Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Yourfile Downloader Befall, wie entfernen? (https://www.trojaner-board.de/158425-yourfile-downloader-befall-entfernen.html)

scrac 08.09.2014 12:42
Yourfile Downloader Befall, wie entfernen?
 
Mahlzeit,
Ich bin neu hier, geht also bitte behutsam mit mir um =)

Durch ein irreführenden Downloadlink habe ich mir leider Yourfile Downloader geladen.
Ich startete die "Setup.exe", merkte aber, dass es nicht die richtige Datei war. Hab das Setup also abgebrochen. Mein AntiVir hat mir trotzdem eine Meldung nach der anderen rausgehauen.

Wenn ich den PC jetzt hochfahre/Neu starte, bekomme ich ein PopUp von Yourfile Downloader, ob ich nicht das Programm downloaden bzw. installieren möchte. ( Jetzt muss ich leider gestehen, das ich ein Hacken gesetzt habe, das mir keine weiteren PopUps mehr angezeigt werden beim Neustart, hoffe es ist kein Problem )
Ich habe schon ein paar Programme durchlaufen lassen, welche hier im Forum empfohlen wurden. leider ohne Erfolg.

Habe mich an diesen Thread orientiert
http://www.trojaner-board.de/157610-...tfernen-2.html

Dort wurde was von Defogger und Combofix erwähnt, leider weiß ich nichts damit anzufangen.

Wie kann ich jetzt überprüfen ob ich noch befallen bin von Yourfile Downloader und es dann auch entfernen.

Vielen Vielen Dank schon mal im vorraus

Psychotic 08.09.2014 12:49
Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?

Hinweis: Poste die erstellten Logfiles hier in deinem Thema - erstelle kein neues!

Falls bereits installierte Antivirensoftware Funde gemeldet hat: Füge unbedingt die entsprechenden Logdateien bei!


Wichtig:Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

scrac 08.09.2014 13:11
Leider habe ich keine Logfiles, müsste ich diese mit den drei Programmen im Leitfaden erstellen? defogger, FRST und GMER?

Das sind die Funde von AntiVir, mehr habe ich nicht, bzw. weiss nicht wo ich welche finden soll, sry.

Code:
In der Datei 'C:\Users\Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XNMHKKT3\searchprotect_w_prechecker[1].exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Name\AppData\Local\Temp\searchprotect_w_prechecker.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Name\AppData\Local\Temp\searchprotect_w_prechecker.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BYCQE6ZT\wajam_validate[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Name\AppData\Local\Temp\wajam_validate.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Name\AppData\Local\Temp\wajam_validate.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2728EIXI\wajam_validate[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Psychotic 08.09.2014 13:15
Ja, bitte erstelle die Logfiles mit den drei Programmen wie beschrieben und poste sie hier in deinen Thread.

scrac 08.09.2014 13:46
Liste der Anhänge anzeigen (Anzahl: 1)
Als ich GMER gestartet habe, bekam ich keine Meldung wie beschrieben im Leitfaden. habe trotzdem nach Anweisung weiter gemacht und während des Scans bekam ich ein ne Meldung und musste den Rechner neu Starten. Screen ist im Anhang, habe mit dem Handy ein Bild gemacht.

scrac 08.09.2014 13:48
defogger Log

Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 14:17 on 08/09/2014 (Torben)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
Die anderen Logs sind zu lang. kann ich sie anders geben? im Anhang als .txt?

Psychotic 08.09.2014 13:51
Ja, bitte hänge sie an.Versuche Gmer erneut im abgesicherten Modus und poste das Log ebenfalls.

scrac 08.09.2014 13:55
Ok, dauert eben etwas, hier schon mal die Logs von FRST

scrac 08.09.2014 14:04
Hier ist die Log von Gmer

Code:
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-09-08 15:00:43
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD6401AALS-00L3B2 rev.01.03B01 596,17GB
Running: y8u7kus6.exe; Driver: C:\Users\Torben\AppData\Local\Temp\uxtirfog.sys


---- Registry - GMER 2.1 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                     
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                  0
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                0xAD 0x12 0xC3 0x64 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) 
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                      0
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                    0xAD 0x12 0xC3 0x64 ...

---- EOF - GMER 2.1 ----

Psychotic 08.09.2014 14:38
Schritt 1: Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
2014-08-15 19:32 - 2014-08-15 19:32 - 00000000 ____H () C:\ProgramData\DP45977C.lfl
CHR DefaultSearchKeyword: Default -> D3443FF7CEC095B8987EB61C7B66542B55EE508C9B8F280BB08210A8D64AD9DD
CHR DefaultSearchProvider: Default -> AD16443484AC88EC1303DD8616503F702BE36F8CAFE31F2C3042C9EDA442188E
CHR DefaultSearchURL: Default -> 87CD0715B8F3B974F891282DA32F550B11ED34447BD7520F01C2BA8C2CBD9878

EmptyTemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.




Schritt 2: Fix mit MBAM

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


scrac 08.09.2014 15:00
Hier der Fixlog

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-09-2014 01
Ran by Torben at 2014-09-08 15:43:57 Run:1
Running from I:\Downloads
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
2014-08-15 19:32 - 2014-08-15 19:32 - 00000000 ____H () C:\ProgramData\DP45977C.lfl
CHR DefaultSearchKeyword: Default -> D3443FF7CEC095B8987EB61C7B66542B55EE508C9B8F280BB08210A8D64AD9DD
CHR DefaultSearchProvider: Default -> AD16443484AC88EC1303DD8616503F702BE36F8CAFE31F2C3042C9EDA442188E
CHR DefaultSearchURL: Default -> 87CD0715B8F3B974F891282DA32F550B11ED34447BD7520F01C2BA8C2CBD9878

EmptyTemp:
       
*****************

C:\ProgramData\DP45977C.lfl => Moved successfully.
Chrome DefaultSearchKeyword deleted successfully.
CHR DefaultSearchProvider: Default -> AD16443484AC88EC1303DD8616503F702BE36F8CAFE31F2C3042C9EDA442188E ==> The Chrome "Settings" can be used to fix the entry.
Chrome DefaultSearchURL deleted successfully.
EmptyTemp: => Removed 1.5 GB temporary data.


The system needed a reboot.

==== End of Fixlog ====
Danach wurden meine Einstellung in Chrome geändert bzw. wurden beschädigt und ich muss es wieder fixen.

Und hier das mbam Protokoll

Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlauf Datum: 08.09.2014
Suchlauf-Zeit: 15:50:44
Logdatei: mbam.txt
Administrator: Ja

Version: 2.00.2.1012
Malware Datenbank: v2014.09.08.04
Rootkit Datenbank: v2014.08.21.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Self-protection: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Torben

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 290954
Verstrichene Zeit: 6 Min, 26 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristics: Aktiviert
PUP: Warnen
PUM: Aktiviert

Prozesse: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 0
(No malicious items detected)

Registrierungswerte: 0
(No malicious items detected)

Registrierungsdaten: 0
(No malicious items detected)

Ordner: 0
(No malicious items detected)

Dateien: 0
(No malicious items detected)

Physische Sektoren: 0
(No malicious items detected)


(end)

Psychotic 08.09.2014 15:16
Schritt 1: adwCleaner
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).


Schritt 2: Fix mit JRT

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


scrac 08.09.2014 15:35
hier adwcleaner

Code:
# AdwCleaner v3.309 - Bericht erstellt am 08/09/2014 um 16:21:39
# Aktualisiert 02/09/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Torben - TORBENS-PC
# Gestartet von : I:\Downloads\adwcleaner_3.309.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17239


-\\ Google Chrome v37.0.2062.103

[ Datei : C:\Users\Torben\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [823 octets] - [08/09/2014 16:20:48]
AdwCleaner[S0].txt - [745 octets] - [08/09/2014 16:21:39]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [804 octets] ##########
und jrt

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.4 (04.06.2014:1)
OS: Windows 7 Home Premium x64
Ran by Torben on 08.09.2014 at 16:25:12,34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-21-1567410559-2167445436-713788391-1000\Software\Microsoft\Internet Explorer\Main\\Start Page



~~~ Registry Keys



~~~ Files

Successfully deleted: [File] "C:\Windows\Tasks\driver robot.job"



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 08.09.2014 at 16:29:26,44
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
danach habe ich den Rechner neu gestartet.

Psychotic 08.09.2014 15:40
Sind noch Auffälligkeiten vorhanden oder können wir nachbereiten?

scrac 08.09.2014 15:42
Ich denke das soweit nichts mehr ist, konnte es vornherein schon nicht wirklich ausmachen ob alles ok ist. Fakt ist, momentan keine Auffälligkeiten


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:25 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27