Malwarebytes stoppt Zugang auf potentiell gefährliche Websites

Todesklebeband397

Hallo, ich hatte vor ein paar Tagen den folgenden Virus:
http://www.trojaner-board.de/attachments/25…rt-p1020234.jpg

Er war unter C:\Benutzer\Admin\Appdata\Local\Mozilla\firefox.exe
Jedoch konnte ich ihn scheinbar erfolgreich entfernen.
Allerdings zeigt mir Malwarebytes, welches ich wegen dem Virus installiert hatte, häufig an, dass entweder skype.exe oder avast.exe auf eine potentiell gefährliche Website zugreifen wollen und der Zugang gestoppt wurde.
Könnte das ein Virus sein, oder ist Malwarebytes da etwas zu übereifrig?

Der ESET Online Scanner hat folgendes gefunden:

Win32\OpenCandy Anwendung
Variante von Win32\1AntiVirus Anwendung
Variante von Win32\1AntiVirus Anwendung
möglicherweise Variante von Win32\Agent.CLDLOFD Trojaner

Malwarebytes hat nichts gefunden.
Wie sollte ich als nächstes verfahren?

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

AxT

Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Das LOG von Malwarebytes mit den geblockten Zugriffen hätte ich auch noch gerne.
Kein Onlinebanking durchführen, keine Einkäufe tätigen. Habe den Verdacht, dass da noch ein Backdoor oder Downloader aktiv ist.

Todesklebeband397

Das ist der Links für die Malwarebytes Logs:
File-Upload.net - Malwarebytes-Logs.zip
Das ist der Link für die Textdateien vom PPFScanner:
File-Upload.net - PPF_Scan1.zip

AxT

Wann wurde die Firefox.exe genau gelöscht?

AxT

LOG von Eset noch posten:
C:\Program Files\ESET\ESET Online Scanner\log.txt

AxT

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
->ffdwnd
DELETE_FILE_ON_REBOOT->C:\Windows\Temp\~2A0F.tmp
DELETE_FILE_ON_REBOOT->C:\Windows\Temp\~15D2.tmp
REBOOT->

Der Rechner startet sich danach neu.

Löscht zwei temporäre Dateien bei dir und beseitigt den Registrykey für den Starteintrag des Trojaners.

Todesklebeband397

Die firefox.exe wurde meines Wissens nach vor 2 Tagen gelöscht, kann ich den genauen Zeitpunkt irgendwo einsehen?

Hier ist der ESET Log:

Code

[B]ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f08edc342b168a41aad1d603a8f9701e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-07 01:32:24
# local_time=2012-02-07 02:32:24 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 705 80244628 0 0
# compatibility_mode=8192 67108863 100 0 159 159 0 0
# scanned=359301
# found=25
# cleaned=0
# scan_time=8128
C:\Daten\Lager Admin\PDFCreatorSetup.exe    a variant of Win32/InstallCore.D application (unable to clean)    00000000000000000000000000000000    I
C:\Users\Admin\AppData\Local\Temp\ms0cfg32.exe    Win32/LockScreen.AIG trojan (unable to clean)    00000000000000000000000000000000    I
C:\Users\Admin\Desktop\GTA San Andreas\trainer.exe    probably a variant of Win32/Agent.LPHFBGW trojan (unable to clean)    00000000000000000000000000000000    I
C:\Users\Tom\Desktop\Emulatoren\No$gba\myZoomSoft.exe    probably a variant of Win32/Agent.CLDLOFD trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\Local\Anwendungsdaten\Temp\Sby+xk8d.exe.part    a variant of Win32/SoftonicDownloader.A application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\Local\Anwendungsdaten\Temp\is-M52U0.tmp\dealio.exe    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\Local\Anwendungsdaten\Temp\_isCF4\Dealio Toolbar.msi    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\Local\Temp\Sby+xk8d.exe.part    a variant of Win32/SoftonicDownloader.A application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\Local\Temp\is-M52U0.tmp\dealio.exe    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\Local\Temp\_isCF4\Dealio Toolbar.msi    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\7560f91-5fefcad2    probably a variant of Java/TrojanDownloader.OpenStream.NCC trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\72503264-2a9abed6    Java/Agent.DJ trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\7027d285-498974a4    Java/TrojanDownloader.OpenStream.NBL trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\Lokale Einstellungen\Temp\Sby+xk8d.exe.part    a variant of Win32/SoftonicDownloader.A application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\Lokale Einstellungen\Temp\is-M52U0.tmp\dealio.exe    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Documents and Settings\Admin\Lokale Einstellungen\Temp\_isCF4\Dealio Toolbar.msi    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\AppData\Local\Temp\Sby+xk8d.exe.part    a variant of Win32/SoftonicDownloader.A application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\AppData\Local\Temp\is-M52U0.tmp\dealio.exe    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\AppData\Local\Temp\_isCF4\Dealio Toolbar.msi    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\7560f91-5fefcad2    probably a variant of Java/TrojanDownloader.OpenStream.NCC trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\72503264-2a9abed6    Java/Agent.DJ trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\7027d285-498974a4    Java/TrojanDownloader.OpenStream.NBL trojan (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\Lokale Einstellungen\Temp\Sby+xk8d.exe.part    a variant of Win32/SoftonicDownloader.A application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\Lokale Einstellungen\Temp\is-M52U0.tmp\dealio.exe    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
C:\Windows.old\Users\Admin\Lokale Einstellungen\Temp\_isCF4\Dealio Toolbar.msi    Win32/Adware.Toolbar.Dealio application (unable to clean)    00000000000000000000000000000000    I
[/B]

