Online Banking Manipuliert - Fehlüberweisung vorgegaukelt - Online Banking gesperrt bis Rücküberweisung
 

Hallo,
kürzlich trat bei mir folgendes Problem auf: Mein Online Banking gaukelte mir eine Steuererstattung in Höhe von ca. 7.000 € vor. Zusätzlich war der Online Banking Account gesperrt und zwar solange bis die Rücküberweisung der ca. 7.000 € getätigt wurde. Das habe ich dummerweise auch getan und danach war das Online Banking wieder zugänglich. Die Überweisung wurde daraufhin von der Bank zurückgeholt, so dass glücklicherweise nichts passiert ist.

Ich hab dann die anderen Überweisung im Online Banking über den Info Button im Detail angeschaut und festgestellt, dass der Verwendungszweck bei sämtlichen Überweisungen, Banktransaktionen auf "Steuererstattung 2015" geändert wurde.

Siehe konkrete Meldung über das Online Banking im Anhang.

Die nächsten Schritten waren, dass das Online Banking von der Bank gesperrt wurde. Ich habe danach den Sophos Virenscanner über den PC laufen lassen und tatsächlich Malware gefunden, die ich bereinigt habe. Zusätzlich tauchte wieder einmal eine Buffer-Overflow-Meldung auf. Diese hatte ich schon mehrfach.

Wie kann das passieren?
Danke für Euere Hilfe!
Henner

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Kannst du mir eine Logdatei mit den Funden von Sophos posten?

Sollen wir den Rechner auf Malware überprüfen?

Hi Matthias,

danke für die Rückmeldung. Hilft Dir das? Siehe 20160302 124256 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.

und ****************** Sophos Anti-Virus Protokoll - 05.03.2016 11:38:23 **************

...
20160304 191955 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 191958 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde bereinigt.
...
(2 Objekte)

VG
Marcus

****************** Sophos Anti-Virus Protokoll - 05.03.2016 11:26:50 **************

20160302 073642 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 073650 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784589 Objekte erkennen.
20160302 073651 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 073652 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160302 073652 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" für folgenden Benutzer verweigert: Hent-Note\hentschel
20160302 073830 Das Scanning von "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde gestoppt, da zu viele Objekte erkannt wurden.
20160302 073830 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160302 073831 Virus/Spyware 'Mal/Generic-S' entfernt.
20160302 121428 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784589 Objekte erkennen.
20160302 121429 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 124255 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 124256 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 124540 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 124543 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784610 Objekte erkennen.
20160302 124545 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 140027 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 140034 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784634 Objekte erkennen.
20160302 140036 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 220443 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784634 Objekte erkennen.
20160302 220444 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 221608 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 222328 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 222400 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784667 Objekte erkennen.
20160302 222403 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160302 222859 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160302 230154 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160302 230155 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784688 Objekte erkennen.
20160302 230155 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 080408 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784688 Objekte erkennen.
20160303 080409 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 101536 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160303 101541 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784704 Objekte erkennen.
20160303 101543 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 164658 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160303 164658 Prozess "C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" weist verdächtiges Verhaltensmuster 'Buffer Overflow' auf.
Vorgang unterbrochen.
20160303 190033 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160303 190039 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784746 Objekte erkennen.
20160303 190042 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160303 203403 Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xls' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 020524 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 020525 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784775 Objekte erkennen.
20160304 020525 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 060159 Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 060159 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" für folgenden Benutzer verweigert: Hent-Note\hentschel
20160304 060222 Das Scanning von "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" wurde gestoppt, da zu viele Objekte erkannt wurden.
20160304 060222 Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 060225 Datei "C:\Users\hentschel\AppData\Roaming\nyquist-59\nyquist-75.exe" wurde bereinigt.
20160304 060225 Virus/Spyware 'Mal/Generic-S' entfernt.
20160304 061525 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 061526 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784804 Objekte erkennen.
20160304 061526 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 143617 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 143626 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784821 Objekte erkennen.
20160304 143629 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 144527 Scan 'Computer scannen' gestartet.
20160304 152451 Der Scan von 'C:\HS Coburg\WiSe 2015-16\Wirtschaftswissenschaft_zwischen_und_Erkenntnisinteresse_und_Handlungsbedarf_1_.docx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 152607 Datei "C:\Program Files\DAEMON Tools Lite\OC1.exe" gehört zu erlaubter Adware/PUA 'Generic PUA HA'.
20160304 154423 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 154553 Der Scan von 'C:\Users\hentschel\Box Sync\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154752 Der Scan von 'C:\Users\hentschel\Privates\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154821 Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xls' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 154821 Der Scan von 'C:\Users\hentschel\Privates\Silver Stick Kopie 02.10.2015\Wechseldatenträger\Passwortliste01.xlsx' führte zu SAV Interface-Fehler 0xa0040212: Datei ist verschlüsselt.
20160304 160459 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\wajam_update[1]" gehört zu erlaubter Adware/PUA 'Generic PUA JN'.
20160304 162507 Virus/Spyware 'Mal/Generic-S' erkannt.
20160304 162507 Scan 'Computer scannen' abgeschlossen.
20160304 162507 Ergebniszusammenfassung für Scan 'Computer scannen':
Gescannte Objekte: 222456
Fehler: 5
Objekte in Quarantäne: 1
Behandelte Objekte: 0
20160304 191025 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 191026 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784855 Objekte erkennen.
20160304 191026 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160304 191955 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" gehört zu Virus/Spyware 'Mal/Generic-S'.
20160304 191958 Datei "C:\Users\hentschel\AppData\Roaming\prochot-6\prochot-59.exe" wurde bereinigt.
20160304 191958 Virus/Spyware 'Mal/Generic-S' entfernt.
20160304 193729 Scan 'Neuer Scan (2)' gestartet.
20160304 194006 Scan 'Neuer Scan (2)' abgebrochen.
20160304 194007 Ergebniszusammenfassung für Scan 'Neuer Scan (2)':
Gescannte Objekte: 18
Fehler: 0
Objekte in Quarantäne: 0
Behandelte Objekte: 0
20160304 194058 Scan 'Computer scannen' gestartet.
20160304 194103 Scan 'Computer scannen' abgebrochen.
20160304 194103 Ergebniszusammenfassung für Scan 'Computer scannen':
Gescannte Objekte: 1
Fehler: 0
Objekte in Quarantäne: 0
Behandelte Objekte: 0
20160304 232024 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160304 232025 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784877 Objekte erkennen.
20160304 232025 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 042024 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160305 042025 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784897 Objekte erkennen.
20160305 042025 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20160305 080527 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20160305 080528 Die Erkennungsdatenversion 5.24 (Detection Engine 3.63.0) wird verwendet. Diese Version kann 10784905 Objekte erkennen.
20160305 080528 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
(105 Objekte)

Servus,


ich vermute stark, dass dein Rechner noch nicht ganz sauber ist.





Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

Danke für deine Mitarbeit!




Zur ersten Analyse bitte FRST und TDSS-Killer ausführen:


Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.







Bitte poste mit deiner nächsten Antwort

• die Logdatei von TDSS-Killer,
• die beiden neuen Logdateien von FRST.

Farbar txt und addittion Datei

nun die TDSSKiller log Datei

Servus,


dein Rechner ist schwer infiziert. Wir versuchen zuerst, die Schadsoftware im normalen Modus zu entfernen. Sollte das dann nicht klappen, müssen wir in den Reparaturmodus.



Wir versuchen es zuerst im normalen Modus.



Zukünftig bitte beachten:
Leider hast du unsere Anleitung nicht richtig befolgt:
Bitte alle Tools direkt auf den Desktop downloaden bzw. dorthin verschieben und vom Desktop starten, da unsere Anleitungen daraufhin ausgelegt sind.
Zudem lassen sich dann am Ende der Bereinigung alle verwendeten Tools sehr einfach entfernen.
Alle Tools bis zum Ende der Bereinigung auf dem Desktop lassen, evtl. benötigen wir manche öfter.




bei Schritt 1 beachten:
Chrome Richtlinien zurücksetzen NICHT auswählen

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die Logdatei von JRT,
• die beiden neuen Logdateien von FRST.

Problem: Wahrend der Löschaktion kam eine Fehlermeldung: Autolt Error, dann Line 8198... , dann Error parsing funcion call. Ich hab dann die Fehlermeldung weggeklickt, den Rechner heruntergafahren und neu gestartet. Dateien im Anhang. Danke für die Mühe!!!

Hallo M-K-D-B,
so ich hoffe ich habe nun alles komplett! Beim AdwCleaner habe ich beide Dateien hochgeladen, da ich nicht wusste welche!
Danke!
Henner

Servus,



ich weiß... deshalb habe ich ja in roter, großer, dicker Schrift geschrieben, dass du die Option CHR Richtlinien zurücksetzen nicht setzen sollst... das hast du halt nicht beachtet. ;)




So und jetzt bitte genau lesen:

1)
Vergewissere dich, dass ein Rechner ab jetzt keine Internetverbindung mehr hat (entweder LAN-Kabel entfernen oder WLAN deaktivieren oder beides), da sich die Schadsoftware auf deinem Rechner jedes Mal aktualisiert und wir so nicht alles wegbekommen.

2)
Die Internetverbindung erst wieder herstellen, wenn ich es sage.
Dringende Geschäfte bitte von einem anderen, sauberen Rechner durchführen. Von diesem anderen Rechner bitte alle Online-Passwörter ändern!

