WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

Antwort
 
Themen-Optionen Ansicht
Alt 10.02.2014, 22:23   #1
SuperSam
Jr. Member
 
Registriert seit: 27.08.2013
Beiträge: 36

Mein Computer

Standard BKA-Virus auf Windows 7

Hallo Forum,

vor kurzem erschien bei meiner Freundin beim Öffnen von Mozilla Firefox ein Fenster mit diesem Aussehen:

http://bka-trojaner.de/screenshots/bka-trojaner18.jpg

Sie hat den Browser schnell wieder geschlossen, sodass ich nun nichts nachverfolgen kann etc.

Inzwischen habe ich verschiedene Viren-Programme drüber laufen lassen in dieser Reihenfolge:

Kaspersky Internet Security
Avast EU-Cleaner
Windows Defender
Malwarebytes Anti-Malware
Microsoft Security Essentials

Das einzige Programm, dass etwas gefunden hat war Malwarebytes Anti-Malware mit diesem Ergebnis:

Zitat:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.02.08.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
XXX :: XXX [Administrator]

Schutz: Aktiviert

08.02.2014 14:39:21
MBAM-log-2014-02-08 (20-13-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 295576
Laufzeit: 1 Stunde(n), 2 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CrossriderApp0047718.BHO (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0047718.BHO.1 (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0047718.Sandbox (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0047718.Sandbox.1 (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt.
HKCU\Software\InstalledBrowserExtensions\Plus HD (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Plus-HD-5.0 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{11111111-1111-1111-1111-110411771118} (PUP.Optional.CrossRider.M) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \PreApproved\{11111111-1111-1111-1111-110411771118} (PUP.Optional.CrossRider.M) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0X2O1C0R2R1R -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc (PUP.Optional.Updater) -> Keine Aktion durchgeführt.

Infizierte Dateien: 6
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\UpdateTask.exe (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\config.dat (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\prod.dat (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\STTL.DAT (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\TTL.DAT (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Keine Aktion durchgeführt.

(Ende)
Ist mein System jetzt wieder "sicher"? War es überhaupt gefährdet? Diese Meldung kam nur ein einziges Mal beim Öffnen von Mozilla Firefox.
Meine Freundin hatte einen Tag vorher etwas installiert, was sie aber sofort wieder gelöscht hat. Sie weiß leider auch nicht mehr wie es hieß (wohl ein Kalkulationsprogramm). Danach habe ich mehrere verwundernswerte Programme gefunden, die ich ebenfalls versucht habe zu löschen (anscheindend ohne Erfolg) - z.B. dieses HD-Plus-5.0.

Was könnt Ihr mir empfehlen? System auf Zeitpunkt davor zurücksetzen? Das System komplett neu aufsetzen?

Grüße
SuperSam
SuperSam ist offline   Mit Zitat antworten
Alt 10.02.2014, 23:35   #2
Hawi
Inventar
 
Registriert seit: 23.12.2001
Beiträge: 2.969


Standard

Dein Logfile ist nicht besonders aussagekräftig. "PUP" steht für Potentially Unwanted Program, also nicht unbedingt eine unmittelbare Bedrohung, sondern eher Lästiges.
Ich kann dir noch Avast Browser Cleanup und AdwCleaner empfehlen. Damit müsstest du die AdWare-Reste los werden.
Hawi ist offline   Mit Zitat antworten
Alt 11.02.2014, 08:04   #3
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard

Malware-Remover findest Du auch in diesem Thema:
http://www.wcm.at/forum/showthread.p...rn-247340.html

Sonst ggf. eine Rescue-Disk verwenden.
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Alt 11.02.2014, 11:24   #4
SuperSam
Jr. Member
 
Registriert seit: 27.08.2013
Beiträge: 36

Mein Computer

Standard

Kann ich den Computer danach wieder sicher nutzen? War/Ist es überhaupt ausspionierende Software?

Zitat:
# AdwCleaner v3.018
# Option : Löschen

***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Program Files\MyPC Backup
Ordner Gelöscht : C:\Users\XXX\AppData\Roaming\Systweak
Ordner Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\ICQToolbarData
Ordner Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\SweetPacksToolbarData
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\icqplugin.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\icqplugin-1.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\icqplugin-2.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\SweetIm.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\user.js
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\q9fpta1n.default\user.js

***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\systweakasp_rasapi 32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\systweakasp_rasman cs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASAPI3 2
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASMANC S
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550455775518}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660466776618}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440444774418}
Schlüssel Gelöscht : HKCU\Software\dsiteproducts
Schlüssel Gelöscht : HKCU\Software\installedbrowserextensions
Schlüssel Gelöscht : HKCU\Software\systweak
Schlüssel Gelöscht : HKLM\Software\systweak

***** [ Browser ] *****

-\\ Mozilla Firefox v26.0 (de)

[ Datei : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\prefs.js ]

