Trojan Win32/Necurs.A wie werde ich ihn los?
 

Hallo,

ich benötige die Hilfe eines sehr geduldigen Profis, denn ich bin wirklich nur ein einfacher Anwender. Dennoch würde ich es gerne probieren meine gefunden Mawarebytes Ergebnisse allein zu vernichten, es sei denn, jemand ist der Meinung: Platt machen und neu aufspielen ;-)

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.30.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Jannene :: JANNENE-PC [Administrator]

Schutz: Deaktiviert

30.01.2014 18:21:23
MBAM-log-2014-01-30 (18-44-14).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208275
Laufzeit: 10 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 9
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C} (PUP.Optional.OptimzerPro.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} (PUP.Optional.ShopperPro.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\BabylonToolbar (PUP.Optional.BabylonToolBar.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Keine Aktion durchgeführt.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Keine Aktion durchgeführt.
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\DomaIQ (PUP.Optional.DomaIQ.A) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=OC&…&q={searchTerms}) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=OC&…&q={searchTerms}) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=OC&…&q={searchTerms}) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.HelperBar.A) -> Bösartig: (hxxp://feed.helperbar.com/?publisher=OC&…&q={searchTerms}) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 7
C:\Users\Jannene\Documents\Optimizer Pro (PUP.Optional.OptimizerPro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\0E3A233980934344BBB282B70364784D (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\DE76D7092F8347E49D94FA729E22F239 (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\mt_ffx\Delta (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\mt_ffx\Delta\delta (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\mt_ffx\Delta\delta\1.8.16.16 (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.

Infizierte Dateien: 31
C:\Users\Jannene\AppData\Local\Temp\FA59.tmp (PUP.Optional.PricePeep.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\nsp1D3.exe (PUP.Optional.SearchProtect.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\nsy68F0.exe (PUP.Optional.SearchProtect.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\nsyEFED.exe (PUP.Optional.SearchProtect.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\OptimizerPro.exe (PUP.Optional.OptimizerPro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\Show-Password_1030-8101.exe (PUP.Optional.AdLyrics) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\UpdateCheckerSetup.exe (PUP.Optional.Somoto) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\uttEF78.tmp.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\wajam_download.exe (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\55D487B4-BAB0-7891-BA03-5EFC8FAAAEDB\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\55D487B4-BAB0-7891-BA03-5EFC8FAAAEDB\MyBabylonTB.exe (PUP.Optional.Delta) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\DIQ\FlashPlayer_151\DomaIQ.exe (Adware.DomaIQ) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\DIQ\FlashPlayer_151\DomaIQ10.exe (Adware.DomaIQ) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\DIQ\FlashPlayer_151\exes.zip (Adware.DomaIQ) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\DIQ\FlashPlayer_151\software\Delta Babylon.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\DIQ\FlashPlayer_151\software\FlashPlayer.exe (Trojan.DomaIQ) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\DIQ\FlashPlayer_151\software\OptimizerPro.exe (PUP.Optional.OptimizePro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\Install_28981\sense.exe (PUP.Optional.Bundler) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\Install_28981\shopperpro.exe (PUP.Optional.ShopperPro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\Install_28981\ytd.exe (PUP.Optional.ShopperPro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\nsb8863.tmp\SPtool.dll (PUP.Optional.SearchProtect.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\Stub\294267718\ytd_aff.exe (PUP.Optional.ShopperPro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\Downloads\BlueStacks-SplitInstaller_native_downloader-cHPCPCKX.exe (PUP.Optional.Somoto) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Installer\Install_29894\sense.exe (PUP.Optional.Bundler) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Local\Temp\2dsve2wefd.exe (Exploit.Drop.GS) -> Keine Aktion durchgeführt.
C:\Users\Jannene\Documents\Optimizer Pro\CookiesException.txt (PUP.Optional.OptimizerPro.A) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\0E3A233980934344BBB282B70364784D\2787.ico (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\0E3A233980934344BBB282B70364784D\EBB77268-338F-4C6A-8590-AD88FED26F4A (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\0E3A233980934344BBB282B70364784D\Installer.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\0E3A233980934344BBB282B70364784D\OCBrowserHelper_1.0.4.106.dll (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\Jannene\AppData\Roaming\OpenCandy\DE76D7092F8347E49D94FA729E22F239\TuneUpUtilities2013_2200218_de-DE.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo sfaxia, :hallo:

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:
Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus. :)



Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Scan

Irgendwie kann ich es nciht runterladen oder öffnen. Folgendes wird mir angezeigt: Dieses Programm wird nichht häufig runter geladen und kann auf dem Computer Schaden anrichten, dann wird mir nur "Löschen" oder "Programm nicht ausführen" vorgeschlagen

Okay funtktionierte doch...hihi


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

Und hier Addition:

Wann wird es denn weiter gehen? Was ist der nächste Schritt?