Alles anzeigen

Vielen Dank für die Hilfe bis jetzt.

Übrigens passiert das Ganze immernoch, aber nur wenn ich nicht mit dem Internet verbunden bin.

AxT

Malware ist kein Spielzeug - die ist in der Regel da, um Geld von dir oder durch dich zu bekommen. Warum hast du die Funde nicht löschen lassen? Scan mit Eset wiederholen, Funde löschen lassen. LOG wieder posten.

Passe demnächst etwas auf, von wo du dir Programme herunterlädts. Meide Softonic (die installieren zusätzliche Programme für den Download), nimm besser was von Chip. Auf keinen Fall was über BitTorrent ziehen, nur vertrauenswürdige Quellen. Keine Keygens und Cracks verwenden, die sind alle verseucht.
Bei der Installation von Programme würde ich darauf achten, was die mitinstallieren wollen. Alles was Toolbar oder Addon für den Browser heißt, nicht mitinstallieren.

Der beste Schutz beim Surfen ist zur Zeit eine gute Sandbox.
Für sicheres Surfen kann ich dir Sandboxie empfehlen: Sandboxie - Sandbox software for application isolation and secure Web browsing
Sandboxie ist Shareware, du kannst es aber frei benutzen (es erscheint beim Start ein NAG-Screen). Ich habe Sandboxie bei mir so eingestellt, das es nicht generell beim Systemstart ausgeführt wird. Will ich Programme testen, starte ich die in der Regel erst mal über Sandboxie. Browse ich im Internet, erfolgt das auch über Sandboxie (Sandboxie Web Browser - Icon).
Sandboxie führt Anwendungen in einer Art "Käfig" aus. Für die Anwendung ist es so, als würde sie im Betriebsystem laufen und sich dort installieren - in Wirklichkeit läuft sie aber in diesem "Käfig" und kann nichts am Betriebsystem ändern.

AxT

Danach:
Combofix
ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten.

Todesklebeband397

Der Log vonj ComboFix:
File-Upload.net - log.txt
ESET Log:
File-Upload.net - log.txt

AxT

Da steht im LOG: remove_checked=false
Das Häkchen bei "Entdeckte Bedrohungen entfernen" muss bei ESET gesetzt werden. Hast du das getan?

AxT

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPF_Scan2
REGKEY_ACES->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*
->@
->+0
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*
->System
->+
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*
->Administratoren
->+
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*\OpenWithList
->@
->+0
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*\OpenWithList
->System
->+
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*\OpenWithList
->Administratoren
->+
->GENERIC_ALL
REGISTRY_ENUM->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*
REGISTRY_ENUM->HKEY_USERS\S-1-5-21-3328222081-1373729214-2882268667-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f%8*ë*\OpenWithList
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
[LEFT]Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. [/LEFT]

Todesklebeband397

Ich weiß es leider nicht genau, ich kann aber definitiv sagen, dass der ESET Online Scanner die Funde in die Quarantäne getan hat, beim nächsten Scan wurde nichts mehr gefunden und ich habe den Inhalt der Quarantäne entfernt.
Ich habe heute nochmal einen Scan gemacht und es wurde immernoch nichts gefunden, jedoch wurde scheinbar keine neue Logdatei erstellt.

AxT

OK. Dann geht es weiter.

Todesklebeband397

File-Upload.net - PPF_Scan2.zip
Das sind die Dateien vom PPFScan.

AxT

Wie läuft der Rechner jetzt? Blockt Malwarebytes weiterhin Seiten?

Todesklebeband397

Momentan erhalte ich keine Meldungen mehr, falls ich nochmal welche bekommen sollte, editiere ich den Beitrag.
Danke für die Hilfe!

AxT

Nicht editieren, neu drunterschreiben. Ich sehe sonst nicht, dass du neue Probleme hast und dein Beitrag wird übersehen.

Todesklebeband397

Okay, verstanden.
Malwarebytes hat gerade wieder skype.exe daran gehindert auf irgendeine Website zuzugreifen.

AxT

nochmals das LOG von Malwarebytes hochladen - möchte noch mal schauen, was da geblockt wird.

Jetzt mitmachen!