3)
FRST neu ausführen (nicht vergessen: kein Internet mehr):

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

so,
aber zwischenzeitlich hatte sich mein DrahtlosWlan Adapter mal kurz wieder automatisch aktiviert, obwohl ich die automatische Aktivierung entfernt habe. Danach habe ich den Adapter selbst deaktiviert und jetzt natürlich wider aktiviert. :crazy:

WLan Adapter wurde nur kurz fürs Posten aktiviert. Ist jetzt noch deaktiviert. Schreibe vom Smartphone aus.

Darf ich Frage, wann ich wieder online gehen kann?
DANKE!
Henner

Hallo M-K-D-B,
ich habe zwischenzeitlich nochmal in die Sophos Quarantäne geschaut. Siehe Protokoll im Anhang.
Laptop ist noch offline. Wie gehts jetzt weiter.
DANKE!!
Henner

Servus,



nochmal:
nicht online gehen... ansonsten versaust du uns die ganze Arbeit.
ggf. musst du dir halt die fixlist für FRST auf einem anderen, sauberen Rechner erstellen und auf den infizierten mit einem usb-stick kopieren.




Alles offline durchführen:




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die beiden neuen Logdateien von FRST.

Wo trage ich denn den Code ein?
VG

In ein leeres Textdokument (notepad)... steht aber eigentlich alles in der Anleitung. :)

zunächst die Fixlog...

.. und nun die anderen beiden Dateien

Servus,


du hast keinen Fix gemacht, sondern einen Scan (Suchlauf).

Anleitung nochmal genau durchlesen:

Erst einen Fix machen (fixlist.txt im gleichen Verzeichnis wie FRST.exe erstellen und dann "Entfernen" in FRST drücken).

Dann nochmal zwei neue Logdateien.

Weiterhin kein Internet bitte.


Achja, noch was:
Wieso installierst du SuperAntiSpyware? Anstatt das zu installieren, hättest du dir lieber meine Anweisungen mit FRST genauer durchlesen sollen, dann hätte ich dir wahrscheinlich schon sagen können, dass du wieder ins Internet kannst. Aber so ziehst du alles unnnötig in die Länge....
Ich verstehe nicht, was so schwer daran ist, meinen Anweisungen zu folgen... das haben schon tausende vor dir geschafft, also solltest du das auch schaffen...

.. jetzt aber echt die Fixlog und dann die FRST sowie die Addition. Sorry aber mir wurde erst heute morgen klar dass fixen = entfernen ist (Bug Fix).
:dankeschoen:

Servus,


Internetverbindung aktivieren.




Schritt 1

• Deaktiviere dein Anti-Viren-Programm.
• Gehe zum Ordner C:\FRST\Quarantine.
• Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > Zip-komprimierter Ordner.
• Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
• Lade die Quarantine.zip im Upload-Channel hoch.
• Klicke dazu auf Durchsuchen, navigiere zu der zip-Datei ( C:\FRST\Quarantine.zip ) und klicke auf Öffnen.
• Klicke abschließend auf Hochladen.
• Vielen Dank für deine Hilfe.
• Aktiviere dein Anti-Viren-Programm wieder.

Schritt 2
Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  

  Code:

  ---

  :regfind
WinZip Driver Updater
SparkTrust
Free Registry Cleaner

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Schritt 3

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• eine Rückmeldung bezüglich des Uploads,
• die Logdatei von SystemLook,
• die beiden neuen Logdateien von FRST.

Hallo M-K-D-B,
Upload Schritt 1 hat funktioniert.
Die 3 Dateien im Anhang.
Merci und herzlichen Dank für Geduld und Mühe. :applaus:
VG
Henner

Servus,



danke für den Upload. Aber die Schadsoftware hat sich wieder nachgeladen.

Wir versuchen es jetzt nochmal im normalen Modus, aber ich denke, wir müssen nochmal offline gehen.

Aber zuerst versuchen wir es online:




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die beiden neuen Logdateien von FRST.

Upload wie gewünscht. Danke

Servus,


bei der Schadsoftware scheint es sich um eine neuere Variante von Zbot zu handeln.

Ich wüsste nicht, wie wir im normalen Modus (mit oder ohne Internet) eine Chance haben. Diese Schadsoftware überwacht sich gegenseitig und erstellt sofort neue Varianten bzw. lädt diese nach, sobald man etwas davon entfernt.

Im Reparaturmodus ist aber alles deaktiviert, dort sollten wir eine Chance haben.




Daher machen wir jetzt nacheinander folgendes:

1) Wir führen FRST über einen USB-Stick im Reparaturmodus aus
2) Wir führen einen Fix mit FRST im Reparaturmodus aus
3) Wir machen einen Kontrollscan mit FRST im Reparaturmodus

Erst wenn die Logdatei von 3) wieder sauber ist, kannst du normal starten und Internet verwenden und dann werden wir sehen...

Während der ganzen Prodzedur darfst du auf KEINEN FALL den Rechner normal starten.





1) Wir führen FRST über einen USB-Stick im Reparaturmodus aus

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!