Trojaner-Board - Rechner langsam durch valWBFPolicyService.exe?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner langsam durch valWBFPolicyService.exe? (https://www.trojaner-board.de/168118-rechner-langsam-valwbfpolicyservice-exe.html)

Rechner neu booten und nochmal probieren

ESET log.txt

Code:

ESETSmartInstaller@High as downloader log:

all ok

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# EOSSerial=9a4f0a1ebb54f1439d5ae24a1e6e44be

# end=init

# utc_time=2015-06-22 11:02:01

# local_time=2015-06-22 01:02:01 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# osver=6.1.7601 NT Service Pack 1

Update Init

Update Download

esets_scanner_update returned -1 esets_gle=41221

Update Finalize

Updated modules version: 0

Old modules - leave modules

Update Init

Update Download

Update Init

Update Download

esets_scanner_update returned -1 esets_gle=41221

Update Finalize

Updated modules version: 0

Old modules - leave modules

Update Init

Update Download

Update Init

Update Download

Update Finalize

Updated modules version: 24443

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# EOSSerial=9a4f0a1ebb54f1439d5ae24a1e6e44be

# end=updated

# utc_time=2015-06-22 11:25:29

# local_time=2015-06-22 01:25:29 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# osver=6.1.7601 NT Service Pack 1

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.7777

# api_version=3.1.1

# EOSSerial=9a4f0a1ebb54f1439d5ae24a1e6e44be

# engine=24443

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2015-06-22 12:58:36

# local_time=2015-06-22 02:58:36 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode_1='avast! Antivirus'

# compatibility_mode=783 16777213 71 91 281721 3198622 0 0

# compatibility_mode_1=''

# compatibility_mode=5893 16776573 100 94 10003 186607766 0 0

# scanned=235644

# found=1

# cleaned=0

# scan_time=5586

sh=171D0DFAD4ABC8BFCFC3DE6AD9EB03DBA9CB60AC ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\ranxero\AppData\Roaming\VTtBQwVBORoUwhJhubwxP.vir"

checkup.txt

Code:



 Results of screen317's Security Check version 1.002  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 11  
 ``````````````Antivirus/Firewall Check:`````````````` 

avast! Antivirus   

 Antivirus up to date!  (On Access scanning disabled!) 
 `````````Anti-malware/Other Utilities Check:````````` 

 Java version 32-bit out of Date! 

 Adobe Flash Player 18.0.0.160  

 Adobe Reader 10.1.14 Adobe Reader out of Date!  

 Mozilla Firefox (38.0.5) 

 Google Chrome (43.0.2357.124) 

 Google Chrome (43.0.2357.81) 
 ````````Process Check: objlist.exe by Laurent````````  

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast avastui.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

das mit der java version ist komisch,
hab's grad mal gecheckt:

Code:

java version "1.8.0_45"

Java(TM) SE Runtime Environment (build 1.8.0_45-b15)

Java HotSpot(TM) 64-Bit Server VM (build 25.45-b02, mixed mode)

Nur ein Fund in der Q.

SC hat ein altes Java und Adobe gefunden. Diese Software rausschmeißen oder aktualisieren. Java wird fast garnicht mehr benötigt. Statt Adobe Reader nimmst du PDF-X-Change.

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

aber eset hatte doch eine bedrohung gefunden, sah ich zumindest in der maske.

ich brauch java für eclipse. die jse, die ich habe ist 64 bit und nicht 32 wie im log ausgegeben

... ähhh vielen, vielen dank auf jeden fall :)

Wieso denn "aber" - sieh dir den Fund doch an. Ich hab dazu auch was geschrieben...

ok, sorry, ich hatte das nicht richtig verstanden.
nein, keine probleme mehr, soweit ich das jetzt beurteilen kann.
das cookie thema schau ich mir an.

vielen dank nochmal

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
Klicke auf OK.
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Avast	MSE
	http://filepony.de/icon/emsisoft_anti_malware.png	http://filepony.de/icon/avast_antivirus.png	http://filepony.de/icon/microsoft_se...essentials.png

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

ok, danke noch für deine tipps, die meisten davon setze ich allerdings
bereits ein.
ich habe den rechner erst vor kurzem neu gekauft und musste feststellen, dass auf
der standardinstallation bereits diverse schädlinge waren. malwarebytes fand auf anhieb
über 70 bevor ich rigendwas eigenes installliert hatte, außer MB.

link zur bewertung:
hxxp://www.trojaner-board.de/168138-danke-cosinus-wiederherstellung-d-rechner-performance.html

Zitat:

dass auf
der standardinstallation bereits diverse schädlinge waren. malwarebytes fand auf anhieb
über 70 bevor ich rigendwas eigenes installliert hatte, außer MB.

Das ist auch nichts wirklich neues. Vorinstallierte Windows-Rechner haben soviel Schrott und Werbung an Bord, dass oftmals empfohlen wird, einen neuen mit Windows vorinstallierten Rechner zu plätten und von einer normalen Installations-DVD neu aufzusetzen...

feedback:
rechner läuft super, keinerlei probleme. alles *sahne* :)
wärmsten dank nochmal

noch ne abschliessende frage, aber nur wenn's nicht zu viel mühe macht:
ich hab nochmal rKill ausgeführt und erhalte im log noch diese(einzige) message:

Checking for processes to terminate:
* C:\Windows\system32\valWBFPolicyService.exe (PID: 2792) [WD-HEUR]

was ist das für ein prozess, der da beim hochfahren immer gestartet wird und
offensichtlich überflüssig ist. allerdings auch nix böses zu tun scheint, da sich
subjektiv keine veränderung ergibt, nachdem er beendet wurde.
ich hab natürlich gegooglt aber da kommt nix vernünftges raus.

z.b. hier wird u.a. vorgeschlagen die exe zu entfernen:
hxxp://www.file.net/prozess/valwbfpolicyservice.exe.html

Lass doch einfach die Finger von rkill. Wir sind mit der Bereinigung fertig, dann gibt es keinen Grund einfach mal so rkill auszuführen

Was das für eine Datei ist lässt sich über Google rausfinden, da findet man zB das hier => https://www.virustotal.com/en/analis...0520/analysis/

ok, danke für den link

np...und wie gesagt, rkill ist ein Spezialtool ;) das führt man aus Langeweile aus :blabla:

Achso und:

Zitat:

Zitat von file.net

Der Prozess Validity WBF Policy Service oder Validity WBF DDK gehört zur Software unbekannt der Firma Validity Sensors (www.validityinc.com).

Aber check deine Datei doch auch nochmal bei VT wenn du magst...

Zitat:

C:\Windows\system32\valWBFPolicyService.exe

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.