Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ unbekannter Schädling
Geschrieben von: Birgit 19.07.2015, 13:51
Hallo zusammen,
ich brauche eure Hilfe.
G-Data meldet einen unbekanntem Schädling.Ich lade mal die genaue Beschreibung hoch.
Habe eine Boot-CD ersellt und durchlaufen lassen, aber gefunden bzw. entfernt wurde der Schädling wohl nicht.
Was kann ich noch tun.
Bin jetzt an meinem Laptop, der PC von meinem Mann stürzt ständig ab.
|
Geschrieben von: simracer 19.07.2015, 14:06
Installiere mal Malwarebytes Free indem du Malwarebytes installierst und im letzten Fenster die Testphase von Malwarebytes Pro abwählst. Dann mach damit mal den Bedrohungssuchlauf nachdem du die Virendatenbank aktualisiert hast. Poste idealerweise auch den Scanbericht und schreibe uns ob du noch Probleme hast. Wenn ja, lade mal AdwCleaner runter und bereinige damit dein System. Wie du AdwCleaner ausführst, hab ich hier einenem anderen User beschrieben:
Geschrieben von: Birgit 19.07.2015, 17:08
Hallo simracer,
Hier mal der Log.
G-Data zeigt mir jedesmal diese Meldung beim Updaten.
unkware (PUP): Script.Adware.DealPly.G (Engine B)
Junkware (PUP) beim Laden von Web-Inhalten gefunden.
Adresse: hxxp://i.sgbfbsjs.info/sgbf/javascript.js?hid=58&channel=FF
Status: Der Zugriff wurde verweigert.
Hatte D-Data vergessen auszuschalten, AdwCleaner wird als bösartiges Programm Deklariert. 
Geschrieben von: simracer 19.07.2015, 18:41
Das ist ein False Positive von G-Data. Wie du im Log von G-Data sehen kannst, handelt es sich um PUP und Scanner wie AdwCleaner und auch Malwarebytes Free sind darauf ausgerichtet PUP und Adware Infizierungen zu erkennen und löschen zu können. Wenn du also willst, dann überprüf mal wie beschrieben dein System nacheinander mit Malwarebytes Free und danach mit AdwCleaner und lassgefundene infektionen von denen bereinigen, die werden dann jeweils in die Quarantänen verschoben. Wenn du Glück hast werden somit deine Infizierungen erkannt und beseitigt. Und denk dran: wenn die Scanner laufen, lieber so lange den G-Data Echtzeitschutz deaktivieren.
Geschrieben von: Birgit 19.07.2015, 19:04
Mit Malwarebytes Free hatte ich schon gescannt. Siehe Log.
Danke erst einmal für deine Hilfe
Geschrieben von: simracer 19.07.2015, 19:27
Das ist nicht das Log des Malwarebytes Scan 
du findest das Log bei geöffneten Malwarebytes unter Verlauf/Anwendungsprotokolle. Wähle dort das Log zu dem Scan aus, indem du bei Suchlaufprotokolle schaust, hast du es dann gefunden, öffne es und gehe links unten auf Export, wähle dort Textdatei und als Speicherort idealerweise Desktop und gib der Textdatei eine Bezeichnung wie zum Beispiel Malwarebytes Scan. Poste dann den Inhalt dieses Logs oder lade es hoch damit man sieht ob Malwarebytes etwas gefunden hat. So ein scanbericht schaut dann zum Beispiel so aus:
www.malwarebytes.org
Suchlaufdatum: 07.05.2015
Suchlaufzeit: 22:37
Protokolldatei: Scan2.txt
Administrator: Ja
Version: 2.01.6.1022
Malware-Datenbank: v2015.05.07.04
Rootkit-Datenbank: v2015.04.21.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer:
Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 349245
Abgelaufene Zeit: 12 Min., 48 Sek.
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(keine bösartigen Elemente erkannt)
Module: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswerte: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Dateien: 0
(keine bösartigen Elemente erkannt)
Physische Sektoren: 0
(keine bösartigen Elemente erkannt)
(end)
Geschrieben von: Birgit 19.07.2015, 19:43
Bei Malwarebytes Scan habe ich schon löschen lassen.Und nun?
Hab das Programm nochmal geöffnet, und kann dieses hier nochmal zeigen.
Hier mal der andere Log.
Ist der PC jetzt hiermit "sauber"
Muss ich bei den beiden Programmen noch ein Löschvorgang durchlaufen lassen?
Geschrieben von: simracer 19.07.2015, 20:05
Schon besser so mit den Scanberichten 
hast du bei AdwCleaner nach dem Suchlauf auch löschen lassen inkl. Systemreboot durch AdwCleaner? wenn nein, wiederhole AdwCleaner und lass auch dessen Funde löschen und danach das System neu starten. Abschliessend: lade dir Eset Online Scanner: http://www.eset.com/de/home/products/online-scanner/ runter oder alternativ Emsisoft Emergency Kit: http://www.emsisoft.de/de/software/eek/ und überprüf mit einem der beiden nochmal dein System. G-Data meldet dir jetzt keine Gefahr mehr?
Geschrieben von: Birgit 19.07.2015, 20:19
Bei AdwCleaner habe ich auch löschen lassen. Danach wurde der PC neu gestartet.
Wenn ich den E-Set Online Scanner durchlaufen lasse muss ich G-Data dann auch ausschalten?
D-Data zeigt das hier immer wieder an.
unkware (PUP): Script.Adware.DealPly.G (Engine B)
Junkware (PUP) beim Laden von Web-Inhalten gefunden.
Adresse: hxxp://i.sgbfbsjs.info/sgbf/javascript.js?hid=58&channel=FF
Status: Der Zugriff wurde verweigert.
Hab jetzt eingegeben das, dass nicht mehr angezeigt wird.
Ist ja nichts gefährliches oder?
Ich hoffe die stellen bald ein Update bereit.
Ansonsten weiss ich nicht ob der Fingerprint nun verschwunden ist.
Da es keine Datei ist der Fingerprint kann ich die nicht zu G-Data Einsenden.
Geschrieben von: simracer 19.07.2015, 20:49
Du hattest dir wohl die Toolbar DealPy.G eingefangen und die scheint noch aktiv zu sein sonst würde sich G-Data nicht melden. Lade dir mal Junkware Removal Tool: http://filepony.de/download-junkware_removal_tool/ runter, speichere das auf deinem Desktop, beende wieder G-Data, Browser usw und führe dann JRT als Administrator aus und starte den Scan(JRT bereinigt auch gleich Funde automatisch)durch drücken einer beliebigen Taste. Wenn JRT fertig ist, wird dir automatisch ein Textdokument JRT auf dem Desktop erstellt und gleichzeitig ist JRT dann auch fertig. reboote dann dein System und beobachte ob G-Data immer noch die Gefahr meldet. Wenn ja, dann warte ob es hier User gibt die dir besser helfen können als ich oder wende dich ans Trojaner Board die haben schon Erfahrung mit der Beseitigung dieser Infektion: http://www.trojaner-board.de/164022-win7-virenalarm-virus-script-adware-dealply-g-engine-b.html
Geschrieben von: Birgit 19.07.2015, 20:54
Das dumme ist ich habe jetzt angeklickt, dass G-Data das nicht mehr anzeigen soll.
Geschrieben von: simracer 19.07.2015, 21:04
Das war glaube ich nicht so gut, kannst das wieder rückgängig machen? denn ich vermute, da ist noch etwas aktiv von dieser Toolbar Infektion. Versuch auf alle Fälle mal die Bereinigung mit JRT und danach mit Eset Online Scanner denn JRT hat diese Toolbar auf jeden Fall in seiner Erkennung(kann man auf deren Homepage nachlesen).
Geschrieben von: Birgit 19.07.2015, 21:11
Hier das JRT
Wo kann man das denn Rückgängig machen?
Geschrieben von: simracer 19.07.2015, 21:44
Frag mich das nicht, ich benutze G-Data nicht. Du hast dir wohl die Toolbar eingefangen als du iobit DriverBooster installiert hattest. Wenn DriverBooster noch in Systemsteuerung/Software auftauchen sollte deinstalliere den und lösche auch Ordner von iobit in Programme(x86), Programme und Programm Data sowie in deinem Userprofil unter AppData und Roaming falls sich da noch etwas von iobit findet.
Geschrieben von: Birgit 19.07.2015, 22:37
Hier de E-Set Scan Bericht.
Das ist aber nicht die besagte Toolbar.
Und nochmal vielen Dank für deine Hilfe!
Geschrieben von: Schulte 19.07.2015, 22:43
Hi Birgit,
mit G-Data kann ich Dir leider auch nicht weiterhelfen.
Du solltest aber auf jeden Fall Deine Systemeinstellungen prüfen, ob ein Proxyserver eingetragen ist. Üblicherweise ist das nicht der Fall.
Falls doch, könnte dieser für die Meldungen verantwortlich sein. Er könnte Inhalte der aufgerufenen Webseiten verändern und/oder das beanstandete Script in Seiten einfügen.
Nachtrag, da sich unsere Posts überschnitten haben:
erstaunlich, was IObit so alles installiert...
Geschrieben von: calimero 19.07.2015, 23:17
edit
Geschrieben von: calimero 19.07.2015, 23:28
schritt eins, dealply deinstallieren
revo uninstaller installieren, download -> http://www.revouninstaller.com/start_freeware_download.html
damit nach "dealply" suchen und alles was du findest deinstallieren, methode moderate. nun machst das gleiche mit allem von "iobit".
schritt zwei, browser reinigen
Klickt auf den Reiter „Erweiterungen“
2. Entfernt nun alle DealPly-Einträge aus der Liste
3. Wählt „Suchmaschine verwalten“ im Suchfeld oben rechts im Browser
4. Entfernt die DealPly als Standardsuche und richtet eine andere ein
5. Schließt nun den Browser und startet den PC neu
2. Öffnet die Einstellungen (Drei Streifen, oben rechts)
3. Wählt die zweite Einstellung „Beim Start“ und klickt beim letzten Punkt auf „Seite festlegen“
chrome-beim start-seite öffnen
4. Nun DealPly entfernen, indem ihr auf X klickt
5. Nun in die Erweiterungen wechseln
6. Auch hier alle Einträge für DealPly entfernen
7. Entfernt DealPly außerdem aus der Suche und stellt eine andere ein
2.Klickt auf Extras und wählt Add-Ons verwalten
3.Entfernt DealPly aus Symbolleisten und Erweiterungen
Auch aus Suchanbieter fliegt die Toolbar raus und wird durch eine andere Suche ersetzt
4.Wählt den Reiter „Erweitert“ und wählt „Zurücksetzen“
5.Aktiviert den Haken bei „Persönliche Einstellungen löschen“ und betätigt erneut „Zurücksetzen“
nun noch um ganz sicher zu gehen avast browser clean up installieren und ausführen inkl. zurücksetzen der browser
dealply sollte nun von system sein. neustarten. nach den neustart scan nochmal mit adw cleaner und poste bitte die logs.
merke!
finger weg von iobit, siehe hier post
Geschrieben von: calimero 19.07.2015, 23:39
lol ich seh grad das eset log
C:\Users\All Users\IObit\ASCDownloader\Advanced SystemCare.exe Variante von Win32/Toolbar.Widgi.B evtl. unerwünschte Anwendung
C:\ProgramData\IObit\ASCDownloader\Advanced SystemCare.exe Variante von Win32/Toolbar.Widgi.B evtl. unerwünschte Anwendung gelöscht - in Quarantäne kopiert
hier die lösung, ist schnell gemacht
https://www.oshidefender.com/threats/a+variant+of+Win32.Toolbar.Widgi.G+application/removal-guide
defender downloaden, scannen, killen, fertig. kann aber auch sein das eset alles schon geputzt hat.
danach scan die kiste mal von oben bis unten durch und post nen paar logs...
Geschrieben von: scu 20.07.2015, 09:20
Den Rechner einmal neustarten und die Meldung sollte eigentlich wieder kommen.
Geschrieben von: Birgit 20.07.2015, 11:19
Ich danke euch allen!
Werde das Morgeni n Angriff nehmen, muss gleich Arbeiten.
Melde mich dann wieder.
Geschrieben von: simracer 20.07.2015, 11:25
"Einspruch" calimero, wenn dann würde ich Geek Uninstaller: http://www.geekuninstaller.com/de empfehlen, unterstützt im Gegensatz zu Revo Free auch 64 Bit Anwendungen bzw erkennt diese und listet die zur Deinstallation auf und muss nicht installiert werden weil er portabel ist.
Geschrieben von: calimero 20.07.2015, 15:07
jo mag sein,... aber in diesen fall reicht revo. welchen uninstaller man wählt wird in diesen fall wohl egal sein, hauptsache kein iobit 
laut beschreibungen ist der shit dann aber weg, software deinstallieren, browser säubern,...das erstmal wichtig...
mfg
Geschrieben von: simracer 21.07.2015, 09:34
Na ja calimero hoffentlich liegste da nicht falsch, hatte wegen Birgit ja auch DriverBooster installiert gehabt, es wurde mir keine Toolbar untergejubelt und Advanced System Care Free hatte ich abgewählt und danach fanden weder AdwCleaner noch Malwarebytes etwas und ich deinstallierte dann DriverBooster wieder mit Geek Uninstaller. Gerade eben hab ich JRT durchlaufen lassen und siehe da:
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.5.1 (07.16.2015:1)
OS: Windows 7 Professional x64
Ran by on 21.07.2015 at 10:08:51,61
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Tasks
Successfully deleted: [Task] C:\Windows\system32\tasks\Driver Booster SkipUAC ()
Successfully deleted: [Task] C:\Windows\system32\tasks\Uninstaller_SkipUac_
~~~ Registry Values
~~~ Registry Keys
~~~ Files
~~~ Folders
Successfully deleted: [Folder] C:\ProgramData\IObit\Driver Booster
Successfully deleted: [Folder] C:\ProgramData\productdata
Successfully deleted: [Folder] C:\Users\\AppData\Roaming\IObit\Driver Booster
Successfully deleted: [Folder] C:\Users\\AppData\Roaming\productdata
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 21.07.2015 at 10:14:02,45
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Geschrieben von: Birgit 21.07.2015, 20:16
@calimero,
der Revoun-Unistaller hat nichts gefunden kein Iobit, und auch kein DealPly
Hab bei den Erweiterungen geschaut das ist auch kein DealPly gelistet.
Suchmaschine verwalten finde ich nicht!
@ simracer
auch Geek Uninstaller hat nichts gefunden.
Angezeigt wird die Meldung trotzdem noch von G-Data.
Geschrieben von: simracer 21.07.2015, 21:20
Hast du auch mal mit G-Data eine Vollständige Überprüfung per OnDemand Scan gemacht? Meine Logik sagt mir wenn der Echtzeitschutz die Bedrohung erkennt, dann müsste die ja auch per Scan erkannt und hoffentlich entfernt werden können. Als Scanner zun bereinigen fiele mir aktuell jetzt nur noch Eset Online Scanner ein von dessen Einstellungen ich ein paar Bilder für dich gemacht habe. Hilft das auch alles nichts, wende dich entweder direkt an G-Data und erwähne den Thread hier oder versuch es mal im Trojaner Board, die hatten schon mit dem Schädling zu tun gehabt.
http://abload.de/image.php?img=15iu5i.jpg http://abload.de/image.php?img=2xwul8.jpg http://abload.de/image.php?img=3o4ub1.jpg http://abload.de/image.php?img=4kxuia.jpg
Geschrieben von: Rene-gad 22.07.2015, 07:58
gib im FX die Adresse ein:
Geschrieben von: calimero 23.07.2015, 14:50
oder in der suchen leiste auf das lupensymol klicken. wenn sonnst alles clean ist, biste den dreck zumindest los. wenn da sonnst nichts ist... ?!
Geschrieben von: simracer 23.07.2015, 16:36
Birgit, gehe bei Firefox in Extras/Einstellungen/Suche und schau dann unter Standardsuchmaschine und Ein Klick Suchmaschinen nach ob da noch DealPly gelistet ist. Wenn ja dann markiere DealPly und klicke dann auf Entfernen.
Geschrieben von: calimero 24.07.2015, 11:47
viele wege führen nach rom...
Geschrieben von: Birgit 24.07.2015, 20:22
@simracer
Den Eset Online Scanner hatte ich durchlaufen lassen, alles sauber.
G-Data lasse ich gerade nochmal laufen, wurde wieder Driver Sweeper angezeigt.
Bei G-Data war in Voreinstellung Datei Zugriff sperren, ich habe es aber löschen lassen.
Die Toolbar ist bis jetzt nicht mehr angezeigt worden.
@ Rene-gad
ich komme so immer in die Allgemeinen Einstellungen und nicht auf die Suchmaschinen
@simracer
danke habe es gefunden, kein Eintrag von DealPly
Danke für eure Hilfe!
Geschrieben von: Rene-gad 25.07.2015, 13:11
dann macht du was falsch: Tippfehler oder so...
|
Geschrieben von: florian5248 25.07.2015, 18:25
Birgit, möchte mich da mal einklinken.
An deiner Stelle, mit soviel Stress und Zeit Verschenkung, hätte ich schon den Rechner neu aufgesetzt. Meine Meinung
Grüße
Geschrieben von: simracer 25.07.2015, 19:30
Oder Sie hätte sich mal ans Trojaner Board gewendet, die haben jeden Tag mit so etwas zu tun: http://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/
Geschrieben von: Capulcu 16.08.2015, 09:58
@Birgit
Das willst Du jetzt nicht hören, aber wenn ein System einmal kompromittiert ist sollte man alle Bastelversuche lassen und das System neu aufsetzen und danach sofort ein Image schreiben (kann dann im Wiederholungsfall schnell zurückgespielt werden).
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)