Nach scan mit ESET online Scanner

Hallo,

zur Kontrolle downloade Dir Malewarebytes, update es und führe einen Vollscan durch. Logfile dann auch posten.

http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

Gruss A K

C:\Users\#######\Downloads\blueweed.zip   PHP/Kryptik.AB trojan
C:\Users\#######\Downloads\themasterplan_tma_v1.4.zip   PHP/Kryptik.AB trojan
C:\Users\#######\Downloads\Twilight-Crown.zip   PHP/Kryptik.AB trojan
Was genau soll das sein?

Wordpress-Themes und Komponenten.
 

Richtig, ist von WP. Habe mir das wohl auch dadrüber eingefangen alles.

@ AK: werde ich mal machen und melde mich dann hier.

Habe mir das wohl auch dadrüber eingefangen alles.

Aus welcher Quelle haste das Zeug denn?
(bei CMS-Themes/Plugins kann es auch zu Fehlalarmen kommen)

Hier ist das Logfile vcomn Scan mit Malwarebytes:

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 577409
Laufzeit: 3 Stunde(n), 12 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 14
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: VShareTB -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten:  -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{142B5D2D-F221-5E4D-1F2C-B7F72A159EA7} (Trojan.ZbotR.Gen) -> Daten: C:\Users\######\AppData\Roaming\Riceod\xyyx.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (http://startsear.ch/?aff=1) Gut: (http://www.google.com) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (http://startsear.ch/?aff=1) Gut: (http://www.google.com) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\Bsdhga6.zip (Trojan.SpyEyes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 5
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Keine Aktion durchgeführt.
C:\Users\######\AppData\Roaming\avdrn.dat (Malware.Trace) -> Keine Aktion durchgeführt.
C:\Users\######\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Keine Aktion durchgeführt.
C:\Users\######\AppData\Roaming\Adobe\plugs\mmc196.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.
C:\Bsdhga6.zip\AD1684F0FD500A0 (Trojan.SpyEyes) -> Keine Aktion durchgeführt.

(Ende)

Überall bei den Einträgen steht: "keine Aktion durchgeführt".
Alle Einträge in MBAM löschen, Neustart und MBAM nochmals ausführen. Sollten dann keine Unregelmäßigkeiten auftreten, dann ist erstmal gut so. Wenn ja, kommst Du nicht drum rum, Dein System neu aufzusetzen.

 

 

C:\Bsdhga6.zip\AD1684F0FD500A0 (Trojan.SpyEyes)
Bei SpyEyes sollte man defintiv eine Neuinstallation machen

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen oder alles was Logins erfordert dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

@ AK:

Ich habe es nochmals gemacht, also Neustart und nochmal laufen lassen, die Log.Datei ist identisch.

Also hilft nur System neu aufsetzen?

ja, genau, wie auch mein Vorgänger geschrieben hat.
Das nützt nichts, da musst Du durch.
Falls online-banking durchgeführt wird, auch alle Paßwörter wechseln !!!

Gruss A K

Da das teilweise WP ist - hast Du davon etwas auf Webspace hochgeladen?
 

Ja, ich habe mehrere Homepages über WP laufen!

Ach und noch zum Thema "System neu aufsetzen".

Gibts da irgendwo Anleitungen vielleicht hier im Forum oder sowaS? Habe das noch nie gemacht.

Wie ist das mit Programm, die man z.b. zweimal installieren darf. Die sind ja nun einmal installiert. Wenn ich die nach dem System neu machen wieder installieren, ist dann auch das 2. mal weg ?

Ja, ich habe mehrere Homepages über WP laufen!

Dann besteht die Gefahr, dass Deine Seiten infiziert sind.
In diesem Fall bist Du die reinste Malwareschleuder.

Nochmal: aus welcher Quelle stammt das WP-Zeugs?