zugemüllt mit Spammails

Dieses Thema enthält 22 Antworten und 3 Teilnehmer. Es wurde zuletzt aktualisiert von  fdfdfd 14. Oktober 2018 at 23:06.

Ansicht von 15 Beiträgen - 1 bis 15 (von insgesamt 23)
  • Autor
    Beiträge
  • #293976

    Josef Moser
    Teilnehmer

    Der Rechner gehört einer Bekannten!

    Was ich bisher unternommen habe:
    EU Cleaner Avira 1 Fund, aber leider im ADWCleaner Downloadfile

    Kaspersky Rescue Kein Fund

    Malwarebytes während der Suche wurden 6 PUP’s angezeigt. Nach abschluss der Prüfung waren es nur noch 2. Habe ich entfernt aber bedauerlicherweise den Logfile gekillt.

    Die Spammails sind nun auf 3-10 Gesunken.

    Den Rest habe ich noch nicht gefunden.

    Könnte mir bitte jemand mit Rat und Tat zur Seite stehen?

    Herzlichen Dank!

    Mit freundlichem Gruß

    Josef

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293978

    Josef Moser
    Teilnehmer

    Die anderen beiden Dateien sind leider nicht im Anhang.

    # ——————————-
    # Malwarebytes AdwCleaner 7.2.4.0
    # ——————————-
    # Build:    09-06-2018
    # Database: 2018-09-14.1 (Cloud)
    # Support:  https://www.malwarebytes.com/support
    #
    # ——————————-
    # Mode: Scan
    # ——————————-
    # Start:    09-17-2018
    # Duration: 00:00:17
    # OS:       Windows 10 Home
    # Scanned:  41939
    # Detected: 0
    
    
    ***** [ Services ] *****
    
    No malicious services found.
    
    ***** [ Folders ] *****
    
    No malicious folders found.
    
    ***** [ Files ] *****
    
    No malicious files found.
    
    ***** [ DLL ] *****
    
    No malicious DLLs found.
    
    ***** [ WMI ] *****
    
    No malicious WMI found.
    
    ***** [ Shortcuts ] *****
    
    No malicious shortcuts found.
    
    ***** [ Tasks ] *****
    
    No malicious tasks found.
    
    ***** [ Registry ] *****
    
    No malicious registry entries found.
    
    ***** [ Chromium (and derivatives) ] *****
    
    No malicious Chromium entries found.
    
    ***** [ Chromium URLs ] *****
    
    No malicious Chromium URLs found.
    
    ***** [ Firefox (and derivatives) ] *****
    
    No malicious Firefox entries found.
    
    ***** [ Firefox URLs ] *****
    
    No malicious Firefox URLs found.
    
    
    AdwCleaner[S00].txt – [1250 octets] – [14/09/2018 16:57:10]
    
    ########## EOF – C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########
    
    
    • Diese Antwort wurde geändert vor 1 Monat von  Petra.
    • Diese Antwort wurde geändert vor 1 Monat von  Petra.
    • Diese Antwort wurde geändert vor 1 Monat von  Petra.
    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293979

    Petra
    Moderator

    Hallo Josef Moser,

    zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

    Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Stoppe und frage, wenn etwas nicht funktioniert oder unklar ist.
    Berichte mir zu jedem Punkt, dass Du ihn erledigt hast.

    ===== Punkt 1 =====

    Fix mit Farbar Recovery Scan Tool

    Lade die angehängte Datei fixlist.txt herunter und speichere sie in dem selben Pfad, in welchem sich die FRST.exe befindet. Nenne die Datei ggfs. in Fixlist.txt um, falls sie durch die Forensoftware bedingt eine Nummer enthält.

    Start
    CreateRestorePoint:
    CloseProcesses:
    Task: {1C35EB67-1BD4-40B0-B8C1-0FCE8F39079B} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Keine Datei <==== ACHTUNG
    Task: {313CB3C8-8C25-4027-9E06-F13ECCDD612A} – \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    Task: {83B0ADE3-0FFF-427F-A724-C4E0302F810A} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OnIdle -> Keine Datei <==== ACHTUNG
    Task: {9362A427-01CB-4A53-BA7F-ED75785FF9D6} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OutOfIdle -> Keine Datei <==== ACHTUNG
    Task: {B9DD1CC8-331B-4037-B6D9-7640CF640828} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\RunCampaignManager2 -> Keine Datei <==== ACHTUNG
    Task: {F0E52284-0E9F-43DC-9210-BCC7752AF904} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Time -> Keine Datei <==== ACHTUNG
    EmptyTemp:
    End
    
    • Starte nun erneut die FRST.exe bzw. die FRST64.exe, klicke dieses Mal auf den Entfernen Button.
    • Wenn der Fix durchgelaufen ist, meldet FRST “Fix completed”.

    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade die Datei bitte als Anhang hier hoch.

    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293981

    Josef Moser
    Teilnehmer

    Liebe Petra,

    herzlichen dank für die Hilfe.
    Schön dass Ich Sie hier wieder treffe!
    Vor etlichen Jahren hatten wir schon einmal das Vergnügen.
    Hoffe, es geht Ihnen gut?

    Mit freundlichen Grüßen in den Norden

    Josef

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293983

    Josef Moser
    Teilnehmer

    Verzeihung, Habe Ihnen leider eine falsche Datei (ohne Adminrechte) angehängt.

    Diese ist die richtige.

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293985

    Petra
    Moderator

    Hallo Josef,

    wir duzen uns hier alle, ich hoffe das ist ok. Und ja danke, mir geht es ausgezeichnet 🙂

    Hast Du Fixlist.txt mit “Ziel speichern unter” heruntergeladen? Ich glaube nicht, denn wenn man die Datei aufruft und dann den Inhalt kopiert, werden einige Zeichen geändert. Das führt dazu, dass FRST den Fix nicht ausführen kann.

    Bitte wiederhole den Fix, lade aber dieses Mal die Fixlist.txt durch Rechtsklick auf die Datei (ganz unten unter Anhänge) und Auswahl “Ziel speichern unter” herunter und speichere die Datei auf dem Desktop. Anschließend FRST.exe starten und auf “Entfernen” klicken.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #293988

    Josef Moser
    Teilnehmer

    Liebe Petra,

    nein, das ist wirklich kein Problem.
    Da unsere Unterhaltung aber schon ein paar Jahre her ist, wollte ich Dich nicht mit dem in Foren standartmäßigen Du konfrontieren. Zumal das Du in bestimmten Foren vermehrt zu groben Beleidigungen verwendet wird.

    Die 2. Fixlog hätte eigentlich schon passen müssen?
    Bei der ersten hatte ich vergessen, dass ich nicht als Admin angemeldet war.

    Ich habe die Datei nun neu erstellt.

    Die PN, die ich Dir geschickt habe, kannst Du vergessen. Das Problem scheint am ONET Cache gelegen zu haben. Ich habe ihn mitsamt den PW gelöscht. Nun scheint es zu funktionieren.

    Herzlichen Dank!

    Liebe Grüße

    Josef

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293995

    Petra
    Moderator

    Hallo Josef,

    ok, dann erstelle bitte zur Kontrolle:

    Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus

    Lade die passende Version von Farbar Recovery Scan Tool herunter FRST.exe (32-Bit) ::: FRST64.exe (64-Bit).
    Speichere das Tool auf Deinem Desktop (nicht woanders hin).
    Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier:
    Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp

    • Starte die FRST.exe respektive die FRST64.exe per Doppelklick –
      Vista- und Win7/8-Benutzer starten per Rechtsklick auf das Icon und wählen Als Administrator ausführen.
    • Hake an:
      BCD auflisten
      MD5 Treiber
      Addition.txt
      Dateiliste 90 Tage
    • Akzeptiere die Bedingungen mit “Ja” und klicke auf den Button Untersuchen

    Das Tool erstellt drei Berichte namens Frst.txt, Shortcut.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet.
    Lade diese drei Logfiles als Anhang hoch, indem Du unterhalb des Textfeldes auf Datei auswählen klickst und die Logdateien hochlädst.

    Hinweis:
    FRST wird aktuell häufig aktualisiert – neue Versionen werden automatisch heruntergeladen.
    Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #294003

    Petra
    Moderator

    Hallo Josef,

    Du hast mir per PN geschrieben, dass es immer noch nicht funktioniert, als eingeloggt zu erscheinen, obwohl Du Dich eingeloggt hast.

    Wenn Du mit dem Firefox unterwegs bist, mache bitte mal die folgenden Schritte:

    1. Öffne Firefox
    2. Gebe in der Adresszeile about:config ein und klicke auf die Ich bin mir der Gefahren bewusst!-Schaltfläche
    3. Gib in der Suchenzeile browser.cache.check_doc_frequency ein
    4. Markiere die Zeile browser.cache.check_doc_frequency
    5. Klicke diese Zeile doppelt an, es erscheint ein kleines Fensterchen
    6. Setze darin den integer-Wert 3 auf 1 um
    7. Bestätige mit “OK”.

    Folgende Werte stehen zur Verfügung:

    Wert Bedeutung
    0 einmal pro Sitzung
    1 jedes Mal
    2 nie
    3 automatisch oder wenn erforderlich

    Auf diese Weise wird jede Seite bei jedem Aufruf neu geladen.

    Berichte, ob es nun klappt 🙂

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #294014

    Josef Moser
    Teilnehmer

    Liebe Petra,

    mit etwas Verspätung die Antwort.
    Hab ca. 2400 Höhenmeter und gut 20Km zu Fuß hinter mir.

    Den Firefox, er ist auf diesm Rechner installiert, mag ich nicht. Hier verwende ich den Edge und das den Browsercache löschen ist mir in der Zwischenzeit auch eingefallen und seither passt es!

    Die Dateien habe ich unten angehängt.

    Ich hoffe richtig?

    Herzlichen Dank für Deine Mühe.

    Liebe Grüße

    Josef

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #294027

    Petra
    Moderator

    Hallo Josef,

    aus den Logs ist ersichtlich, dass der Fix noch nicht funktioniert hat.

    Bitte wiederhole den Fix aus meinem ersten Beitrag. Achte bitte darauf, die Fixlist.txt unter den Anhängen des ersten Beitrages per Rechtsklick auf den Link und Auswahl “Ziel speichern unter” auf dem Desktop zu speichern. Das ist wichtig, da ansonsten einige Zeichen verändert werden und FRST den Fix nicht richtig ausführen kann.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #294031

    Josef Moser
    Teilnehmer

    Liebe Petra.

    nun hoffe ich, dass es so passt.

    Ich habe es wie beim ersten mal ebenso gemacht. Allerdings hat der FRST damals die Arbeit schneller für beendet erklärt als heute.
    Was mir noch aufgefallen ist: Den Rootkitrevealer kann ich zwar starten, das Programm beendet sich aber gleich wieder.
    Der Rechner hat noch eine komische Eigenart: von Zeit zu Zeit wirft er den Monitor hinaus und ich muss ihn blind neu starten. Eine Regel konnte ich noch nicht ableiten.

    Liebe Grüße und herzlichen Dank

    Josef

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #294036

    Petra
    Moderator

    Hallo Josef,

    nein verflixt, es hat wieder nicht geklappt.

    Ich habe es wie beim ersten mal ebenso gemacht.

    Hm, so solltest Du es eben gerade nicht machen, denn da hatte es ja schon nicht geklappt 😉

    Aus:

    Task: {1C35EB67-1BD4-40B0-B8C1-0FCE8F39079B} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Keine Datei <==== 

    wurde wieder ein

    Task: {1C35EB67-1BD4-40B0-B8C1-0FCE8F39079B} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Keine Datei <==== 

    Also aus dem Bindestrich vor \Microsoft wird ein –.