Zeile gelöscht : user_pref("extensions.crossrider.bic", "143ba485814138f0074a0254240105cd");
Zeile gelöscht : user_pref("icqtoolbar.allowSendURL", false);
Zeile gelöscht : user_pref("icqtoolbar.engineVerified", true);
Zeile gelöscht : user_pref("icqtoolbar.geolastmodified", 1305136453);
Zeile gelöscht : user_pref("icqtoolbar.hiddenElements", "itb_options");
Zeile gelöscht : user_pref("icqtoolbar.history", "audi%20a6%20avant%202005||tv%20programm||ein%20he rz%20und%20eine%20seele||google||elgoog||elgooog|| gmx||cache%3AwCDAjjCIHFAJ%3Awww.marxists.org%2Fdeu tsch%2Farchiv%2Ftr[...]
Zeile gelöscht : user_pref("icqtoolbar.icqgeo", 49);
Zeile gelöscht : user_pref("icqtoolbar.installTime", "1299571664");
Zeile gelöscht : user_pref("icqtoolbar.installsource", "1");
Zeile gelöscht : user_pref("icqtoolbar.newtab_state", "1");
Zeile gelöscht : user_pref("icqtoolbar.numberOfSearches", 0);
Zeile gelöscht : user_pref("icqtoolbar.previousFFVersion", "3.6.13");
Zeile gelöscht : user_pref("icqtoolbar.skip_default_search", "no");
Zeile gelöscht : user_pref("icqtoolbar.suggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.uniqueID", "123608435012360843501236933019416");
Zeile gelöscht : user_pref("icqtoolbar.usageStatstTimestamp", 1268648813);
Zeile gelöscht : user_pref("icqtoolbar.version", "1.1.9");
Zeile gelöscht : user_pref("icqtoolbar.xmlEnableSuggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.xmlLanguage", "de");
Zeile gelöscht : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.VisibilityGu ardLastUnHide", "0");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.intervaldays ", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.DisableOveride.enab le", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.HideOveride.enable" , "true");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.RemoveOveride.enabl e", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff_1_6.html");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Zeile gelöscht : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.google.com/.*|.*.google.co.in/.*|.*.google.com.br/.*|.*.google.es/.*|.*.youtube.com/.*|.*.yahoo.com/.*|.[...]
Zeile gelöscht : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0") ;
Zeile gelöscht : user_pref("sweetim.toolbar.logger.ConsoleHandler.M inReportLevel", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.File Name", "ff-toolbar.log");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MaxF ileSize", "200000");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MinR eportLevel", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.mode.debug", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.addcontextdiv ", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.addcontextdiv ", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.addcontextdiv ", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.callback", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..*|.*.y ahoo..*|.*.youtube.com.*|.*ask.com.*|.*.sweetim.co m.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?si=3104&tid=chff1");
Zeile gelöscht : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engine=\"hxxp://*google.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.yahoo.com/*\" param=\"[...]
Zeile gelöscht : user_pref("sweetim.toolbar.search.history.capacity ", "10");
Zeile gelöscht : user_pref("sweetim.toolbar.simapp_id", "{223EB0FA-25C6-11E2-AA58-0019B94E5ECA}");
Zeile gelöscht : user_pref("sweetim.toolbar.version", "1.6.0.3");

[ Datei : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\q9fpta1n.default\prefs.js ]
SuperSam ist offline   Mit Zitat antworten
Alt 11.02.2014, 11:25   #5
SuperSam
Jr. Member
 
Registriert seit: 27.08.2013
Beiträge: 36

Mein Computer

Standard

Der Avast Browser Cleanup hat nichts gefunden, ich habe hier auch keine Toolbars drauf auf der Krücke
SuperSam ist offline   Mit Zitat antworten
Alt 11.02.2014, 17:30   #6
Hawi
Inventar
 
Registriert seit: 23.12.2001
Beiträge: 2.969


Standard

AdwCleaner hat dir den ICQ-Toolbar und den Sweetim-Toolbar gelöscht, da findet Avast Browser Cleanup anschließend nichts mehr.

Nachdem du ohnehin schon jede Menge Malware-Scanner ohne Ergebnis drüber laufen hast lassen, würde ich mir kein Kopfzerbrechen mehr machen.
Hawi ist offline   Mit Zitat antworten
Alt 11.02.2014, 20:17   #7
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard

Der alte Rat, ich würde auch eine Sicherung/Backup machen, von vorher gibt´s sowas wahrscheinlich nicht.
Damit wäre, durch Zurückspielen, das Problem leicht zu lösen gewesen.
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Alt 11.02.2014, 21:46   #8
SuperSam
Jr. Member
 
Registriert seit: 27.08.2013
Beiträge: 36

Mein Computer

Standard

Naja ein Backup habe ich schon, aber eben nur, als Windows neu drauf war ohne meine Dateien.
Ich müsste halt Wöchentlich ein Backup machen...hm...

Gut, Danke schonmal!
SuperSam ist offline   Mit Zitat antworten
Alt 12.02.2014, 08:04   #9
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard

Das würde ich wärmstens empfehlen, zumindest von den Partitionen/Ordnern mit den Systemdateien und den Daten.
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 00:45 Uhr.


Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag