Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ Virus unter Windows 10
Geschrieben von: jense 23.01.2017, 15:40
Hallo zusammen,
ich brauche mal Euren Rat, ich habe am Wochende folgendes Programm installiert: freac von folgender Seite :
http://www.chip.de/downloads/fre-ac-audio-converter_13007773.html
mir hat das a´ber nicht gefallen und ich wollte das wieder deinstallieren und dieses war in der Systemsteuerung unter Programme und Funktionen nicht gelistet was mich schon sehr gewundert hat.
Nach kurzer Recherche über Google habe ich dann rausgefunden das ich ins Laufwerk C >> Windows gehen muss und dort den Ordner Programme suchen muss um es dort zu deinstallieren, während der Deinstallation ging dann ein Fenster auf wo ich leider nicht aufgepasst habe und es wurde mir dann ein Programm Namens Pro Cleaner installiert und dies begann dann sofort mit der Suche nach angeblichen Fehlern und lies sich auch nicht stoppen als dies dann fertig war konnte ich es in der Systemsteuerung >> Programme und Funktionen deinstallieren aber dann kam eine Gefahrenmeldung von meiner Kaspersky Internetsecurity eine Handlung ist erforderlich mein Rechner ist infiziert.
Die Kaspersky Internetsecurity hat dann den Virus desinfiziert und gelöscht, habe dann einen kompletten Systemscan durchgeführt es wurden keine Bedrohungen gefunden. Mein Bekannter sagte dann zu mir ich soll mal den Adw- Cleaner und das Tool Malwarebytes Anti-Malware benutzen also gesagt getan und der Adw Cleaner hat noch 26 Einträge gefunden mit der Endung des komischen Programms Pro Clean habe dann alle Einträge gelöscht und nochmal geprüft mit dem Adw keine Einträge mehr gefunden, als nächstes mit dem Tool Malwarebytes Anti-Malware auch geprüft und es wurden 13 Einträge gefunden habe auch diese gelöscht und nochmal geprüft dan wurden keine Einträge mehr gefunden.
Was für mich noch sehr seltsam war das nach dem Vierenbefall mein Rechner automatisch einen Neustart gemacht hat ohne das ich etwas getan habe.
Frage an Euch ist das System nun wieder sauber ? oder lieber neu aufsetzen habe Windows 10 / 64 Bit Home ? warum schreibt Die Kaspersky Internetsecurity es ist alles sauber und der Adw Cleaner findet noch diverse Einträge ? und sol ich noch mit dem Kaspersky Rescue Disk 10 was ich auf CD brenne muss prüfen ?
Danke schon mal für Eure Hilfe
Geschrieben von: Rene-gad 23.01.2017, 17:32
Hallo
das hat anscheinend Kaspersky gemacht. Nach dem Entfernen von Schadsoftware macht (fast) jedes Tool einen Neustart oder schlägt es vor.
Geschrieben von: jense 24.01.2017, 08:28
Hallo
ich danke Dir für die schnelle Antwort.
Ist denn nun das System jetzt wieder sauber oder doch lieber neu aufsetzen ?
Geschrieben von: simracer 24.01.2017, 10:41
jense, lass doch dein System im Trojaner Board hier: http://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/ überprüfen und bei Bedarf bereinigen. Und danach wenn es wieder sauber ist, regelmässig Systembackups/images machen.
Geschrieben von: jense 24.01.2017, 14:36
Hallo
ich danke Dir das ist eine gute Idee, das wußte ich gar nicht das es so etwas gibt.
Geschrieben von: niceday 25.01.2017, 10:25
Hallo jense, ich gehe davon aus das Du leider freac-1.0.27.exe leider mit dem CHIP-Installer
runter geladen hast. Info da zu http://anleitung.trojaner-board.de/chip-installer
freac-1.0.27.exe selber wird jedenfalls nicht als Malware bei VT angezeigt:
https://www.virustotal.com/en/file/6877202e368e70972166df0e9314fd297a6d1327a326f365bcf2b621770d9998/analysis/1485289212/
Des weiteren gehe ich davon aus das es sich bei dem "Programm Namens Pro Cleaner"
um das Programm Pro PC Cleaner.
Empfohlene Reinigung von Kaspersky findest Du unter:
http://www.trojaner-board.de/157298-pc-cleaner-pro-2014-entfernen.html
Geschrieben von: calimero 26.01.2017, 02:29
chip braucht eigentlich mal an die fresse... 
Geschrieben von: Sparks 26.01.2017, 19:28
So drastisch würde ich es nicht ausdrücken wollen, aber in der Tat ist das nicht das erste Mal, dass bei dem einen oder anderen Programm, was dort zum Download angeboten wird, etwas unerwünschtes dabei ist.
Was mich aber auch immer zunehmend ärgert, ist, dass viele Programme nur noch über einen Installer angeboten werden, welcher dann im Hintergrund und nicht sichtbar das eigentliche Programm herunterlädt und installiert. Ich halte das für eine ganz schlechte Masche die man sich wieder abgewöhnen sollte. Das aber nur am Rande.
Geschrieben von: Peter 123 26.01.2017, 22:36
mir hat das a´ber nicht gefallen und ich wollte das wieder deinstallieren
Was ich schreibe, nützt für den konkreten Fall natürlich nichts mehr, aber vielleicht für die Zukunft:
Installiert und testet neue Programme nie "direkt" auf eurem System! Es gibt so schöne Software, mit der man das "virtuell" machen kann. Das heißt, man installiert und testet zwar das Programm, aber bei Nichtgefallen startet man einfach seinen Computer neu, und dieser ist dann wieder exakt im gleichen Zustand wie vor der Installation.
Solche Software gibt es, wie gesagt, diverse. Ich persönlich verwende "Shadow Defender" (einen Thread dazu gibt's http://www.rokop-security.de/index.php?showtopic=19391). Es kostet 35 Dollar und ist sein Geld mehr als wert. Einzige Einschränkung: Programme, die einen Neustart des Rechners erfordern, kann man damit nicht testen (eben deshalb, weil beim Neustart die Installation ja wieder verloren geht). Aber solche Programme kommen mir fast nie unter.
Geschrieben von: der allgäuer 26.01.2017, 22:49
bei chip gibts meistens die "manuelle installation".
die sollte man auch nutzen.
Geschrieben von: KHL64 27.01.2017, 12:17
die sollte man auch nutzen.
Nicht mal die hat der oben angesprochene Converter,also lieber gleich zur Herstellerseite.
KHL64
Geschrieben von: simracer 27.01.2017, 16:14
jense, ich glaube nicht das nur durch die Installation von freac mittels Installer von Chip deine ganze Adware ionstalliert wurde. Da musst du auch an anderer Stelle schon nicht aufgepasst haben. Warum meine Behauptung? ich habe heute mal freac mit dem Installer bei Chip installiert, sah während der Installation nichts von Adware die der Installer hätte mitinstallieren wollen und nach der Installation hatte ich nacheinander mein System überprüft mit Adwcleaner, JRT und Malwarebytes Free 3. Anbei die 3 Scanberichte:
# Aktualisiert am 06/01/2017 von Malwarebytes
# Datenbank : 2017-01-26.2 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (X64)
# Benutzername :
# Gestartet von : E:\adwcleaner_6.042.exe
# Modus: Löschen
# Unterstützung : https://www.malwarebytes.com/support
***** [ Dienste ] *****
***** [ Ordner ] *****
***** [ Dateien ] *****
***** [ DLL ] *****
***** [ WMI ] *****
***** [ Verknüpfungen ] *****
***** [ Aufgabenplanung ] *****
***** [ Registrierungsdatenbank ] *****
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{6ABB1C11-E261-4CEA-BBB5-3836225689DD}
***** [ Browser ] *****
*************************
:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt
:: "Prefetch" Dateien gelöscht
:: Proxy Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht
*************************
C:\AdwCleaner\AdwCleaner[C0].txt - [1293 Bytes] - [23/01/2017 16:06:15]
C:\AdwCleaner\AdwCleaner[C2].txt - [1123 Bytes] - [27/01/2017 12:36:43]
C:\AdwCleaner\AdwCleaner[S0].txt - [1368 Bytes] - [23/01/2017 16:05:29]
C:\AdwCleaner\AdwCleaner[S1].txt - [1501 Bytes] - [27/01/2017 12:36:06]
########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1342 Bytes] ##########
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.0 (12.05.2016)
Operating System: Windows 7 Professional x64
Ran by (Administrator) on 27.01.2017 at 12:41:18,49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File System: 25
Successfully deleted: C:\ProgramData\1484221134.bdinstall.bin (File)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0DF130PP (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7GSBIGE8 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BNA6RIFF (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LHD4HZPW (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PSCJ7TRU (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q994M6OO (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QODW43PH (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TNQWZT83 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U72FMGSO (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9XZ2LAW (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W2MTXQD3 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\X66XFQSV (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0DF130PP (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7GSBIGE8 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BNA6RIFF (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LHD4HZPW (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PSCJ7TRU (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q994M6OO (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QODW43PH (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TNQWZT83 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U72FMGSO (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9XZ2LAW (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W2MTXQD3 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\X66XFQSV (Temporary Internet Files Folder)
Registry: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 27.01.2017 at 12:42:34,87
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 27.01.17
Scan-Zeit: 12:44
Protokolldatei: Malwarebytes Scan.txt
Administrator: Ja
-Softwaredaten-
Version: 3.0.4.1269
Komponentenversion: 1.0.39
Version des Aktualisierungspakets: 1.0.1110
Lizenz: Kostenlos
-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer:
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 349350
Abgelaufene Zeit: 5 Min., 52 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswert: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Datei: 0
(keine bösartigen Elemente erkannt)
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
(end)
Geschrieben von: Peter 123 27.01.2017, 16:58
Hast du die Deinstallation auch getestet? So, wie es jense schildert, ist die Infektion erst dabei passiert:
Kommt mir zwar ungewöhnlich vor, dass sich ein Programm erst bei der Deinstallation eines anderen installieren möchte, aber wer weiß ...
Geschrieben von: simracer 27.01.2017, 17:49
Peter123, auch während der Deinstallation von freac(das Programm war nicht unter Programme aufgegeführt, ich rief das installationsverzeichnis auf in dem auch der Uninstaller dafür war), bekam ich nichts davon mit das versucht worden wäre, Adware unterzujubeln und ich glaube behaupten zu können, das ich sehr vorsichtig und aufpasserisch bin beim installieren von Freeware. Was ich nicht weiß ist ob die 2 Funde in Zusammenhang mit der Installation von freac gebracht werden können oder nicht.
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\CLSID\{6ABB1C11-E261-4CEA-BBB5-3836225689DD}
Geschrieben von: Peter 123 27.01.2017, 18:04
Danke für die Klarstellung, simracer.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)