[SammelThread] Viren, Würmer & Trojaner

[Randy89]

Adwcleaner scheint sauber zu sein, evtl. wären die drei "S" Logs von Adwcleaner interessant.
Sehr merkwürdig, dass JRT keine Logs ausgibt.
Mal ein anderer Ansatz:

1) Lad dir TDSKiller auf den Desktop herunter. (http://www.bleepingcomputer.com/download/tdsskiller/)

2) Führ die Datei aus (die 1. Abfrage musst du akzeptieren, die 2. kannst du ablehnen) und klick auf "change parameters".
Dort hakst du von unten nach oben die drei noch nicht angehakten Felder. Solltest du zu einem Neustart aufgefordert werden mach dies.
Lass den Scan beim nächsten Hochfahren mit allen Einstellungen ganz durchlaufen (vor dem Scannen ggf. nochmals nachprüfen), evtl. wird sich das booten ein wenig verzögern.
Wenn der Scan erledigt ist, beende das Programm durch einen Klick aufs "X" rechts oben, ohne auch nur irgendwelche Einstellungen zu machen und lösche bitte nichts auf eigener Faust.
Das Log wird sich direkt auf der Partition/dem Laufwerk mit Windows befinden (meist C:\).

3) Als nächstes lad dir RogueKillerx64 von hier herunter:
http://www.adlice.com/softwares/roguekiller/

4) Doppelklick auf die .exe, warte bis der Prozess-Scan fertig ist, akzeptier die Abfrage und klick rechts oben auf "scannen". Auch hier bitte nichts auf eigener Faust löschen oder fixen.
Beende anschließend das Programm.

5) Lad beide Logs (TDSSkiller unter C:\ und den RogueKiller-Report auf dem Deskop) hoch.

P.S.: Man zensiert Namen am besten, indem man sie ersetzt. Drück dafür das nächste Mal einfach die Tastenkombination Strg und H, mach die entsprechenden Änderungen was du ("Suchen nach") wodurch ("Ersetzen durch") ersetzen möchtest und klick im Anschluss rechts unten auf "Alle ersetzen".

 

[bf3_4amer]

TDSKiller hab ich schonmal ausgeführt. Ich machs trz. mal so wie dus gesagt hast. Vielen dank für die hilfe.

 

[emlyn d.]

Hallo,
gibt es denn aktuell noch ein Problem?
Bitte hänge auch noch die Addition.txt von FRST an.
Ich schaue mir die Logs dann morgen an.

 

[Randy89]

Laut dem FRST.txt ist die "preferences" Datei von Chrome evtl. korrupt, es ist noch ein wenig Adware, bzw. die Überreste davon drauf und JRT.exe lief nicht weil ein "bad module" gefunden wurde.
Für die restliche Auswertung und einer endgültigen Beurteilung bin ich allerdings nicht in der Lage dazu.

 

[bf3_4amer]

Eigentlich dürfte chrome nichtmehr leben. Habe firefox+ chrome deeinstalliert und ausgewählt das nichts gespeichert wird also chronik/addons etz. Dann hab ich firefox runtergeladen. Bisher ist mir bei firefox nichts aufgefallen. Habe jedoch trz. angst das noch irgendwas drauf ist. Soll ich mal im abgesicherten modus das viren programm laufen lassen?Bekomme auch manchmal windows explorer funktioniert nicht richtig Problemsignatur:
Problemereignisname: APPCRASH
Anwendungsname: Explorer.EXE
Anwendungsversion: 6.1.7601.17567
Anwendungszeitstempel: 4d672ee4
Fehlermodulname: bcryptprimitives.dll
Fehlermodulversion: 6.1.7601.17514
Fehlermodulzeitstempel: 4ce7c4f0
Ausnahmecode: c0000005
Ausnahmeoffset: 0000000000007a94
Betriebsystemversion: 6.1.7601.2.1.0.256.1
Gebietsschema-ID: 1031
Zusatzinformation 1: 00b6
Zusatzinformation 2: 00b6adb35ee417a3c15d983801f03c7a
Zusatzinformation 3: e563
Zusatzinformation 4: e5639665616d48e83a1d8ba747b668c6

 

[emlyn d.]

Hallo,
ist das
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> GEFUNDEN
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> GEFUNDEN
so gewollt(http://www.prontosystems.org/win/show_computer_icon)?

Bitte die angehängte Fixlist.txt in den Ordner speichern, von dem Du FRST ausgeführt hast, *+* durch den Benutzernamen ersetzen, auf "Fix" klicken und Fixlog.txt posten.

Folgende Dateien bei https://www.virustotal.com/ auswerten lassen und die Ergebnisse verlinken:
C:\Users\*+*\Downloads\ZipSetup.exe
C:\Users\*+*\Downloads\Setup.exe

Alle sicherheitsrelevanten Programme auf dem neuesten Stand halten.
Dabei helfen http://secunia.com/PSISetup.exe und http://www.filehippo.com/updatechecker/UpdateChecker.exe.

Zu dem explorer.exe-Problem kann vielleicht jemand anderes etwas sagen.

 

[bf3_4amer]

ich versteh garnix, gewollt ist das nicht.. Kann ich die localtemp ordner nicht einfach löschen? Hab jetzt mal den kompletten google ordner gelöscht. Wieder hat er das selbe gefunden. Was soll ich jetzt nochmal machen?

 

[emlyn d.]

Hallo,
es geht beim RogueKiller-Log um die Anzeige von Benutzerdaten bzw. dem Computer-Icon.
Wenn die Einstellungen für Dich so ok sind, kannst Du die Meldungen ignorieren.

Die Fixlist.txt sollte zum einen dazu dienen, die Plus-HD-Adware zu entfernen, was jetzt durch das Löschen des Ordners hinfällig geworden ist.
Desweiteren würde ich gerne wissen, was sich in den aufgelisteten Verzeichnissen befindet.

Dann wäre noch von Interesse, ob die Dateien, die ich genannt habe, harmlos sind oder nicht.
Daher die Bitte, C:\Users\*+*\Downloads\ZipSetup.exe und C:\Users\*+*\Downloads\Setup.exe bei virustotal untersuchen zu lassen und die Ergebnisse zu verlinken.

Was ist an Secunia und dem UpdateChecker unverständlich?

 

[bf3_4amer]

Ich meinte nich secunia sondern an dem registry eintrag http://www.prontosystems.org/win/show_computer_icon der ist etwas kompliziert für mich. Die datein die ich hochladen soll kann ich bei mir nicht finden.

 

[emlyn d.]

Ich hatte doch bereits geschrieben, dass Du die Registry-Einträge ignorieren kannst, wenn die Einstellungen für Dich ok sind.

Was hast Du mit den zu prüfenden Dateien gemacht?
Hast Du sie ausgeführt?

Wenn Du das mit der Fixlist.txt nicht hinbekommst:
Was befindet sich in diesen Ordnern
C:\Users\*+*\AppData\Local\Tempda49fbdeb553fc5d0b827f367382224c
C:\Users\*+*\AppData\Local\Temp8ba3fc87916936bb475b6183b30f80d9
C:\Users\*+*\AppData\Local\Temp771e2a75ead2acf1f2059b672f00dec4
?

 

[Randy89]

@ bf3_4amer: Dir ist hoffentlich klar, dass du *+* in der fixlist.txt, bzw. in dem Verzeichnis wieder durch deinen tatsächlichen Benutzernamen ersetzen solltest?
Analog dazu schaust du bei den Dateien unter deinem Download-Ordner nach den beiden Dateien. Solltest du die Dateien schon gelöscht haben, versuch dich daran zu erinnern, von wo du sie heruntergeladen hast und schick die Links.

Bezüglich der Registry-Einträge:
Es wird einfach nur aufgelistet, ob gewisse Icons oder Einstellungen an/eingeblendet Wert in der Registrierung = 1 oder deaktiviert/ausgeblendet = 0 sind.
In deinem Fall sind die Desktop-Verknüpfungen für "Computer" und für deinen Benutzer-Ordner nicht vorhanden, siehe Tabelle mit den Schlüsseln (Reg Dword und Icon) in der Mitte der von emlyn d. verlinkten Seite und vergleich doch einfach mal die jeweilige Zeichenkette mit dem Report.
Möchtest du diese Symbole wieder einblenden, kannst du in der Registry (regedit) danach suchen und sie einschalten oder mithilfe von Rogue-Killer wieder einblenden, in dem du die Haken nach dem Scannen im Registry-Tab überall setzt, was du ändern möchtest und auf "löschen" gehst. Spätestens beim nächsten Neustart sollten die Icons wieder auf dem Desktop sichtbar sein.

Die Einträge "disabletaskmgr" und "disableregistrytools" kannst du jedenfalls löschen, insbesondere wenn du selber im Registrierungs-Editor ab und zu Änderungen tätigst. Wär vielleicht sogar besser als wenn du ausversehen die beiden mit einer "1" aktivieren würdest und dann ohne Registry-Editor und ohne Task-Manager bleibst. Also entweder in regedit(32).exe danach suchen oder mit Rogue-Killer löschen.
Ob du sie löscht oder in Ruhe läßt, schaden tut beides nichts, solange du wie gesagt nicht auf die dämliche Idee kommst, im Registry-Editor eine "1" in den beiden Einträgen einzutragen und dir den Task-Manager und/oder den Registry-Editor dadurch aussperrst.

Solltest du jedoch generell nichts an der Registry rumfummeln (wollen) und sind die Einstellungen ok, dann brauchst du an dieser Stelle auch nichts zu machen und kannst den Rogue-Killer-Report einfach ignorieren.

Und was deine Explorer-Abstürze betrifft:
Schau mal hier, dort werden einige Problem-Fälle aufgelistet und wie man die entsprechenden Dumps erzeugt:
http://www.winvistaside.de/forum/index.php?showtopic=4226
Bei Problemen kannst du einfach ein neues Thema im Windows 7 Bereich (https://www.computerbase.de/forum/forums/windows-7.166/) aufmachen und die dumps dort einfügen.
MagicAndre1981 ist auch hier in diesem Forum aktiv. Er wird dir bei Bedarf helfen können.

 

[bf3_4amer]

okey dann ignorier ich den rogue killer report. Also ich hab jetzt mal FRST und andere sachen auf virus total hochgeladen. Nichts gefunden. Was soll ich jetzt machen?

Ergänzung (2. Februar 2014)

Die ordner sehen "verdächtig" aus. Soll ich sie löschen? Einmal irgendwas mit amazon icon und MACos oder sowas

 

[Randy89]

Zu den "anderen Sachen" würden wir gern die Links sehen. Also am besten erneut hochladen (auch wenn gesagt wird, dass der Hash schon gefunden worden ist) und die jeweilige Adress-Zeile der frischen Auswertung hier reinkopieren.

Die Fixlist.txt aus Post #866 sollte aus der Fixlist.txt eine Fixlog.txt erzeugt haben. Diese könntest du posten als Bestätigung.

Und nochmal frische FRST-Logs Frst.txt und Addition.txt, wobei du letzterers vor dem Scannen anhaken musst, nur um sicher zu gehen, dass der Fix auch gegriffen hat und du deine sicherheitsrelevanten Programme aktualisiert hast, z.B. mit den von emlyn d. erwähnten Tools, ebenfalls im Beitrag#866.

edit: Welche Dateien befinden sich denn dort und um welche Ordner geht es denn jetzt genau? Kannst du diese entweder einzeln oder in einem Archiv packen und auf VT hochladen und im Anschluss jeweils die Links zur Auswertung schicken?

 

[bf3_4amer]

So jetzt einmal den fixlog+ einen neuen frst. Hoffe ist so wie gewünscht. Vielen dank für die hilfe leute.

 

[Randy89]

Flashplayer aktualisiert ist schonmal eine sehr gute Nachricht.
Wie ist es eigentlich mit Secunia? Kommst du damit zurecht? Denn zumindest den VLC Player würd ich noch updaten lassen.

C:\Users\bf3_4amer\AppData\Local\Temp\ICReinstall_ZipSetup.exe
C:\Users\bf3_4amer\AppData\Local\Temp\nss4793.tmp.exe
C:\Users\bf3_4amer\AppData\Local\Temp\ntdll_dump.dll
C:\Users\bf3_4amer\AppData\Local\Temp\nvStInst.exe
C:\Users\bf3_4amer\AppData\Local\Temp\sp-downloader.exe
C:\Users\bf3_4amer\AppData\Local\Temp\SPIdentifier.exe

Alle Dateien auf https://www.virustotal.com/de/ hochladen und die jeweilige Adresszeile oben hier rein kopieren.

--------------------------------------------------------------​

Die Fixlog.txt besagt, dass die Dateien nicht gefunden worden sind. Hast du vor dem Fixen schon Chrome und/oder die entsprechenden temporären Dateien gelöscht?

Nur mal kurz ein kleiner Test, um zu sehen, ob du die Fixlist.txt richtig ausgeführt hast:


Speichere die Datei auf dem Desktop, ändere den Benutzernamen zu deinem lokalen Benutzernamen und führ den Fix aus.

 

[bf3_4amer]

japp ich habe ein paar chrome daten schon gelöscht ICReinstall_ZipSetup ist schonmal infiziert https://www.virustotal.com/de/file/fe6bbcea74b168834ed9155b761d242ca2c4407ebc535dd3d30cb1a51570a87c/analysis/1391374094/

nss4793.tmp.exe ist clean

ntdll_dump.dll ist clean

nvStInst.exe ist clean

sp-downloader.exe ist infiziert

https://www.virustotal.com/de/file/b42f721e861c4ae46c71993c87a01d8e5cba55096db4dd7804f26e40cc5d24d5/analysis/1391374384/

SPIdentifier.exe ist infiziert

https://www.virustotal.com/de/file/98e45b97b0b87e6578b8c5930334fed34558fc0d3985dfd098669ce4f6c4923a/analysis/1391374466/


im Temp8ba3fc87916936bb475b6183b30f80d9 ordner steht was von SPIdentifier.exe
Die temp ordner mit den amazon icons hab ich schon gelöscht.


Was jetzt? ich würde am liebsten den verdammten temp ordner komplett löschen. Welche verdammten anwendungen hab ich mir überhaupt runtergeladen? Wie blöd muss man sein

 

[emlyn d.]

Ich glaube, wir brauchen hier viel Geduld mit dem Hilfesuchenden...

Das FRST-Log zeigt weitere neue PUP/Adware-Baustellen.
2014-02-02 20:28 - 2014-02-02 20:28 - 00000000 ____D () C:\Users\bf3_4amer\AppData\Local\SearchProtect
2014-02-02 20:28 - 2014-02-02 20:28 - 00000000 ____D () C:\Program Files (x86)\SearchProtect
2014-02-02 20:28 - 2014-02-02 20:28 - 00000000 _____ () C:\END

MBAM, AdwCleaner von vorn... oder doch mal den sauberen Neuanfang wagen?

 

[bf3_4amer]

das gibt es doch nicht? jetzt aber. Alles neu aufzusetzen dauert ewig..

 

[Randy89]

@ bf3_4amer: Ich kann dich schonmal beruhigen, die drei Dateien an sich sind nicht schlimm. Es werden nämlich nur die Installer bemängelt, weil sie Zusatz-Software enthalten. Das "Problem" ist, dass du bei den Installationen nicht benutzerdefiniert installierst und aufpasst, was du neben dem eigentlichen Programm noch alles installierst.

Ich füg auch hier nochmal das Muster-Beispiel ein:

|Welcome to NOT-ADWARE installer|
Don't read any thing
[✓] install registry raper
[✓] install givemeads
[✓] downgrade to Windows 3.1
|----------------------------|
| accept and install |
|----------------------------|

(Zitat eines YT-Kommentars zu: https://www.youtube.com/watch?v=bQYch2FgenE)

MBAM, AdwCleaner von vorn... oder doch mal den sauberen Neuanfang wagen?

Das ist eine sehr gute Frage. Für den sauberen Neuanfang würde jedenfalls auch das Problem mit dem Explorer sprechen und dass Junkware Removal Tool wegen einem "bad module" nicht mal komplett durchlief. (und noch so einige Stellen aus dem Addition-Log)
Andererseits müsste man sicher gehen, dass sich sowas beim nächsten Mal nicht wiederholt.
Bei manchen Installern zu bestimmten Programmen findet man vielleicht keine Adware-freie, bzw. gepackte, portable Version. In diesem Fall könnten vielleicht folgende Tipps helfen: https://www.computerbase.de/forum/threads/chip-download-verseucht.1274908/

edit:

das gibt es doch nicht?

Adwcleaner scheint die Dateien jedenfalls nicht löschen zu können. Versuchs nochmal mit Malwarebytes.
Versuch es im Anschluss nochmal mit einer frischen Kopie von JRT.exe:
http://www.bleepingcomputer.com/download/junkware-removal-tool/

Rechtsklick und als Administrator ausführen.

 

[bf3_4amer]

genau den J downloader hab ich letztens auch von chip geladen.. Wenn man nicht von chip laden soll von wo sonst? auf der hersteller seite wird es ja wohl kaum besser sein. Und was können eigentlich die ganzen viren programme wie kaspersky 2014 und microsoft essential? Die haben nichts erkannt. Bei JRT kommt wieder a bad module has been detected A reboot is required.. naja ich mach mal den gefühlten 20 reboot heute. JRT angehängt. Nicht wirklich aussagekräftig.. ich schaue übrigens immer das ich die benutzdefinierte installation wähle.