WIN 8.1: .RAR-Datei von DHL-Email
 

Hallo Trojaner-Board-Team,

vorab für euch zur Info: ich bin selbstständig und nutze diesen Rechner teilweise auch geschäftlich. Da ich ein Einzelkämpfer bin und keine IT-Abteilung oder ähnliches habe, hoffe ich, das Ihr mir helfen könnt.


Ich habe letzte Woche dummerweise ein .RAR-Anhang von einer DHL-Email geöffnet. Da ich ein dringendes Päckchen erwartete und mit meinen EBAY-Namen in der Mail angesprochen wurde. Beim öffnen der Datei ist nur einmal kurz ein schwarzes Fenster aufgegangen, ansonsten hat sich nix getan. (Ausser das mir recht schnell klar geworden ist, das es ziemlich dämlich von mir war).

Ich habe dann die Kaspersky Internet Security Suche gestartet und die Mail wurde auch als Bedrohung markiert. Ich habe die Bedrohung neutralisiert und Mail gelöscht.
Anschließend habe ich auch noch einen Kaspersky-Online-Virenscan durchgeführt und auch dort wurde nichts mehr gefunden.
Habe mir heute nochmals die Berichte angesehen, und da wir der Vorfall von Kaspersky als Fehlalarm (und nicht als Bedrohung) aufgeführt.



Hatte heute seltsame Vorfälle, die mich etwas stutzig machen:

- Bei SOFORTÜBERWEISUNG hat sich immer wieder ein neues Fenster geöffnet, wenn ich mein Passwort eingeben sollte und bestätigt habe.

- In meinen OnlineBanking-Prgramm konnte ich mich nicht abmelden, immer beim ausloggen ist es wieder auf die Kontenübersicht zurück gesprungen.


Habe alles nochmal über einen anderen Rechner geprüft (und natürlich alle Zugangsdaten geändert), und da hat alles ohne Probleme funktioniert.
Außerdem hatte ich gerade das erste Mal an dem Rechner einen Bluescreen mit Fehler: CRITICAL_STRUCTURE_CORRUPTION



Da jetzt nicht weiß, ob ich mir was eingefangen habe oder nicht, hoffe ich das ihr mir helfen könnt. Vielen Dank schon mal für eure Mühe!


Hier die von euch gewünschten Logs:

__________________________________

defogger_disable:


__________________________________________

FRST:

Addition
 

Gmer 1
 

Gmer 2
 

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!

Hallo cosinus,

danke für die schnelle Antwort.


Weitere Logs mit Funden habe ich nicht.


Wie ich schon geschrieben habe: hat Kaspersky an dem Abend die Mail als Bedrohung markiert, und Ich habe die Bedrohung neutralisiert und die Mail gelöscht.
An dem Abend habe ich anschliessend noch einen Online Scan ( Auch von Kaspersky laufen lassen, aber ohne Befund)
Habe mir heute nochmals die Berichte angesehen, und da wir der Vorfall von Kaspersky nur noch als Fehlalarm (und nicht als Bedrohung) aufgeführt.


Ich dachte ja es wäre auch alles ok, nur die Sache mit dem Online-Banking macht mich ein wenig stutzig.


Soll ich noch irgendwelche anderen Scans machen? Kannst du mir andere Programme empfehlen?

(Dem Kaspersky traue ich leider nicht mehr so ganz und suche eine alternative. Da meine USB-Ports gesperrt sind solange KIS installiert ist. Aber das ist ein anderes Thema und der Support hat nach ca. 15 Emails immer noch keine Lösung gefunden)

Warum schreibst du jetzt was ganz anderes?
Deine neueste Beschreibung liest sich so, als wenn Kaspersky die Mail gleich erkannt und entfernt hat.
In deinem ersten Posting schreibst du aber was anderes, dass du die RAR-Datei angeklickt hast.

Was ist denn jetzt nun richtig?

Und bitte mal das Log mit dem Fund von Kaspersky posten.

Bitte entschuldige, wenn ich mich unklar ausgedrückt habe:

Ich habe die .rar angeklickt. Gemerkt das dies ziemlich dämlich war und eine Untersuchung laufen lassen. Darauf hin hat Kaspersky die Mail als Bedrohung erkannt und ich diese gelöscht. (Auf dem Online Account ist die Mail noch unter gelöschten Elementen vorhanden)

Ich hoffe das ist jetzt das was du benötigst (am 30.10. hat er die Mail gefunden):

Ok, mit der Beschreibung weiß man zwar immer noch nicht, ob du den Schädling ausgeführt hast oder nicht, aber egal...

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

mbar log
 

Hallo cosinus,

Mbar hat nichts gefunden und ich nehme mal an das daher der Schritt mit dem CleanUp-Button und dem Neustart usw. entfällt.

Hier der Log:

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

ADW
 

Hallo cosinus,
hier der Log (C1). Hoffe das ist die richtige Datei.
Es gab einen Bluescreen beim Ausführen des Schrittes:

- Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.

Nachdem ich den Rechner (nach dem Bluescreen) neugestartet habe, habe ich den ADWCleaner erneut ausgeführt, weil ich nicht wusste ob das vorher erfolgreich war. Jetzt hat er mir keine Dateien zum Löschen mehr angeboten.

zur Info:
In dem Ordner AdwCleaner sind noch weitere txt-Dateien vohanden (S1-S4 und Quarantäne)



Die anderen Schritte (JRT/FRST) mache ich jetzt und poste anschliessend die txt.-Dateien

Hallo cosinus,

JRT verursacht immer einen Bluescreen mit dem Fehler 0xx000021a.

Windows neu starten, JRT neu runterladen und nochmal probieren

Addition:


JRT kann ich nicht ausführen, immer wieder Bluescreens. Gibt´s da Alternativen?

Habe mittlerweile Kaspersky deinstalliert - dachte eventuell liegt es daran, da ich immer mal wieder Probleme mit Kaspersky Internet Security hatte -- daran lag es aber nicht

Was kann ich jetzt tun?
Welchen Schutzsoftware sollte ich verwenden, momentan hab ich nix mehr drauf.

Ich könnte das System über TrueImage zurück sichern. Ist dann mit Sicherheit auch eine eventuelle Schadsoftware weg?


Sorry das es so kompliziert mit mir ist - muss sagen Du/Ihr macht hier einen super Job. Bin echt beeindruckt wie schnell Ihr hier eure Hilfe anbietet. Also fetten Dank bis hier hin und hoffe es gibt noch ne Lösung für meine Problem

Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  Software Updater
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .