download von Fileparade hat massig Malware installiert

[Randy89]

Hi,

von Bedeutung sind in erster Linie die Logs mit den Fundmeldungen.

Bei Malwarebytes kannst du die entweder über die GUI durch den Aufruf des entsprechenden Log-Tabs/Reiters auswählen oder über %appdata% => Malwarebytes.

Adwcleaner hat seine Logs in einem eigens dafür angelegtem Ordner direkt auf der Systempartition, also meistens C:\Adwcleaner
Wichtig sind die S-Logs und das letzte R-Log mit der höchsten Nummer.

Für GMer musst du schon selber rechts unten auf "save..." klicken, damit ein Log gespeichert wird.

ich fand gerade auch sone komische "remotedesktop" verknüpfung, welche bisher nicht dort positioniert war

Checking Registry for malware related settings:

* Advanced Explorer Setting Removed: HideIcons [HKCU]

Könnte damit zusammenhängen.

Bezüglich FRST: Hänge bitte noch die beiden Logs an. Zwar gibt es das ein oder andere Tutorial (deutsch: http://www.trojaner-board.de/145752-frst-anleitung.html; englisch: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/) doch sollte man die (endgültige) Beurteilung lieber einem Malwareexperten überlassen. In diesem Forum ist mir nur emlyn d. bekannt, der die FRST-Logs komplett auswerten kann, also schreib ihn am besten mal an, sobald du die FRST-Logs gepostet hast.

 

[zorrkvonhui]

nochmals zur info wir sprechen hier gerade nur über den tower, da dort meine wichtigen sachen drauf sind und ich mich n dreck für laptop interessiere sonlange ich meine sachen in gefahr sehe!
für den Laptop werde ich bei zeit noch mal alles an logs zusammen suchen und nötiges posten,

malwarebytes am tower hat nur beim ersten durchlauf nen infect angezeigt:


Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
E:\Games\sammelsuriumoltinstalls\Fraps\Fraps_TSV25KIRR.exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

ADWCleaner R0

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gefunden C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Ordner Gefunden C:\ProgramData\apn
Ordner Gefunden C:\ProgramData\Partner
Ordner Gefunden C:\Users\****\AppData\Local\Temp\OCS
Ordner Gefunden C:\Users\****\AppData\Roaming\dvdvideosoftiehelpers

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : HKCU\Software\Softonic
Schlüssel Gefunden : [x64] HKCU\Software\Conduit
Schlüssel Gefunden : [x64] HKCU\Software\OCS
Schlüssel Gefunden : [x64] HKCU\Software\Softonic
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\InstallIQ
Schlüssel Gefunden : [x64] HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16518


-\\ Mozilla Firefox v27.0.1 (de)

[ Datei : C:\Users\******\AppData\Roaming\Mozilla\Firefox\Profiles\ydr4jelr.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1376 octets] - [03/03/2014 16:11:10]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1436 octets] ##########


ADWCleaner R2
# AdwCleaner v3.020 - Bericht erstellt am 03/03/2014 um 16:21:16
# Aktualisiert 27/02/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : ******* - *********
# Gestartet von : E:\Downloads\adwcleaner.exe
# Option : Suchen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16518


-\\ Mozilla Firefox v27.0.1 (de)

[ Datei : C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\ydr4jelr.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1532 octets] - [03/03/2014 16:11:10]
AdwCleaner[R1].txt - [915 octets] - [03/03/2014 16:19:23]
AdwCleaner[R2].txt - [776 octets] - [03/03/2014 16:21:16]
AdwCleaner[S0].txt - [1456 octets] - [03/03/2014 16:14:07]
AdwCleaner[S1].txt - [975 octets] - [03/03/2014 16:19:54]

########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [954 octets] ##########

ADWCleaner S0

# AdwCleaner v3.020 - Bericht erstellt am 03/03/2014 um 16:14:07
# Aktualisiert 27/02/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername :************
# Gestartet von : E:\Downloads\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\ProgramData\apn
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\Users\*****\AppData\Local\Temp\OCS
Ordner Gelöscht : C:\Users\*****\AppData\Roaming\dvdvideosoftiehelpers

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\InstallIQ

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16518


-\\ Mozilla Firefox v27.0.1 (de)

[ Datei : C:\Users\zorrk\AppData\Roaming\Mozilla\Firefox\Profiles\ydr4jelr.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1532 octets] - [03/03/2014 16:11:10]
AdwCleaner[S0].txt - [1312 octets] - [03/03/2014 16:14:07]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1372 octets] ##########


ADWCleaner S1

# AdwCleaner v3.020 - Bericht erstellt am 03/03/2014 um 16:19:54
# Aktualisiert 27/02/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername :******
# Gestartet von : E:\Downloads\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16518


-\\ Mozilla Firefox v27.0.1 (de)

[ Datei : C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\ydr4jelr.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1532 octets] - [03/03/2014 16:11:10]
AdwCleaner[R1].txt - [915 octets] - [03/03/2014 16:19:23]
AdwCleaner[S0].txt - [1456 octets] - [03/03/2014 16:14:07]
AdwCleaner[S1].txt - [837 octets] - [03/03/2014 16:19:54]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [896 octets] ##########



so und nun noch die FSTLogs:

tada wieder das problem, das die dinger viel zu viele zeichen enthalten, wie kann ich denn hier etwas anhängen?`(als txt einfach anhängen? oder ist damit iwo hochladen und verlinken gemeint? das werde ich nämlihc nicht tunxD die logs von frst sind mir n bisschen zu umfangreich um die überall zu verteilen xD)
ich für meinen teill hatte jetzt über meine kurze schlafphase hinweg n startupcheck laufen lassen, welche glücklicher weise auch nciht mehr anschlug!!!!
bevor ich jetzt den ganzen quark noch mal mitm laptop durchgehe, wie stellt ihr für euch sozusagen fest, dass dieser und jener PC wieder vertrauenswürdig ist?
(meine im vorigen post angesprochenen paranoia bezgl identity-diebstahl und acc-entführungen brauche ich mir bei einer "malware" infection nicht wirklich machen? oder ist das angebracht?)

und natürlihc vielen herzlichsten dank für die andauernde hilfe =)

 

[iN00B]

Sicher bist du nur wenn du mit Rootrechten alle Ordner abklapperst und auffällige *.com, *.dll und *.exe-files suchst. In Video- und Bilder-Ordnern hat sowas nichts zu suchen. KGs und ähnliches immer in Archive legen. Das sind aber nur die 'Daten-'Daten-Träger. Beim OS kannst du gefühlt nur sicher sein, wenn MBR überschrieben, neu partitioniert, die Windows-ISO frisch ist und neu aufgesetzt ist. Schau auch mal in die unsichtbare Partition. Datenträgerverwaltung: system reserviert. Die lasse ich erst ganicht anlegen, weil sie eben unsichtbar ist bzw. leicht vergessen wird.
Wie gesagt, immer eine scharfe Firewall benutzen, die nicht jeden Installer und Prozess trotzdem ins Netz lässt. Von System-Überwachungstools halte ich überhaupt nichts. Das ist schlimmer wie Windows alleine. btw.

Ich habe immer ein Notfall-OS auf einer extra Partition einer Backup-Platte. Darüber lassen sich auch schnell die komischen Ordner löschen und Festplatten-Images hin- und herschieben. Notfall-Vierenscann-CDs bringen in der Regel nix außer Zeitverschwendung. imo

 

[Randy89]

Der "Infect" von Malwarebytes ist harmlos. Es wird lediglich bemängelt, dass der Installer Werbesoftware enthält.
Dann hast du paar Sachen von Softonic, die bekannt dafür sind, Adware in den Installern zu integrieren und DVDVideosoft, welche ebenfalls paar PUP-Registry-Einträge hinterlassen haben. Alles halb so wild, aber es gibt immer Alternativen, falls dein Youtube-MP3 Downloader plötzlich nicht mehr funktionieren sollte.

Bezüglich FRST: Wenn du auf "Antworten" gehst, klick bitte noch auf "Erweitert" dann siehst du in der obersten Zeile rechts neben dem gelben Smiley und links neben dem Pfeil ein Büroklammersymbol. Darauf klicken, oben auf "Dateien hochladen" drauf gehen, zur Datei navigieren und auswählen, unten auf "an Cursorpostion einfügen (1)" auswählen und bestätigen.
Vor dem Antworten kannst du noch die Vorschau benutzen um zu schauen, ob es geklappt hat.

 

[zorrkvonhui]

Bezüglich FRST: Wenn du auf "Antworten" gehst, klick bitte noch auf "Erweitert" dann siehst du in der obersten Zeile rechts neben dem gelben Smiley und links neben dem Pfeil ein Büroklammersymbol. Darauf klicken, oben auf "Dateien hochladen" drauf gehen, zur Datei navigieren und auswählen, unten auf "an Cursorpostion einfügen (1)" auswählen und bestätigen.
Vor dem Antworten kannst du noch die Vorschau benutzen um zu schauen, ob es geklappt hat.

ah toll danke =)
vorerst erachte ich die malware als entfernt, werde die tage nochmal (falls übherhaupt noch wer aktiv hierrein schaut xD) die FRST geschichte hochladen, da aber inzwischen alle gennanten tools durchliefen, mehrmals, und ich erst aufgehört hab als alles "sauber" gemeint hat, werden auch die ganzen logs (zumindest die welche sich überschrieben) nur noch "sauber" enthalten^^

bezüglich dem laptop, da habe ich nun die selbe prozedur durchgezogen, bis auch dort alles sauber meinte,
wenn hier noch antworten kommen würde ich demnächst noch mal nen tag einlegen um die laptop geschichte hier genauer abzuarbeiten^^
habe aber im moment etwas die nase voll von so trockener pc beschäftigung^^
wenns nicht dazu kommt, vielen vielen dank schon mal allen, und ich mache einfach dann nen neuen Fred für den Laptop auf =)