    Versuche es bitte jetzt mal so: Kopiere den Fix hier aus dem Beitrag (mit STRG + C):

    Start
    CreateRestorePoint:
    CloseProcesses:
    Task: {1C35EB67-1BD4-40B0-B8C1-0FCE8F39079B} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Keine Datei <==== 
    Task: {313CB3C8-8C25-4027-9E06-F13ECCDD612A} – \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== 
    Task: {83B0ADE3-0FFF-427F-A724-C4E0302F810A} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OnIdle -> Keine Datei <==== 
    Task: {9362A427-01CB-4A53-BA7F-ED75785FF9D6} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OutOfIdle -> Keine Datei <==== 
    Task: {B9DD1CC8-331B-4037-B6D9-7640CF640828} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\RunCampaignManager2 -> Keine Datei <==== 
    Task: {F0E52284-0E9F-43DC-9210-BCC7752AF904} – \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Time -> Keine Datei <==== 
    EmptyTemp:
    End
    

    Starte FRST.exe und füge den Text in das “Suchen-Feld” (mit STRG + V) ein un drücke auf “Entfernen”. Auch in diesem Fall wird ein Fixlog.txt erstellt. Hänge das an Deine nächste Antwort an.

    Was mir noch aufgefallen ist: Den Rootkitrevealer kann ich zwar starten, das Programm beendet sich aber gleich wieder.

    Wundert mich nicht, der ist für Windows 10 gar nicht geeignet. An dieser Stelle möchte ich nochmal darauf hinweisen, was in dem Eingangsbeitrag unter “Worauf muss ich bei der Bereinigung achten?” steht.

    Benutze ausschließlich Programme und Tools, die in der Anleitung angegeben sind.

    Mit anderen Worten: Es ist kontraproduktiv, wenn Du nebenbei auch noch Programme auf eigene Faust laufen lässt.

    Der Rechner hat noch eine komische Eigenart: von Zeit zu Zeit wirft er den Monitor hinaus und ich muss ihn blind neu starten. Eine Regel konnte ich noch nicht ableiten.

    Wird der Monitor einfach schwarz oder was passiert da genau? Wenn Du sagst, Du musst ihn blind starten, was genau meinst Du damit bzw. was genau machst Du dann?

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    • Diese Antwort wurde geändert vor 4 Wochen von  Petra.
    • Diese Antwort wurde geändert vor 4 Wochen von  Petra.
    • Diese Antwort wurde geändert vor 4 Wochen von  Petra.
    #294040

    Josef Moser
    Teilnehmer

    Liebe Petra,

    nun habe ich die Datei auf meinem Rechner erstellt, da ich vermute, dass das an der Installation dieses Rechners liegt. Aber auch die anderen Probleme mit den Antivirenprogrammen.

    Den Rootkitreavealer konnte ich bis zur neuen Insiderbuild starten. Seither scheint es auch auf meinem 2. Rechner nicht mehr zu funktionieren.

    Die Tests hatte ich noch vor unserem ersten Kontakt erstellt.
    Das Problem mit dem Monitor hat sich erledigt. Lag verm. am Monitor. Er wollte mit dem komischen Lenovo nicht.

    Diesen Rechner muss ich am Abend zurückbringen, da die Frau damit Rechnungen schreiben muss.

    Herzliche3n Dank für Deine Hilfe!

    Liebe Grüße

    Josef

    Dieses Zeichen – gibt es in meiner fixlog nicht. Bei mir ist das ein Fragezeichen i9n einer schwarzen Raute.

    Kann es sein, dass der Rechner ein fremdes Schriftbild installiert hat?

    • Diese Antwort wurde geändert vor 4 Wochen von  Josef Moser.
    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #294043

    Josef Moser
    Teilnehmer

    Liebe Petra,

    nun habe ich FRST neu heruntergeladen und das Ganze wiederholt.

    Die neue fixlog mit den alten verglichen und ich glaube, dass die Datei etwas anders aussieht als die anderen.

    Warum aber die beiden anderen Versionen, besonders die von bleeping nicht funktioniert haben, ist mir unerklärlich, da das Programm ja nicht installiert werden muss.

    LG Josef

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
Ansicht von 15 Beiträgen - 1 bis 15 (von insgesamt 23)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.