Trojaner-Board - Passwort-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Passwort-Trojaner (https://www.trojaner-board.de/150087-passwort-trojaner.html)

Alles erledigt!

ok, ich suche sie.

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2014.02.27.01
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 11.0.9600.16518

User :: x-LAPTOP [Administrator]
 

27.02.2014 07:42:07

MBAM-log-2014-02-27 (08-01-21).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 224096

Laufzeit: 8 Minute(n), 50 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 1

HKCR\CLSID\{E5A7A645-8318-4895-B85C-EDC606B80DB6} (PUP.Optional.DynConIE.A) -> Keine Aktion durchgeführt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) -> Bösartig: (hxxp://start.mysearchdial.com/?f=1&a=dnldstr1202&cd=2XzuyEtN2Y1L1QzutDtDtCyD0A0F0B0AzztAyEtAtDzz0D0DtN0D0Tzu0CyBtBtCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1898533671&ir=) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 2

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0 (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.
 

Infizierte Dateien: 11

D:\Profiles\User\Downloads\freemakevideoconvertersetup.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

D:\Profiles\User\Downloads\SoftonicDownloader_fuer_sothink-swf-to-video-converter.exe (PUP.Optional.Softonic.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\announce.js (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\background.html (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\common.js (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\contentscript.js (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\icon128.png (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\icon16.png (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\icon48.png (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\iframecontentscript.js (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Google\Chrome\User Data\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb\2.6.49_0\manifest.json (PUP.Optional.TubeDimmer.A) -> Keine Aktion durchgeführt.
 

(Ende)

Ich habe den Scan aber zwei Mal gemacht, weil ich nicht sicher war, ob ich die Kästchen ankreuzen musste. Beim ersten Scan gab es mehr Infizierungen, ca 15.

Einiges an Adware-Reste noch rausgehauen.
MBAM findet nun nichts mehr? Browser sind werbefrei?

Sorry Cosinus, dass ich mich noch nicht gemeldet habe.
Ich möchte den Scan mit MBAM noch mal machen und dann Feedback geben, denn ich habe das Gefühl, es gibt schon noch Werbung auf den Seiten.
Ich hatte nach einem Flug geschaut und bekomme jetzt ständig Werbung mit genau dieser Route.

Ich bin momentan bisschen busy und war vergangenens Wochenende verreist.

Ich mache den Abschluss so schnell wie möglich.

Trotzdem schon jetzt vielen, vielen Dank!

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2014.03.09.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 11.0.9600.16518

User :: xxx-LAPTOP [Administrator]
 

09.03.2014 21:00:46

mbam-log-2014-03-09 (21-00-46).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 503741

Laufzeit: 55 Minute(n), 55 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) -> Bösartig: (hxxp://start.mysearchdial.com/?f=1&a=dnldstr1202&cd=2XzuyEtN2Y1L1QzutDtDtCyD0A0F0B0AzztAyEtAtDzz0D0DtN0D0Tzu0CyBtBtCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1898533671&ir=) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 10

C:\FRST\Quarantine\DownloadManager.exe26-02-2014_07-51-26 (PUP.Optional.OutBrowse) -> Keine Aktion durchgeführt.

D:\AdwCleaner\Quarantine\C\Program Files (x86)\Mobogenie\nengine.dll.vir (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.

D:\AdwCleaner\Quarantine\D\Profiles\User\AppData\Local\genienext\nengine.dll.vir (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.

D:\AdwCleaner\Quarantine\D\Profiles\User\AppData\Roaming\newnext.me\nengine.dll.vir (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.

D:\Profiles\User\AppData\Local\Chromium\User Data\Default\Cache\f_000169 (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

D:\tcc\WSCC\NirSoft Utilities\asterie.exe (PUP.Hacktool.PasswordHacker) -> Keine Aktion durchgeführt.

D:\tcc\WSCC\NirSoft Utilities\iehv.exe (PUP.HistoryTool) -> Keine Aktion durchgeführt.

D:\tcc\WSCC\NirSoft Utilities\LSASecretsView.exe (PUP.PwdDump) -> Keine Aktion durchgeführt.

D:\tcc\WSCC\NirSoft Utilities\strun.exe (PUP.StartUpManager) -> Keine Aktion durchgeführt.

D:\tcc\WSCC\NirSoft Utilities\WirelessNetView.exe (PUP.WirelessNetworkTool) -> Keine Aktion durchgeführt.
 

(Ende)

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2014.03.09.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 11.0.9600.16518

User :: xxx-LAPTOP [Administrator]
 

09.03.2014 21:58:34

mbam-log-2014-03-09 (21-58-34).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 225991

Laufzeit: 5 Minute(n), 21 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) -> Bösartig: (hxxp://start.mysearchdial.com/?f=1&a=dnldstr1202&cd=2XzuyEtN2Y1L1QzutDtDtCyD0A0F0B0AzztAyEtAtDzz0D0DtN0D0Tzu0CyBtBtCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1898533671&ir=) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

hab zwei mal gescannt.

Nur Reste. Das mit nirsoft sind keine echten chädlinge, MBAM stuft sie ja auch dementsprechend ein

Ist dann alles fertig?
Was war denn jetzt das Problem? Gab es so einen Passwort-Trojaner überhaupt? Kann man das sehen?

Vllt war dein Passwort auch zu trivial. Nun ist es geändert.

TFC - Temp File Cleaner

Lade dir

TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

Öffne die TFC.exe.
Vista und Win 7 User mit Rechtsklick "als Administrator starten".
Schließe alle anderen Programme.
Drücke auf den Button Start.
Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Um Usertracking zu verhindern kann man gut die Firefox-Erweiterung Ghostery verwenden.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?