Ein neuer 2. Trojaner scheint hinzu gekommen zu sein...HILFE!!!! Windows Defender hat 2 Stück gefunden und den einen kann er nicht in die Quaratäne verschieben oder das System bereinigen.
Name Trojaner 1: Win32/Necurs.A
Name Trojaner 2: WinNT/Necurs.A
Das hier ist das Ergebnis von Windows Defender. Mein Avira Echtzeitscanner lässt sich einfach nicht mehr aktivieren.

Kategorie:
Trojaner

Beschreibung:
Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Empfehlung:
Entfernen Sie diese Software unverzüglich.

Ressourcen:
file:
C:\Windows\system32\drivers\4384475d9de5180c.sys

hiddendriver:
4384475d9de5180c

hiddenfile:
C:\Windows\System32\Drivers\4384475d9de5180c.sys


Kann ich das Ding wieder loswerden ohne Platt machen und neu aufspielen?

Kannst du, du musst nur ein wenig Geduld haben :).




Schritt 1
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Poste folgende Logfiles in deiner nächsten Antwort:

• Combofix-Scan
• FSS-Scan

Combofix fertig und der Echtzeitscanner von Avira funktioeniert schon wieder...sind wir auf einem guten Weg?
Teil 2 ist auch schon fertig.
1.
Was mache ich eigentlich dann mit den ganzen runtergeladenen Programmen? Sollen/müssen/dürfen die auf dem Rechner bleiben oder wieder deinstallieren?
2.
Woher habe ich eigentlich diesen Trojaner (ich will mich ja zukünftig besser schützen, wenn überhaupt möglich)

Ist der Trojaner jetzt weg, bin ich wieder sicher?
Oder gehts noch weiter?

Hey, wir sind noch nicht fertig. Bitte arbeite solange mit, bis ich dir ein eindeutiges Clean gebe :).

Jawohl Sir, Retter in der Not, das mache ich. Ich bin immer da und aktualisiere diese Seite, um zu sehen wie es weiter geht.
Also, was mache wir als nächstes mit diesem Dreckstrojaner?

Das Rootkit wurde leider noch nicht gelöscht, aber es lebt nicht mehr lange :).

Die löschen wir am Ende der Bereinigung, solange kannst du diese einfach auf dem Rechner behalten.

Das kann ich dir leider nicht genau sagen, es gibt viele Möglichkeiten, um sich zu infizieren. Tipps und Erklärungen, wie man sich besser schützen kann, folgen nach der Bereinigung.



Schritt 1
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Schritt 2
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

• MBAR-Scan(s)
• FRST-Scan

Malware Rootkit Dings läuft und Avira meckert jetzt, hätte ich das vorher deaktivieren müssen? Oder soll ich das jetzt ignorieren?

Mbar hat nix gefunden und hat keinen Neustart gemacht oder danach gefragt.

und hier kommt Frst:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

und? Ist er weg, der Trojaner? Du sagst mir doch, wann ich wieder meine Onlinezugänge entsperren lassen kann, oder?
Ausserdem habe ich noch eine Frage:
Könnte der Trojaner auch auf meine externe Festplatte oder den USB gehüpft sein?

War das der einzige Suchlauf von Malwarebytes Anti Rootkit, oder gab es noch einen mit Funden? Falls ja, poste bitte dieses Logfile auch.

Ich sag dir dann bescheid :).

Die Wahrscheinlichkeit ist sehr gering, aber ganz ausschließen kann man sowas nie. Wir werden auch deine externe Festplatte und dein(e) USB-Stick(s) überprüfen.



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Fix
• AdwCleaner-Scan
• FRST-Scan

Soll ich selbst einen neuen Suchlauf mit Mbar starten, wie gesagt, er meldete "keine Funde", aber es gab auch keinen Neustart wie beschrieben.

Sind die neuen Schritte noch bezogen auf mein Trojaner Problem mit dem Laptop oder schon für die externe Festplatte?

Ok, dann brauchst du keinen neuen Suchlauf mit MBAR starten.

Die Schritte beziehen sich alle auf deinen Laptop. Deine externe Festplatte wird ganz am Schluss überprüft (ich gebe dir dann nochmal einen entsprechenden Hinweis) :).

Hier ist Nummer 1:

AdwCleaner meldet seit einer Stunde:
Warte ab. Bitte wählen Sie alle Elemente ab, die Sie nicht entfernen wollen.

Aber es wird nichts angezeigt und nichts weiter passiert.

Was soll ich machen????

Okay, wie immer ging es dann doch....sorry...

FRST Log

habe noch einen 2. Scan gemacht, da das erste Log komisch aussah...


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Schritt 1

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Bitte schließe jetzt alle externen Festplatten und USB-Sticks an.
Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

• MBAM-Scan
• ESET-Scan
• FRST-Scan

Hier das gewünschte Logfile:

Ist der Laptop jetzt clean? Der Trojaner tot?

Das kann ich dir erst sagen, wenn du mir noch die Logfiles vom 2. und 3. Schritt gepostet hast :).

Danke für den bebilderten Link


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Nun sind auch Schritt 2 und 3 fertig. Wie siehts aus?

Ok, wir sind durch. Du kannst jetzt deine Konten wieder entsperren lassen. Ändere aber unbedingt alle Kennwörter usw., falls du dies nicht bereits getan hast. Zwei kleine Hinweise noch, bevor wir die ganzen Tools löschen:

Falls du die Datei heruntergeladen hast, solltest du sie lieber löschen (außer du weißt, dass diese sicher ist).

Die Verwendung von Cracks ist eine sehr große Infektionsquelle. Lasse daher die Finger davon.



Updates
Internet Explorer

• Lade dir bitte die neuste Version des Internet Explorers herunter: Internet Explorer*11 herunterladen - Microsoft Windows. Auch wenn du diesen nicht primär verwenden solltest, ist es trotzdem wichtig, diesen aktuell zu halten.

Java
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 51 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

Cleanup
Falls du Malwarebytes Anti-Malware und den ESET Online Scanner nicht mehr behalten möchtest, kannst du diese über die Systemsteuerung deinstallieren. Ich empfehle dir, mindestens ein Programm zu behalten (näheres in den Tipps).

Windows XP: Start --> Systemsteuerung --> Kategorieansicht auswählen (falls nicht voreingestellt) --> Software
Windows Vista/7: Start --> Systemsteuerung --> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) --> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

In deinen Logfiles sehe ich keine schädlichen Einträge mehr, du bist in meinen Augen Clean. Für die Zukunft habe ich dir Tipps aufgeschrieben, damit du uns in nächster Zeit nicht mehr brauchst :).




Tipps - Frequently Asked Questions (FAQ)/Häufig gestellte Fragen



Wenn du die Arbeit des Trojaner-Boards unterstützen möchtest, kannst du gerne spenden :).

Ich wünsche dir eine schöne malwarefreie Zeit :daumenhoc.

Boah! Vielen herzlichen Dank, ich fühl mich richtig gut und befreit.
eine Frage habe ich bitte noch

Häh? Wenn ich doch gar keine Cracks je wollte, wie werde ich sie denn los, woher kommen sie und überhaupt, ich kenne sie doch gar nicht diese Cracks

Die Datei, die ich dir in diesem Zusammenhang gezeigt habe, aktiviert deine Microsoft Office Version, ohne dass du sie bezahlt hast. Cracks im Allgemeinen dienen dazu, den Kopierschutz oder eine Aktivierung zu umgehen, damit nicht für das Produkt bezahlt werden muss (das ist natürlich nicht legal). Hier nochmal eine genaue Ausführung zum Thema Cracks: Crack (Software) ? Wikipedia. Falls du die Datei nicht kennst, lösche diese einfach :).

Schön, dass wir dir helfen konnten :abklatsch:.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht, damit erhalte ich keine Benachrichtungen über neue Antworten in diesem Thread. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder Andere bitte hier klicken und einen eigenen Thread erstellen.