Hilfe - Suche - Mitglieder - Kalender
Vollansicht: unbekannter Schädling
Rokop Security > Security > Trojaner, Viren und Würmer
Birgit
Hallo zusammen,

ich brauche eure Hilfe.

G-Data meldet einen unbekanntem Schädling.Ich lade mal die genaue Beschreibung hoch.
Habe eine Boot-CD ersellt und durchlaufen lassen, aber gefunden bzw. entfernt wurde der Schädling wohl nicht.


Was kann ich noch tun.

Bin jetzt an meinem Laptop, der PC von meinem Mann stürzt ständig ab.

simracer
Installiere mal Malwarebytes Free indem du Malwarebytes installierst und im letzten Fenster die Testphase von Malwarebytes Pro abwählst. Dann mach damit mal den Bedrohungssuchlauf nachdem du die Virendatenbank aktualisiert hast. Poste idealerweise auch den Scanbericht und schreibe uns ob du noch Probleme hast. Wenn ja, lade mal AdwCleaner runter und bereinige damit dein System. Wie du AdwCleaner ausführst, hab ich hier einenem anderen User beschrieben:
ZITAT
lade dann AdwCleaner runter, beende den Echtzeitschutz deines AV's, lasse keine anderen Anwendungen wie Browser usw. laufen, starte AdwCleaner als Administrator, dann zuerst Suchlauf starten, danach Bericht anschauen, den wieder schliessen und danach auf Löschen gehen. Wenn du magst poste den Bericht ob und was AdwCleaner bereinigt hat. Wichtig ist auch das du AdwCleaner dein System neu starten lässt wegen der Bereinigung.
Quelle: http://www.computerbase.de/forum/showthrea...65#post17645365
Birgit
Hallo simracer,



Hier mal der Log.

G-Data zeigt mir jedesmal diese Meldung beim Updaten.

unkware (PUP): Script.Adware.DealPly.G (Engine B)

Junkware (PUP) beim Laden von Web-Inhalten gefunden.

Adresse: hxxp://i.sgbfbsjs.info/sgbf/javascript.js?hid=58&channel=FF
Status: Der Zugriff wurde verweigert.

Hatte D-Data vergessen auszuschalten, AdwCleaner wird als bösartiges Programm Deklariert. unsure.gif unsure.gif
simracer
ZITAT
Hatte D-Data vergessen auszuschalten, AdwCleaner wird als bösartiges Programm Deklariert. unsure.gif unsure.gif

Das ist ein False Positive von G-Data. Wie du im Log von G-Data sehen kannst, handelt es sich um PUP und Scanner wie AdwCleaner und auch Malwarebytes Free sind darauf ausgerichtet PUP und Adware Infizierungen zu erkennen und löschen zu können. Wenn du also willst, dann überprüf mal wie beschrieben dein System nacheinander mit Malwarebytes Free und danach mit AdwCleaner und lassgefundene infektionen von denen bereinigen, die werden dann jeweils in die Quarantänen verschoben. Wenn du Glück hast werden somit deine Infizierungen erkannt und beseitigt. Und denk dran: wenn die Scanner laufen, lieber so lange den G-Data Echtzeitschutz deaktivieren.
Birgit
Mit Malwarebytes Free hatte ich schon gescannt. Siehe Log.

Danke erst einmal für deine Hilfe
simracer
Das ist nicht das Log des Malwarebytes Scan wink.gif du findest das Log bei geöffneten Malwarebytes unter Verlauf/Anwendungsprotokolle. Wähle dort das Log zu dem Scan aus, indem du bei Suchlaufprotokolle schaust, hast du es dann gefunden, öffne es und gehe links unten auf Export, wähle dort Textdatei und als Speicherort idealerweise Desktop und gib der Textdatei eine Bezeichnung wie zum Beispiel Malwarebytes Scan. Poste dann den Inhalt dieses Logs oder lade es hoch damit man sieht ob Malwarebytes etwas gefunden hat. So ein scanbericht schaut dann zum Beispiel so aus:
ZITAT
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 07.05.2015
Suchlaufzeit: 22:37
Protokolldatei: Scan2.txt
Administrator: Ja

Version: 2.01.6.1022
Malware-Datenbank: v2015.05.07.04
Rootkit-Datenbank: v2015.04.21.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer:

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 349245
Abgelaufene Zeit: 12 Min., 48 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
Birgit
Bei Malwarebytes Scan habe ich schon löschen lassen.Und nun?
Hab das Programm nochmal geöffnet, und kann dieses hier nochmal zeigen.

Hier mal der andere Log.

Ist der PC jetzt hiermit "sauber"

Muss ich bei den beiden Programmen noch ein Löschvorgang durchlaufen lassen?
simracer
Schon besser so mit den Scanberichten smile.gif hast du bei AdwCleaner nach dem Suchlauf auch löschen lassen inkl. Systemreboot durch AdwCleaner? wenn nein, wiederhole AdwCleaner und lass auch dessen Funde löschen und danach das System neu starten. Abschliessend: lade dir Eset Online Scanner: http://www.eset.com/de/home/products/online-scanner/ runter oder alternativ Emsisoft Emergency Kit: http://www.emsisoft.de/de/software/eek/ und überprüf mit einem der beiden nochmal dein System. G-Data meldet dir jetzt keine Gefahr mehr?
Birgit
Bei AdwCleaner habe ich auch löschen lassen. Danach wurde der PC neu gestartet.
Wenn ich den E-Set Online Scanner durchlaufen lasse muss ich G-Data dann auch ausschalten?


D-Data zeigt das hier immer wieder an.

unkware (PUP): Script.Adware.DealPly.G (Engine B)

Junkware (PUP) beim Laden von Web-Inhalten gefunden.

Adresse: hxxp://i.sgbfbsjs.info/sgbf/javascript.js?hid=58&channel=FF
Status: Der Zugriff wurde verweigert.


Hab jetzt eingegeben das, dass nicht mehr angezeigt wird.
Ist ja nichts gefährliches oder?

Ich hoffe die stellen bald ein Update bereit.


Ansonsten weiss ich nicht ob der Fingerprint nun verschwunden ist.
Da es keine Datei ist der Fingerprint kann ich die nicht zu G-Data Einsenden.
simracer
Du hattest dir wohl die Toolbar DealPy.G eingefangen und die scheint noch aktiv zu sein sonst würde sich G-Data nicht melden. Lade dir mal Junkware Removal Tool: http://filepony.de/download-junkware_removal_tool/ runter, speichere das auf deinem Desktop, beende wieder G-Data, Browser usw und führe dann JRT als Administrator aus und starte den Scan(JRT bereinigt auch gleich Funde automatisch)durch drücken einer beliebigen Taste. Wenn JRT fertig ist, wird dir automatisch ein Textdokument JRT auf dem Desktop erstellt und gleichzeitig ist JRT dann auch fertig. reboote dann dein System und beobachte ob G-Data immer noch die Gefahr meldet. Wenn ja, dann warte ob es hier User gibt die dir besser helfen können als ich oder wende dich ans Trojaner Board die haben schon Erfahrung mit der Beseitigung dieser Infektion: http://www.trojaner-board.de/164022-win7-v...g-engine-b.html
Birgit
Das dumme ist ich habe jetzt angeklickt, dass G-Data das nicht mehr anzeigen soll.
simracer
Das war glaube ich nicht so gut, kannst das wieder rückgängig machen? denn ich vermute, da ist noch etwas aktiv von dieser Toolbar Infektion. Versuch auf alle Fälle mal die Bereinigung mit JRT und danach mit Eset Online Scanner denn JRT hat diese Toolbar auf jeden Fall in seiner Erkennung(kann man auf deren Homepage nachlesen).
Birgit
Hier das JRT

Wo kann man das denn Rückgängig machen?

simracer
Frag mich das nicht, ich benutze G-Data nicht. Du hast dir wohl die Toolbar eingefangen als du iobit DriverBooster installiert hattest. Wenn DriverBooster noch in Systemsteuerung/Software auftauchen sollte deinstalliere den und lösche auch Ordner von iobit in Programme(x86), Programme und Programm Data sowie in deinem Userprofil unter AppData und Roaming falls sich da noch etwas von iobit findet.
Birgit
Hier de E-Set Scan Bericht.
Das ist aber nicht die besagte Toolbar.

Und nochmal vielen Dank für deine Hilfe!

Schulte
Hi Birgit,

mit G-Data kann ich Dir leider auch nicht weiterhelfen.

Du solltest aber auf jeden Fall Deine Systemeinstellungen prüfen, ob ein Proxyserver eingetragen ist. Üblicherweise ist das nicht der Fall.
Falls doch, könnte dieser für die Meldungen verantwortlich sein. Er könnte Inhalte der aufgerufenen Webseiten verändern und/oder das beanstandete Script in Seiten einfügen.

Nachtrag, da sich unsere Posts überschnitten haben:
erstaunlich, was IObit so alles installiert...
calimero
edit
calimero
schritt eins, dealply deinstallieren

revo uninstaller installieren, download -> http://www.revouninstaller.com/start_freeware_download.html

damit nach "dealply" suchen und alles was du findest deinstallieren, methode moderate. nun machst das gleiche mit allem von "iobit".


schritt zwei, browser reinigen

ZITAT
1. Ruft entweder über Firefox > Add-Ons oder Extras > Add-Ons (Strg+Umschalt+A) die Add-On-Verwaltung auf
Klickt auf den Reiter „Erweiterungen“
2. Entfernt nun alle DealPly-Einträge aus der Liste
3. Wählt „Suchmaschine verwalten“ im Suchfeld oben rechts im Browser
4. Entfernt die DealPly als Standardsuche und richtet eine andere ein
5. Schließt nun den Browser und startet den PC neu


ZITAT
1. Startet Google Chrome
2. Öffnet die Einstellungen (Drei Streifen, oben rechts)
3. Wählt die zweite Einstellung „Beim Start“ und klickt beim letzten Punkt auf „Seite festlegen“
chrome-beim start-seite öffnen
4. Nun DealPly entfernen, indem ihr auf X klickt
5. Nun in die Erweiterungen wechseln
6. Auch hier alle Einträge für DealPly entfernen
7. Entfernt DealPly außerdem aus der Suche und stellt eine andere ein


ZITAT
1.Führt den IE aus
2.Klickt auf Extras und wählt Add-Ons verwalten
3.Entfernt DealPly aus Symbolleisten und Erweiterungen
Auch aus Suchanbieter fliegt die Toolbar raus und wird durch eine andere Suche ersetzt
4.Wählt den Reiter „Erweitert“ und wählt „Zurücksetzen“
5.Aktiviert den Haken bei „Persönliche Einstellungen löschen“ und betätigt erneut „Zurücksetzen“


nun noch um ganz sicher zu gehen avast browser clean up installieren und ausführen inkl. zurücksetzen der browser

dealply sollte nun von system sein. neustarten. nach den neustart scan nochmal mit adw cleaner und poste bitte die logs.

merke!
finger weg von iobit, siehe hier post
calimero
lol ich seh grad das eset log

C:\Users\All Users\IObit\ASCDownloader\Advanced SystemCare.exe Variante von Win32/Toolbar.Widgi.B evtl. unerwünschte Anwendung
C:\ProgramData\IObit\ASCDownloader\Advanced SystemCare.exe Variante von Win32/Toolbar.Widgi.B evtl. unerwünschte Anwendung gelöscht - in Quarantäne kopiert

hier die lösung, ist schnell gemacht
https://www.oshidefender.com/threats/a+vari...n/removal-guide

defender downloaden, scannen, killen, fertig. kann aber auch sein das eset alles schon geputzt hat.

danach scan die kiste mal von oben bis unten durch und post nen paar logs...

scu
ZITAT(Birgit @ 19.07.2015, 21:54) *
Das dumme ist ich habe jetzt angeklickt, dass G-Data das nicht mehr anzeigen soll.

Den Rechner einmal neustarten und die Meldung sollte eigentlich wieder kommen.
Birgit
Ich danke euch allen!
Werde das Morgeni n Angriff nehmen, muss gleich Arbeiten.

Melde mich dann wieder.
simracer
ZITAT
revo uninstaller installieren, download -> http://www.revouninstaller.com/start_freeware_download.html

"Einspruch" calimero, wenn dann würde ich Geek Uninstaller: http://www.geekuninstaller.com/de empfehlen, unterstützt im Gegensatz zu Revo Free auch 64 Bit Anwendungen bzw erkennt diese und listet die zur Deinstallation auf und muss nicht installiert werden weil er portabel ist.
calimero
jo mag sein,... aber in diesen fall reicht revo. welchen uninstaller man wählt wird in diesen fall wohl egal sein, hauptsache kein iobit biggrin.gif
laut beschreibungen ist der shit dann aber weg, software deinstallieren, browser säubern,...das erstmal wichtig...

mfg
simracer
ZITAT
laut beschreibungen ist der shit dann aber weg, software deinstallieren, browser säubern,...das erstmal wichtig...

Na ja calimero hoffentlich liegste da nicht falsch, hatte wegen Birgit ja auch DriverBooster installiert gehabt, es wurde mir keine Toolbar untergejubelt und Advanced System Care Free hatte ich abgewählt und danach fanden weder AdwCleaner noch Malwarebytes etwas und ich deinstallierte dann DriverBooster wieder mit Geek Uninstaller. Gerade eben hab ich JRT durchlaufen lassen und siehe da:
ZITAT
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.5.1 (07.16.2015:1)
OS: Windows 7 Professional x64
Ran by on 21.07.2015 at 10:08:51,61
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks

Successfully deleted: [Task] C:\Windows\system32\tasks\Driver Booster SkipUAC ()
Successfully deleted: [Task] C:\Windows\system32\tasks\Uninstaller_SkipUac_



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] C:\ProgramData\IObit\Driver Booster
Successfully deleted: [Folder] C:\ProgramData\productdata
Successfully deleted: [Folder] C:\Users\\AppData\Roaming\IObit\Driver Booster
Successfully deleted: [Folder] C:\Users\\AppData\Roaming\productdata





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 21.07.2015 at 10:14:02,45
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Birgit
@calimero,

der Revoun-Unistaller hat nichts gefunden kein Iobit, und auch kein DealPly

Hab bei den Erweiterungen geschaut das ist auch kein DealPly gelistet.
Suchmaschine verwalten finde ich nicht!


@ simracer

auch Geek Uninstaller hat nichts gefunden.
Angezeigt wird die Meldung trotzdem noch von G-Data.
simracer
ZITAT
Angezeigt wird die Meldung trotzdem noch von G-Data.

Hast du auch mal mit G-Data eine Vollständige Überprüfung per OnDemand Scan gemacht? Meine Logik sagt mir wenn der Echtzeitschutz die Bedrohung erkennt, dann müsste die ja auch per Scan erkannt und hoffentlich entfernt werden können. Als Scanner zun bereinigen fiele mir aktuell jetzt nur noch Eset Online Scanner ein von dessen Einstellungen ich ein paar Bilder für dich gemacht habe. Hilft das auch alles nichts, wende dich entweder direkt an G-Data und erwähne den Thread hier oder versuch es mal im Trojaner Board, die hatten schon mit dem Schädling zu tun gehabt.
Rene-gad
ZITAT(Birgit @ 21.07.2015, 21:16) *
Suchmaschine verwalten finde ich nicht!

gib im FX die Adresse ein:
QUELLTEXT
about:preferences#search
calimero
oder in der suchen leiste auf das lupensymol klicken. wenn sonnst alles clean ist, biste den dreck zumindest los. wenn da sonnst nichts ist... ?!



simracer
ZITAT
Suchmaschine verwalten finde ich nicht!

Birgit, gehe bei Firefox in Extras/Einstellungen/Suche und schau dann unter Standardsuchmaschine und Ein Klick Suchmaschinen nach ob da noch DealPly gelistet ist. Wenn ja dann markiere DealPly und klicke dann auf Entfernen.
calimero
viele wege führen nach rom...
Birgit
@simracer

Den Eset Online Scanner hatte ich durchlaufen lassen, alles sauber.
G-Data lasse ich gerade nochmal laufen, wurde wieder Driver Sweeper angezeigt.
Bei G-Data war in Voreinstellung Datei Zugriff sperren, ich habe es aber löschen lassen.


Die Toolbar ist bis jetzt nicht mehr angezeigt worden.

@ Rene-gad



ich komme so immer in die Allgemeinen Einstellungen und nicht auf die Suchmaschinen

@simracer
danke habe es gefunden, kein Eintrag von DealPly


Danke für eure Hilfe!
Rene-gad
ZITAT(Birgit @ 24.07.2015, 21:22) *
ich komme so immer in die Allgemeinen Einstellungen und nicht auf die Suchmaschinen

dann macht du was falsch: Tippfehler oder so...

Klicken um den Anhang anzusehen
florian5248
Birgit, möchte mich da mal einklinken.

An deiner Stelle, mit soviel Stress und Zeit Verschenkung, hätte ich schon den Rechner neu aufgesetzt. Meine Meinung smile.gif

Grüße
simracer
Oder Sie hätte sich mal ans Trojaner Board gewendet, die haben jeden Tag mit so etwas zu tun: http://www.trojaner-board.de/plagegeister-...en-bekaempfung/
Capulcu
@Birgit

Das willst Du jetzt nicht hören, aber wenn ein System einmal kompromittiert ist sollte man alle Bastelversuche lassen und das System neu aufsetzen und danach sofort ein Image schreiben (kann dann im Wiederholungsfall schnell zurückgespielt werden).
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.