Mobogenie, Aartemis, Advances System Protector, RegCleanPro, MYPC Backup
 

Liebe Trojaner-Jäger,

vorgestern habe ich mir so einige Malware eingefangen (siehe Titel), als ich den Video Converter Super C updaten wollte. Könnt Ihr mir helfen, sie wieder loszuwerden?

Bislang habe ich nur den Spyware Terminator einmal laufen und Funde löschen lassen. Den hatte mir Schrauber neulich empfohlen, als er einen anderen Trojaner aus meinem System verbannt hat.

Malwarebytes Antimalware habe ich anschließend auch einmal scannen lassen und Funde gelöscht. Hier das logfile:

Danke für die Hilfe!

Berngo

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi Schrauber,

hier die FRST.txt

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Hier noch addition

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier die Logfile:
Combofix hat übrigens zwischenzeitlich gemeldet irgendeine Windowskonsole sei nicht vorhanden, ob ich sie installieren wolle, der scan könne sonst nicht alles erfassen. Als ich sie mit combofix installieren wollte, hieß es, ich hätte keine Internetverbindung. Ich habe den scan abgebrochen, dann erst dran geadacht auch Anti-Malware abzuschalten und dann den scan nochmal gemacht. Ich hoffe, er ist jetzt so korrekt.

Hallo Schrauber,

heute melde ich mich von meinem Notebook. Der Rechner fährt nicht mehr hoch, jedenfalls kommt offenbar kein Signal mehr am Monitor an. Könnte es sein, dass Combofix da irgendetwas mit zu tun hat? Ich habe den Rechner schon einmal komplett vom Strom genommen und es nochmal probiert. Nix.

Was tun?

Gruß, Berngo

Nein, Combofix zerballert einmal in 10000 Fällen nen Treiber, aber keine Grafikkarte. Kommt wirklich kein Signal an? Haste mal nen andern Monitor dran gehängt? Evtl ist das ne zusätzliche Grafik, hat der Rechner noch nen weiteren On Board Anschluss?

Komisch. Werde mal noch ein bisschen rumprobieren. Ich melde mich wieder, wenn ich das Problem gelöst habe. Erst dann können wir ja weiter an der Malware arbeiten. Könnte allerdings etwas dauern.

Gruß, Berngo

So, jetzt läuft die Kiste wieder. Aufgemacht, Staub gewischt und ein bisschen rumgewackelt, Bingo. Sorry, war wohl ein dummer Zufall, dass das gerade nach Combofix passierte.
Also, sagt Dir denn die Combofix-File etwas? Habe jetzt gesehen, dass darin auch erwähnt ist, dass ich keine Wiederherstellungskonsole installiert habe. Braucht's das?

Danke und Gruß, Berngo

Die hätte man vorher installieren lassen sollen, jetzt isses egal :)


Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hi Schrauber,

jetzt wieder vom Notebook. Nun hat der Rechner endgültig den Geist aufgegeben. Der bootet gar nicht mehr hoch. Ist anscheinend ein Wackler an der Festplatte oder so. Ich muss da wohl jemanden herholen, der sich auskennt. Wenn ich soweit bin, komme ich Deinem Rat nach. Wird aber sicher einige Tage dauern.

Gruß, Berngo

ok :)

Hallo Schrauber,

erst jetzt bin ich wieder online. Habe den alten Rechner nicht mehr ans Laufen gebracht, war ohnehin eine alte Mühle. Jetzt habe ich ein neues Notebook, Windows 7, alte Dateien von meiner externen Festplatte drauf geschoben und dann beim Virenscan mit dem Tool eines Freundes festgestellt, dass offenbar meine email-Daten mit Trojanern verseucht sind (leider war ich nicht so schlau, die externe Platte vorher zu checken). Darf ich Dich da um einen Rat fragen?

Das Tool des Freundes nennt sich Desinfec't 2013, lag einer Ausgabe der c't bei und scannt den Rechner mit Avira, Bitdefender und Kaspersky (jeweils auf dem neusten Stand) nacheinander. Nachdem wir auf dem Notebook einen Trojaner-Dropper gefunden haben - und zwar in dem Gelöschte Objekte-Ordner meines Thunderbird-Programms -, haben wir auch meine externe Festplatte gescannt, auf der ich all meine Daten (Eigene Dateien + Gemeinsame Dateien) gebackuped habe. Dort fand das Tool dann sogar jede Menge infiziertes Zeug - soweit ich das überblicke ebenfalls alles Thunderbird-Daten.

Unten habe ich Dir mal den Log des Virenscans der externen Festplatte eingebettet - ich hoffe, der ist so für Dich vernünftig lesbar. Kannst Du mir auf Basis dessen einen Tipp geben, ob man die externe Festplate von diesen gefundenen Dingern befreien kann? Reicht es auf dem notebook, Thunderbird neu zu installieren und eben keine alten mails zu importieren? Oder sollte ich das notebook neu aufsetzen (obwohl ich bereits mehrere Programme darauf installiert hatte und diese Mühe erneut auf mich nehmen müsste).

Für Deine Hilfe wäre ich erneut sehr dankbar.

Hi,

Diese Sachen sind nicht aktiv. Du müsstest schon hingehen, Thunderbird installieren, alle alten Mails importieren, dir eine mit Malware raussuchen und dann mit Absicht auf den Link darin bzw den Anhang klicken und ausführen. Solange Du das nicht machst ist alles in Butter.

Falls Du die Mails nicht brauchst formatier einfach die ganze Platte (externe). Ansonsten halt bissl aufpassen, importieren, die Mails rausziehen die Du noch brauchst, rest dann wieder löschen.

Ich weiß jetzt nicht ob Thunderbird so eine Komprimier-Funktion hat wie Outlook, damit geht das eigentlich recht einfach.

Danke für den Tipp. So werde ich mit der externen Platte verfahren. Aber auf dem neuen Notebook habe ich trotzdem auch ein Problem. Hier hatte dieses Tool wie gesagt auch einen Trojaner-Dropper gefunden, der entweder aktiv geworden ist - oder ich habe mir sonst irgendwie ein Adware-Dings eingefangen. Jedenfalls erscheinen wieder lauter Werbe-Popups im Firefox, die immer die gleichen sind, wenn ich auf verschiedenen kommerziellen Seiten unterwegs bin.

Gestern habe ich Firefox zurückgesetzt. Danach schien es gut zu sein. Heute erscheinen die Dinger aber wieder, wahrscheinlich, weil sich die Malware neu drauf gesetzt hat und irgendwo noch auf der Platte rumlungert.

Links auf der Seite erscheint immer ein hohes Banner "Related Searches" mit einer scheinbaren Linkliste. Rechts erscheint ein quadratisches mit der Warnung, mein PC würde demnächst abstürzen, ich solle ihn sichern, unten eines quer mit normaler Werbung und einer "Top rated"-Empfehlung.

Was sollte ich da tun? Sollen wir das gemeinsam desinfizieren - oder setz ich das notebook am besten neu auf?

Wenn ich das richtig verstehe, müsste man ja sichergehen, dass dieser Dropper verschwindet und nicht nur die Trojaner bzw. Adware entfernen, die er einschleust...

Beste Grüße, Berngo

Ist das jetzt der Laptop den wir gerade gemacht haben oder ein anderer? Poste mal FRST logs, ich schaue mal.

Ok, verstehe, das ist ein bisschen verwirrend. Also: Ich hatte einen Desktop-Rechner, an dem wir vor einem halben Jahr einmal einen Trojaner entfernt haben. Dann hatte ich vor einem Monat erneut einen drauf, wir haben uns dran gemacht und derweil ist das Teil abgeschmiert. Kapott. Gemeldet hatte ich Dir dies von einem kleinen Mini-Notebook - auch uralt und sicherlich nicht sauber, aber wenigstens ohne nervige Adware drauf - das Ding lasse ich jetzt mal außen vor (vielleicht sollten wir das aber auch mal reinigen, denn von dort habe ich auch Dateien auf das neue notebook importiert und ab und zu arbeite ich auch damit).

Jetzt habe ich mir aber ein neues großes notebook mit Windows 7 (statt zuvor XP) gekauft, und dieses ist jetzt - kaum dass ich es in Nutzung genommen habe - ebenfalls verseucht - wohl weil ich diese Thunderbird-Dateien draufgeschaufelt habe. Dieses erwähnte Tool meines Bekannten hat jedenfalls auf dem neuen notebook einen Trojaner-Dropper gefunden und im Browser erscheint erwähnte adware.

Der log, den ich Dir beim letzten Post eingebettet hatte, war wiederum von meiner externen Festplatte, wo alle meine Daten zweitgespeichert sind und das Tool des Bekannten ebenfalls fündig wurde. Zu dieser Festplatte hast Du mir bereits den entsprechenden Tipp gegeben.

Hier jetzt FRST und Addition zu dem notebook, die betroffene externe Festplatte ist nicht angeschlossen. Ich habe versucht, die logs zu zippen mit diesen 7Zip, ob mir das richtig gelungen ist, weiß ich nicht. Das Forum sagte jedenfalls, die Zeichenzahl sei sonst überschritten.

Meine Frage ist jetzt jedenfalls, ob es klüger ist, das notebook neu aufzusetzen, oder ob das mit harmloseren Methoden bereinigt werden kann.

Vielen Dank und Gruß, Berngo