

Hallo liebe Leute,

ich bin neu auf Trojaner board weil mein sohnemann mir gesagt hat das könnte hilfreich sein.
hab vor einiger zeit meinen kindern einen pc geschenkt...
habe dann schon alles installiert:
- avira free antivirus
- T-Kinderschutz software
- Aus Die Maus
- Capella (Notenschreibprogramm)
- Mozilla Firefox&Thunderbird

Dann war ich jetzt bis vor kurzer zeit beruflich unterwegs und meine kinder haben mir einige blöden sachen gesagt:
1. der akku spinnt
2. immer wieder poppt avira auf mit meldungen:
In der Datei "c:\zPharaoh.exe" wurde ein Virus bzw. unerwünschtes Programm 'W32/Mabezat.a' gefunden.
wie entferne ich das teil?!?
Dann, ich geh schnell was trinken und dann kommt wieder der avira hoch:
In der Datei "c:\users\tazebama.dll" wurde ein Virus bzw. unerwünschtes Programm 'WORM/Mabezat.b.61' gefunden.
ich mach nichts, das teil geht wieder automatisch weg, und dann kommt wieder so ne scheisse:
In der Datei "c:\users\tazebama.dl_" wurde ein Virus bzw. unerwünschtes Programm
'WORM/Mabezat.b.91' gefunden.
dann ging das popupding wieder weg und schon wieder poppt er auf mit diesem zPharaoh.exe-Teil (W32/Mabezat.a)
ich weiss nicht was das soll. wir machen nen neustart und dann kommen einige neue Funde:
In der Datei "c:\Programdata\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserDefender.dll wurde ein virus bzw. unerwünschtes programm 'ADWARE/bprotect.d' gefunden.
wir haben noch nichts unternommen... was soll ich auch tun?
aber neulich ging dann der pc lahm
was soll ich tun bei > 5 funden wie soll ich da wissen was wieder kommt und was nicht?

Ich würde mich über baldige hilfe freuen.
hinweis ich bin nur auf trojaner board gekommen weil:
mein sohn sagte bei dem browserdefender fund der war schon mal danach kommt die avira notifier werbung mit frame von trojanerboard und da stand auch was von "ProgramData", "Browser Defender" und "ADWARE". hab gedacht ist doch nicht schlecht.

Grüße,
Mic69

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo nochmal.
jetzt wollt ich in google suchen und es kommt so ein fenster im neuen tab.
PFAD:
www1.delta-search.com/?babsrc=NT_ss&mntrId=B0B0BC773791EAD7&affID=119357&tt=230713_18220&tsp=4954
Was ist das?
Ich schließe den Tab und dann kommt nochmal so ein avira popup.
Diesmal in
c:\Programdata\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserDefender.exe 'APPL/bProtector-A'
und nochmal die selbe appl in c:\Programdata\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe 'APPL/bProtector-A'.

hoffe ihr könnt dem mehr entnehmen!
vor allem eines ist komisch. ich hab nie browser defender installiert. meine kinder können es auch gar nicht weil ich an der kiste administrator bin.
das kapier ich nicht... kann es sein das diese kakke von telekom kinderschutz software browserdefender runtergeladen hat?
lg mic69

hey schrauber danke für die schnelle antwort.
Was ist dieses FRST?
Kann ich es auch mit AVIRA sysscan versuchen?
lg mic69

wollte frst64.exe starten sagt die kiste das ist keine gültige anwendung.
soll ich dann mit avira einen vollständigen systemscan machen und dann den logfile posten.
avira lässt sich wenigstens noch ausführen.
schreibt, ob ich soll oder nicht.
dann mach ich auch den scan.
hinweis: avira hat jetzt so einen TR/Symmi.02408.1 in C:\users\admin\appdata\roaming\ukrobi\awlo.exe gefunden. auch nix gemacht. sagt mir wenn ich viren entfernen soll und wann nicht!
bis morgen dann,
mic69

FRST ist ein ScanTool, davon brauch ich die Logfiles.

ist avira antivir auch ok? kann ich da auch scannen?
falls ja, bescheid geben - ich würde den scan starten.
bitte nicht ärgern wenn viele virenmeldungen gefunden wurden... nachdem so viele funde mit browserdefender und awlo und dem Pharaoh.exe teil.

PS:
Was ist so eine dl_ file? heute schon wieder die meldung von tazebama.dl_
hier die log file:
hallo nochmal.
jetzt kommt immer so ein qtrax player wenn ich was in windows mediaplayer abspiele.
dann beschimpft avira die dateien als viren:
allmählich wird mir das echt zu bunt... wenn jetzt dann nochmal 3 oder mehr funde kommen dann mach ich mal nen sysscan. mein pc spinnt so was von. er kann nicht wirklich mehr exe-dateien ausführen. was noch geht ist:
- Windowsexplorer
- Firefox
- Qtraxplayer (dieses adware-teil was ich nicht kenne)
-windows mediaplayer
-thunderbird
- avira antivir
- open office
außerdem wenn ich meine daten öffnen will sagt er, er will ein passwort weil die daten verschlüsselt sind.
außerdem:
autorun.inf fehler nur dann wenn zpharaoh.exe als virus gezeigt wird.
soll ich zpharaoh.exe und diese trojaner und adwaredinger löschen oder einen kompletten sysscan machen?
das wars dann schon...
vielleicht wäre es gar nicht so unnützlich, so ein sysscan mit avira.
mittlerweile beschimpft avira frst64.exe als trojaner (TR/Crypt.Cfi)
ich hoffe ihr könnt mir helfen!
grüße, mic64

Was willst Du mit einem Avira Scan? Du siehst doch dass Avira dir die ganze Malwar emedlet, aber nicht im Stande ist es zu beheben. Und es wird immer schlimmer.

Entweder Du machst jetzt das was ich oben geschrieben haben, wie jeder andere der 100 User hier täglich, oder Du wartest noch nen Tag bis Du die Kiste gar nicht mehr benutzen kannst.

ja - wenn ich könnte!
weder Frst32Bit noch Frst64Bit läuft bei mir!
was soll ich denn dann machen?
hinweis: zurzeit kommen auch keine avira funde mehr...
könnten es auch durch meine avira einstellung
"Empfindlichkeit SystemScannre: hoch" fehlerkennungen sein?
oder läuft avira auch nicht mehr?
außerdem ist der pc wieder normal schnell...
kann das bedeuten dass meine kiste gar nicht mal anzeichen von ner infektion hat?
grüße, mic69

hallonochmal.
auf schraubers befehl hab ich gedacht versuch ichs doch nochmal mit frst.
ich melde mich wenn es klappt und poste später dann die logfile.

ich blicks nicht...
frst läuft wie geschmiert!
jetzt läuft der scan.
ich poste ihn gleich!

So scan fertig.
Hier die Frst.TXT:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Hier die addition.txt
FRST Additions Logfile:
--- --- ---

reicht das?
hinweis: keine warnungen nach dem scan.
bedeutet das, dass ich eigentlich gar nicht infiziert war?
grüße, mic69

Der Rechner ist infiziert, und nicht wenig. Alle unsere Tools müssen zwingend mit Adminrechten laufen!!!!

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

hab ich gemacht, finde die logfile nicht wo muss die sein?

schrauber, ich muss dir was gestehen.
nachdem ich überlegt hab wo die logfile ist hab ich nochmal hier geschaut was man beim combofixscan beachten muss.
Bei dem "auf dem desktop speichern" ist mir leider klargeworden wo das problem liegt.
ein paar infos was combofix während dem scan gesagt hat:
mehr weiß ich auch nicht... hilft das weiter?

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

FrstLogFiles:

FRST Logfile:
--- --- ---

FRST Additions Logfile:
--- --- ---

Ehm, obige Anleitung gemacht?

sorry. hab erst die frst logs gemacht, weil mir das einfacher erschien, weil Farbars Scan Recovery Tool noch auf meinem PC war.
ich war im urlaub und habe ganz meinen Befall am PC vergessen-sorry!!!
Malwarebytes Log:
Die ADWCleaner.exe logfile:
AdwCleaner Logfile:
--- --- ---

So. und jetzt schließlich die JRT logfile.
--> JRT logfile: Der Scan ging verdächtig schnell. Ist das außergewöhnlich? (nur als nebenbei zu beantwortende frage)
JRT Logfile:
--- --- ---


Und FRST.txt (die ich vorhin schon unnötig erstellt habe):

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---
REICHT DAS?
Mic69

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

JRT ist immer so schnell wenn vorher schon bereinigt wurde :)

Die Eset Logfile finde ich nicht. Habe dafür noch einen Mbam log erstellt (Quick Scan) dass du ein wenig mehr überblick hast.
Die SecurityCheck LogFile zuerst:
Mbam log: