G
Günter1
Gast
Hallo emlyn,
ich habe heute gegen 13.°° hier im Forum den ellenlangen Bericht des Scan`s gepostet. Stelle fest, dass der nun fehlt. Könnte es sein, dass so lange Berichte irgendeinen Filter hier nicht passieren?
Oder ist dieser Bericht "rausgenommen"?
MfG Günter
ich habe heute gegen 13.°° hier im Forum den ellenlangen Bericht des Scan`s gepostet. Stelle fest, dass der nun fehlt. Könnte es sein, dass so lange Berichte irgendeinen Filter hier nicht passieren?
Oder ist dieser Bericht "rausgenommen"?
MfG Günter
Also gegen 13:00Uhr habe ich soweit keinen Beitrag mehr hier gesehen. Versuch doch einfach mal, die Datei im "Erweitert"- oder "+Antworten"-Fenster durch einen Klick aufs Klammersymbol die FRST.txt und die Addition.txt anzuhängen, vielleicht gibt's ja eine Zeichenbegrenzung hier.
G
Günter1
Gast
Beitrag erscheint neu!
Zuletzt bearbeitet von einem Moderator:
(Auf Empfehlung von Randy89 gelöscht)
Man kann die Texte zwar lesen, aber es fehlt die FRST.txt.
Außerdem würde ich dir noch empfehlen, nimm erst mal die beiden Texte raus und mach beide neu, vergiss nicht, dass Häckchen bei "Additions" unten sollte ebenfalls gesetzt sein und prüfe in jeder Zeile mit Strg+F, ob dein Name draußen ist.
Stelle bitte sicher, dass du nach folgender Anleitung vorgegangen bist und alles genaustens befolgt hast:
https://www.computerbase.de/forum/threads/erste-h-lfe-bei-malwareverdacht-infektion-vor-dem-posten-beachten.741157/
Außerdem würde ich dir noch empfehlen, nimm erst mal die beiden Texte raus und mach beide neu, vergiss nicht, dass Häckchen bei "Additions" unten sollte ebenfalls gesetzt sein und prüfe in jeder Zeile mit Strg+F, ob dein Name draußen ist.
Stelle bitte sicher, dass du nach folgender Anleitung vorgegangen bist und alles genaustens befolgt hast:
https://www.computerbase.de/forum/threads/erste-h-lfe-bei-malwareverdacht-infektion-vor-dem-posten-beachten.741157/
Zuletzt bearbeitet:
G
Günter1
Gast
Hallo, emlyn und Randy,
ich weiß nun nicht, wer mich im weiteren betreut, deshalb wende ich mich an Euch beide
Habe die beiden Listen neu gemacht (FRST + Addition), und habe auch jede Zeile mit Strg+F untersucht. Nebenbei bemerkt: Mordsarbeit!
Im Anhang die beiden Listen; und hoffentlich bringen sie Erkenntnisse.
Anhang anzeigen Addition-Editor v. 14.12.12.34.txtAnhang anzeigen FRST-Editor v. 14.12.12.27.txt
MfG Günter
ich weiß nun nicht, wer mich im weiteren betreut, deshalb wende ich mich an Euch beide
Habe die beiden Listen neu gemacht (FRST + Addition), und habe auch jede Zeile mit Strg+F untersucht. Nebenbei bemerkt: Mordsarbeit!
Im Anhang die beiden Listen; und hoffentlich bringen sie Erkenntnisse.
Anhang anzeigen Addition-Editor v. 14.12.12.34.txtAnhang anzeigen FRST-Editor v. 14.12.12.27.txt
MfG Günter
Hallo,
bitte die angehängte Fixlist.txt in den Ordner speichern, von dem Du FRST ausgeführt hast, bei FRST auf "Fix" klicken, Fixlog.txt posten und berichten, ob das Problem mit der fehlenden dll noch besteht.
Folgendes deinstallieren:
BitGuard
Delta Chrome Toolbar
Java 7 Update 25
Plus-HD-3.8
Search Protect by conduit
Dann einen MBAM(http://downloads.malwarebytes.org/mbam-download-exe.php, Testphase für die Vollversion abwählen & updaten)-Bericht posten/anhängen.
Danach bitte http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner herunterladen, als Admin ausführen, auf löschen klicken und bestätigen.
Nach dem Neustart das Log(C:\AdwCleaner[S1].txt) posten/anhängen.
Als letztes http://thisisudax.org/downloads/JRT.exe herunterladen und als Admin ausführen.
Wenn das Programm durch ist, wird eine JRT.txt erzeugt.
Diese bitte posten/anhängen.
bitte die angehängte Fixlist.txt in den Ordner speichern, von dem Du FRST ausgeführt hast, bei FRST auf "Fix" klicken, Fixlog.txt posten und berichten, ob das Problem mit der fehlenden dll noch besteht.
Folgendes deinstallieren:
BitGuard
Delta Chrome Toolbar
Java 7 Update 25
Plus-HD-3.8
Search Protect by conduit
Dann einen MBAM(http://downloads.malwarebytes.org/mbam-download-exe.php, Testphase für die Vollversion abwählen & updaten)-Bericht posten/anhängen.
Danach bitte http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner herunterladen, als Admin ausführen, auf löschen klicken und bestätigen.
Nach dem Neustart das Log(C:\AdwCleaner[S1].txt) posten/anhängen.
Als letztes http://thisisudax.org/downloads/JRT.exe herunterladen und als Admin ausführen.
Wenn das Programm durch ist, wird eine JRT.txt erzeugt.
Diese bitte posten/anhängen.
Genau aus diesem Grund nenn ich mich am PC auch nicht, wie ich wirklich heiße.Günter1 schrieb:
Zu den Logs: Diesmal sind die gut rausgekommen und man kann eine ganze Menge rauslesen: Neben einer Menge Adware, findet sich auch der ein oder andere Eintrag, welcher eigentlich, selbst jeden Laien suspekt vorkommen sollte.
Unter anderem folgender:
Steht auch so schön "Attention" (=Achtung) drauf, wobei das auch bei einigen Adwareprogrammen drauf stand.
Oder der hier:
Was wird da ständig gestreamt im Hintergrund?
Dann noch ein kryptischer Eintrag:
Ich bin zwar kein Experte auf diesem Gebiet und kann auch nicht sagen, ob am Ende doch kein Rootkit, Trojaner oder anderes in der Kategorie vorhanden ist, sondern "nur" Adware, welche unter anderem die Browser mit Toolbars "schmückt", aber bei den zahlreichen Funden würde ich persönlich schon zum Neuaufsetzen tendieren.
Kannst aber auch warten, was emlyn d. dir noch schreibt, er kennt sich im Gegensatz zu mir auch wirklich mit der Materie aus.
P.S.: Den Windows-Defender solltest du nächstes Mal einfach in der Dienstverwaltung (services.msc => Rechtsklick und Starttyp: deaktiviert) ausschalten, weil du schon Avast als Antivirenprogramm aktiviert hast und dass die Firewall aus ist, sieht nicht gut aus, es sei denn, du musstest sie für den Scan nur vorrübergehend deaktivieren.
edit: Ok, wenn emlyn d. schon geantwortet hat, dann sieht es wohl so aus, als wären "nur" Adware und sonstige unerwünschte Programme drauf.
Zuletzt bearbeitet:
G
Günter1
Gast
Hallo, Ihr beiden Experten,
grandios. dass es Euch hier gibt. Das ist eine Menge Arbeit für den 3. Advent! Melde mich dann wieder.
MfG Günter
Einen schönen 3. Advent allen hier in diesem Thread, und meinen ganz großen Dank an emlyn und Randy89!
Es nötigt mir Respekt ab, wie besonders Du,emlyn, Dich in den "Untiefen" der PC-Umgebung auskennst. Nota bene!
Hier nun mein Bericht:
- Beim Löschen der Datei "Search Protect by conduit" sprang "avast" an und empfahl einen "Reinigungsvorgang" mit "Startzeit-Prüfung", bevor das OS gestartet wird;
- im Verlauf der Prüfung wurden 4 infizierte Dateien gefunden, die alles exe.-Dateien waren, und im Ordner "Downloads" saßen, z.B. Win32:Somoto-F [PUP] und Win32:FunMood-A [PUP] und andere;
- nach Löschen aller 4 Dateien war die Meldung über die fehlende dll noch da.
Dann wurde Punkt 1. durchgeführt: Auch hier setzte ich bei "Addition" das Häkchen. Richtig?
Nach Klick auf "Fix" und einen 2-maligen Neustart, tauchte die Meldung nach der "fehlenden dll" nicht mehr auf, was mich veranlasste, die folgenden 3 Punkte nicht durchzuführen. Richtig?
Empfehlungen, was am System noch verändert werden sollte/könnte, nehme ich immer gern entgegen.
Nochmals meinen aufrichtigen Dank! Hier die "Fixlog.txt"
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-12-2013 01
Ran by ************** at 2013-12-15 12:41:59 Run:1
Running from C:\Users\**************\Downloads\FRST-Fixlist
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
HKCU\...\Run: [ConduitFloatingPlugin_jopemfhojpebdeollanchfjhpbkcijoi] - "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\GNTERW~1\AppData\Local\Temp\CT3311336\plugins\TBVerifier.dll",RunConduitFloatingPlugin jopemfhojpebdeollanchfjhpbkcijoi
*****************
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\ConduitFloatingPlugin_jopemfhojpebdeollanchfjhpbkcijoi => Value deleted successfully.
==== End of Fixlog ====
@ Randy89: Meine Prüfung ergab: Die Firewall ist eingeschaltet.
MfG Günter
grandios. dass es Euch hier gibt. Das ist eine Menge Arbeit für den 3. Advent! Melde mich dann wieder.
MfG Günter
Ergänzung ()
Einen schönen 3. Advent allen hier in diesem Thread, und meinen ganz großen Dank an emlyn und Randy89!
Es nötigt mir Respekt ab, wie besonders Du,emlyn, Dich in den "Untiefen" der PC-Umgebung auskennst. Nota bene!
Hier nun mein Bericht:
- Beim Löschen der Datei "Search Protect by conduit" sprang "avast" an und empfahl einen "Reinigungsvorgang" mit "Startzeit-Prüfung", bevor das OS gestartet wird;
- im Verlauf der Prüfung wurden 4 infizierte Dateien gefunden, die alles exe.-Dateien waren, und im Ordner "Downloads" saßen, z.B. Win32:Somoto-F [PUP] und Win32:FunMood-A [PUP] und andere;
- nach Löschen aller 4 Dateien war die Meldung über die fehlende dll noch da.
Dann wurde Punkt 1. durchgeführt: Auch hier setzte ich bei "Addition" das Häkchen. Richtig?
Nach Klick auf "Fix" und einen 2-maligen Neustart, tauchte die Meldung nach der "fehlenden dll" nicht mehr auf, was mich veranlasste, die folgenden 3 Punkte nicht durchzuführen. Richtig?
Empfehlungen, was am System noch verändert werden sollte/könnte, nehme ich immer gern entgegen.
Nochmals meinen aufrichtigen Dank! Hier die "Fixlog.txt"
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-12-2013 01
Ran by ************** at 2013-12-15 12:41:59 Run:1
Running from C:\Users\**************\Downloads\FRST-Fixlist
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
HKCU\...\Run: [ConduitFloatingPlugin_jopemfhojpebdeollanchfjhpbkcijoi] - "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\GNTERW~1\AppData\Local\Temp\CT3311336\plugins\TBVerifier.dll",RunConduitFloatingPlugin jopemfhojpebdeollanchfjhpbkcijoi
*****************
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\ConduitFloatingPlugin_jopemfhojpebdeollanchfjhpbkcijoi => Value deleted successfully.
==== End of Fixlog ====
@ Randy89: Meine Prüfung ergab: Die Firewall ist eingeschaltet.
MfG Günter
G
Günter1
Gast
Werde die anderen Tool`s noch "aufräumen" lassen, und melde mich dann wieder.
MfG Günter
Hallo,
den Guard des AV-Programms zwecks zeitweiliger Deaktivierung kann ich mit dem Task Manager unter "Dienste" nicht finden. Hat selbiger dort u.U. eine mir nicht bekannte Bezeichnung?
MfG Günter
MfG Günter
Ergänzung ()
Hallo,
den Guard des AV-Programms zwecks zeitweiliger Deaktivierung kann ich mit dem Task Manager unter "Dienste" nicht finden. Hat selbiger dort u.U. eine mir nicht bekannte Bezeichnung?
MfG Günter
Schau mal in der Taskleiste neben der Uhr ob dort der Virenscanner ein Symbol liegen hat, rechte Maustaste darauf öffnet ein Kontextmenü, evtl kannst Du es auswählen, das man den Schutz vorrübergehend deaktiviert. Bei Avira heisst das Echtzeitschutz, bei AVG siehe Bild. Evtl hilft Dir das weiter.
Anhänge
G
Günter1
Gast
Könnte mich vor Jux in den Hintern beißen, käme ich hin
Die Abkürzungen sind schuld: AVG = Antiviren Guard. ich dachte, das hätte was mit Audio-Video zu tun..._
Klar doch: Neben dem Lautsprechersymbol und der Fahne öffnen sich alle Symbole.
Mit fröhlichen Grüßen Günter
Die Abkürzungen sind schuld: AVG = Antiviren Guard. ich dachte, das hätte was mit Audio-Video zu tun..._
Klar doch: Neben dem Lautsprechersymbol und der Fahne öffnen sich alle Symbole.
Mit fröhlichen Grüßen Günter
G
Günter1
Gast
Hallo, emlyn und Randy89,
gut, daß Ihr auf die Anwendung der drei restlichen Scan-Tools gedrungen/hingewiesen habt.
Für mich war es unfaßbar, was da an infizierten Dateien noch ermittelt wurde. Waren es mit "Malwarebytes" 22 infizierte Objekte, so kamen dann mit "General-changelog-team" nochmals 28 hinzu.
Wo ließt man sich nur dieses Zeug auf? Unangenehm für mich die Erkenntnis, daß der Virenscanner "avast" offensichtlich ungeeignet/überfordert für das Blockieren von Malware ist.
Aber, selbst Microsoft wird der Plagegeister nicht Herr und überrascht unablässig mit Sicherheits-Updates - was also tun?
Das ist die Kardinalfrage, wer könnte sie beantworten?
Im Anhang nun die Berichte: Beim "AdwCleaner" kann ich mit [S1].txt nicht dienen; könnte vielleicht [R1] gemeint sein?
Wie auch immer, ich hänge mal alles als Anhänge dran.
Anhang anzeigen MBAM-log-2013-12-16 (15-23-24)NEU.txtAnhang anzeigen AdwCleaner[R0] neu.txtAnhang anzeigen AdwCleaner[R1] neu.txtAnhang anzeigen JRT.txt
Mit freundlichen Grüßen
Günter
gut, daß Ihr auf die Anwendung der drei restlichen Scan-Tools gedrungen/hingewiesen habt.
Für mich war es unfaßbar, was da an infizierten Dateien noch ermittelt wurde. Waren es mit "Malwarebytes" 22 infizierte Objekte, so kamen dann mit "General-changelog-team" nochmals 28 hinzu.
Wo ließt man sich nur dieses Zeug auf? Unangenehm für mich die Erkenntnis, daß der Virenscanner "avast" offensichtlich ungeeignet/überfordert für das Blockieren von Malware ist.
Aber, selbst Microsoft wird der Plagegeister nicht Herr und überrascht unablässig mit Sicherheits-Updates - was also tun?
Das ist die Kardinalfrage, wer könnte sie beantworten?
Im Anhang nun die Berichte: Beim "AdwCleaner" kann ich mit [S1].txt nicht dienen; könnte vielleicht [R1] gemeint sein?
Wie auch immer, ich hänge mal alles als Anhänge dran.
Anhang anzeigen MBAM-log-2013-12-16 (15-23-24)NEU.txtAnhang anzeigen AdwCleaner[R0] neu.txtAnhang anzeigen AdwCleaner[R1] neu.txtAnhang anzeigen JRT.txt
Mit freundlichen Grüßen
Günter
Bei den "Plagegeistern" handelt es sich auch um potenziell unerwünschte Programme (PuP) und Adware. "Adwcleaner" und "Junkware Removal Tool" heißen schließlich nicht umsonst so. Man könnte zwar auch in Avast die PuP-Erkennung aktivieren, besonders stark ist dieser jedoch nicht im Vergleich zu den anderen Scannern.
Gegen PuPs hilft in erster Linie die Aufmerksamkeit des Users:
a) die Herstellerseite zum Herunterladen bevorziehen
b) den richtigen Downloadlink finden, wenn mehrere auf der Seite sind, ist es meist ein kleiner, unscheinbarer Linkeintrag oder ähnliches
c) wenn es geht, die gepackte/portable Version (ZIP/RAR) bevorziehen
d) immer benutzerdefiniert installieren, alles durchlesen, Zusatzprogramme abhaken, skippen und lieber einmal zuviel als einmal zu wenig auf "Abbrechen" klicken
Im JRT Log fällt mir übrigens noch auf, dass anscheinend paar Registryeinträge nicht gelöscht worden sind:
Gegen PuPs hilft in erster Linie die Aufmerksamkeit des Users:
a) die Herstellerseite zum Herunterladen bevorziehen
b) den richtigen Downloadlink finden, wenn mehrere auf der Seite sind, ist es meist ein kleiner, unscheinbarer Linkeintrag oder ähnliches
c) wenn es geht, die gepackte/portable Version (ZIP/RAR) bevorziehen
d) immer benutzerdefiniert installieren, alles durchlesen, Zusatzprogramme abhaken, skippen und lieber einmal zuviel als einmal zu wenig auf "Abbrechen" klicken
Im JRT Log fällt mir übrigens noch auf, dass anscheinend paar Registryeinträge nicht gelöscht worden sind:
Hast du die JRT.exe per Rechtsklick "als Administrator ausführen" gestartet? Falls nein, versuch es bitte nochmal und schick ein frisches Log.
G
Günter1
Gast
Hallo, Randy89,
ich war mir sicher, das Tool JRT als Admin gestartet zu haben per Rechtsklick. Habe es nun nochmals gestartet.
Hier das Log - die 4 Einträge sind leider immer noch da...-?
OS: Windows 7 Home Premium x64
Ran by ************** on 19.12.2013 at 13:48:54,56
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
Successfully stopped: [Service] spamfighter update service
Successfully deleted: [Service] spamfighter update service
Successfully stopped: [Service] suite service
Successfully deleted: [Service] suite service
~~~ Registry Values
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\commontoolkittray
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\commontoolkittray
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sfagent
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\sfagent
~~~ Registry Keys
~~~ Files
~~~ Folders
Successfully deleted: [Folder] "C:\ProgramData\fighters"
Successfully deleted: [Folder] "C:\Users\**************\AppData\Roaming\fighters"
Successfully deleted: [Folder] "C:\Program Files (x86)\fighters"
~~~ Event Viewer Logs were cleared
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19.12.2013 at 13:55:30,72
End of JRT log
MfG Günter
ich war mir sicher, das Tool JRT als Admin gestartet zu haben per Rechtsklick. Habe es nun nochmals gestartet.
Hier das Log - die 4 Einträge sind leider immer noch da...-?
OS: Windows 7 Home Premium x64
Ran by ************** on 19.12.2013 at 13:48:54,56
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
Successfully stopped: [Service] spamfighter update service
Successfully deleted: [Service] spamfighter update service
Successfully stopped: [Service] suite service
Successfully deleted: [Service] suite service
~~~ Registry Values
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\commontoolkittray
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\commontoolkittray
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sfagent
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\sfagent
~~~ Registry Keys
~~~ Files
~~~ Folders
Successfully deleted: [Folder] "C:\ProgramData\fighters"
Successfully deleted: [Folder] "C:\Users\**************\AppData\Roaming\fighters"
Successfully deleted: [Folder] "C:\Program Files (x86)\fighters"
~~~ Event Viewer Logs were cleared
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19.12.2013 at 13:55:30,72
End of JRT log
MfG Günter
Das sind anscheinend Einträge, die zum Programm "Spamfighter" gehören. Wenn du es nicht willentlich installiert hast, bzw. gar nicht brauchst, würde ich einfach vorschlagen, du deinstallierst das Programm einfach in der Systemsteuerung. Dann sollte es auch mit der Löschung klappen.
G
Günter1
Gast
Auf Spamfighter zu verzichten fällt mir schwer, habe ich doch diese Spamwall sehr zu schätzen gelernt.
Dann lassen wir es so, wie sich der Endstand eingepegelt hat.
Die 938 Hits beweisen auch das Interesse am Thema.
Für das nächste Mal weiß ich Bescheid, habe die Reinigungsprogramme, und kann mir selbst helfen.
Nur die zu Beginn von emlyn vorgenommene Registry - Reparatur werde ich wohl nicht bewerkstelligen können.
Nochmals meinen Dank an die beiden "Haupthelfer" hier im Forum!
Mit freundlichen Grüßen
Günter
Dann lassen wir es so, wie sich der Endstand eingepegelt hat.
Die 938 Hits beweisen auch das Interesse am Thema.
Für das nächste Mal weiß ich Bescheid, habe die Reinigungsprogramme, und kann mir selbst helfen.
Nur die zu Beginn von emlyn vorgenommene Registry - Reparatur werde ich wohl nicht bewerkstelligen können.
Nochmals meinen Dank an die beiden "Haupthelfer" hier im Forum!
Mit freundlichen Grüßen
Günter
