Avast WEBforum
Non-English Zone => Deutsch => Topic started by: REDACTED on August 10, 2014, 08:47:11 PM
-
Hallo zusammen,
seit ein paar Tagen findet avast direkt mach dem Systemstart von Win7 64bit die beiden Bedrohungen:
Win32:BProtect-J [Trj]
in der svchost.exe
und
Win32:Malware-gen
als schädliche Webseite winsspeederget.info (ohne dass eine Seite aufgerufen wurde, direkt nach Systemstart)
Die Kaspersky Rescue Disk 10 (mit aktuellen Virusdaten per Netzwerk geladen) findet keinerlei Bedrohung.
Kennt dies jemand?
...zum BProtect hab ich was gefunden im Forum, was allerdings für die Maschine des Erstellers gilt.
Ciao,
3lf
-
Hallo und Willkommen im Forum! :)
Folge bitte dieser Anleitung und poste deine Basis-Logs als Anhang: https://forum.avast.com/index.php?topic=102616.0
DJBone
-
Hallo DJBone und danke für die schnelle Antwort!
Habe MBAM durchgeführt und die Aktionen ausgeführt.
Nun ist nach Neustart keine Bedrohung mehr gemeldet worden seitens Avast.
Siehe Anhang.
Ich mache noch mit den weiteren Basis Logs weiter, oder ist das sowieso nicht mehr erforderlich?
Ciao,
3lf
-
Poste bitte auch noch die restlichen Basis-Logs. Ich werde dann einen Malware-Experten informieren der dir weitere Anweisungen (auf englisch) gibt.
DJBone
-
Danke für die Mühen.
hier die beiden OTL logs.
aswMBR kann nicht bis zum Ende ausgeführt werden, da das Programm laufend abstürzt - siehe Bild im Anhang. Absturz immer, egal ob virtualization technology oder nicht.
Was kann ich anders machen?
Ciao,
3lf
-
Versuche mal aswMBR im abgesicherten Modus von Windows auszuführen.
DJBone
-
Nach Abschluss Adwcleaner konntest du mich wissen, wenn man noch die Warnungen lassen
Once Adwcleaner has finished could you let me know if you still get the alerts
Please download AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/) by Xplode onto your desktop.
- Close all open programs and internet browsers.
- Double click on AdwCleaner.exe to run the tool.
- Click on Scan.
- After the scan is complete click on "Clean"
- Confirm each time with Ok.
- Your computer will be rebooted automatically. A text file will open after the restart.
- Please post the content of that logfile with your next answer.
- You can find the logfile at C:\AdwCleaner[S1].txt as well.
-
Versuche mal aswMBR im abgesicherten Modus von Windows auszuführen.
DJBone
Auch im abgesicherten Modus absturz von aswMBR - immer bei Microsoft Visual Studio Tools Applications - siehe oben im jpg.
-
Once Adwcleaner has finished could you let me know if you still get the alerts
enclosed you can find Adwcleaner log.
i don´t get alerts more, they disapears since run and clean of first program: MBAM
-
Auch im abgesicherten Modus absturz von aswMBR - immer bei Microsoft Visual Studio Tools Applications - siehe oben im jpg.
Kein Problem, brauchen wir ohnehin nicht mehr.
-
Also Fehler behoben? Oder wären noch weitere Tests sinnvoll um wirklich sicher zu gehen?
Thank you all!
-
i don´t get alerts more, they disapears since run and clean of first program: MBAM
Sieht soweit gut aus, Essexboy wird später noch aufräumen und dir ein paar Tips mitgeben.
Schönen Abend,
Asyn
-
Super, vielen Dank und ebenfalls schönen Abend.
You all are really amazing and very very fast!
-
Subject to no further problems :)
I will remove my tools now and give some recommendations, but, I would like you to run for 24 hours or so and come back if you have any problems
Now the best part of the day ----- Your log now appears clean :thumbsup:
A good workman always cleans up after himself so..The following will implement some cleanup procedures as well as reset System Restore points:
Download and run Delfix (http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/9-delfix)
(https://dl.dropboxusercontent.com/u/73555776/delfix.JPG)
Now that you are clean, to help protect your computer in the future I recommend that you get the following free programmes:
CryptoPrevent (http://www.foolishit.com/vb6-projects/cryptoprevent/) install this programme to lock down and prevent crypto ransome ware
(https://dl.dropboxusercontent.com/u/73555776/CryptoPrevent.JPG)
Malwarebytes (http://www.malwarebytes.org/mbam-download.php).
Update and run weekly to keep your system clean
It is critical to have both a firewall and anti virus to protect your system and to keep them updated.
To learn more about how to protect yourself while on the internet read this little guide Best security practices (http://www.bleepingcomputer.com/forums/t/407147/answers-to-common-security-questions-best-practices/)Keep safe :wave:
-
Good morning and thany you!! :D
-
Good morning,
i do another test with avira pc cleaner. (I had it from old system installation alredy)
It found another 9 objects which aren´t be found by all before tests done in this issue.
How do you think about this?
Best regards,
3lf
-
Der Screenshot gibt nicht viel Info her, die Pfade wären interessant.
LG Asyn
-
Die wurden leider nicht angegeben. Ich vermute das sind "alte" Backup Pfade.
Die Outlook files sind alte Archive die derzeit nicht mehr in Verwendung sind.
-
Hast du Delfix lt. Anleitung (Antwort #13) ausgeführt..!?
-
Ja habe ich ausgeführt.
-
Gut, dann sind die Wiederherstellungspunkte abgedeckt.
Von welcher Art von Backup sprechen wir hier..?
-
Das sind nur alte Outlook Datenbankdateien welche frühere Mails enthalten.
-
Benötigst du sie noch..? Falls nicht, einfach löschen.
-
Naja, ich verschieb sie mal extern... :-)
-
Naja, ich verschieb sie mal extern... :-)
Auch eine Möglichkeit. (Aus den Augen, aus dem Sinn... ;))
-
Man kann ja davon ausgehen, dass die Outlook Files "nur" Mails mit betroffenen Anhängen enthalten, richtig? --> also kein Problem solange der jeweilige Anhang nicht geöffnet wird.
Oder ist das ein Denkfehler und von den Outlook Datendateien ansich kann auch eine Bedrohung ausgehen?
-
Man kann ja davon ausgehen, dass die Outlook Files "nur" Mails mit betroffenen Anhängen enthalten, richtig? --> also kein Problem solange der jeweilige Anhang nicht geöffnet wird.
So ist es.
-
Danke ;)
-
Bitteschön. :)
-
Ich hatte gestern auch diesen Trojaner. Beim Systemstart kam die Meldung von Avast aber ein Scan war erfolglos.
Dann habe ich hier von malwarebytes gelesen und ausprobiert. Ab in die Quarantäne und gut war.
Ich bin dann zwar noch weitergegangen in den Schritten aber bei Schritt 3 (aswMBR (avast! AntiRootkit)) kam es jedes Mal zu einem Absturz des Programms. Der Verdacht, daß sich das Rootkit erneut eingeschlichen hatte, bewahrheitete sich aber nicht. D.h. kann ich davon ausgehen, daß wenn malwarebytes nichts mehr findet (Scans wie im 2. Post beschrieben https://forum.avast.com/index.php?topic=102616.msg821671#msg821671), der Trojaner weg ist?
Noch eine Frage: Beissen sich Avast Internet Security und MalWareBytes bzw. kommen sich nichts ins Gehege? Fehlalarme brauche ich neben echten nämlich erst recht nicht ;)
-
Hallo und Willkommen im Forum! :)
Um ganz sicher zu gehen, solltest du den Anweisungen hier folgen und die Basis-Logs posten: https://forum.avast.com/index.php?topic=102616.0
aswMBR kannst du auch im abgesicherten Modus ausführen.
avast! Internet Security und MBAM arbeiten gut zusammen.
DJBone
-
Noch eine Frage: Beissen sich Avast Internet Security und MalWareBytes bzw. kommen sich nichts ins Gehege? Fehlalarme brauche ich neben echten nämlich erst recht nicht ;)
Achte einfach bei der Installation von Malwarebytes darauf das du die Testphase für Malwarebytes Pro abwählst. Dann läuft es als Malwarebytes Free das nur den OnDemand Scanner hat. Wenn du noch misstrauisch bist wegen der Infektion, dann lade dir mal Emsisoft Emergency Kit runter und mache mit dem Emsisoft Emergency Kit Scanner einen Detail Scan.
-
Hallo,
@ThomasSt,
bitte den Anweisungenfolgen, die DJBone verlinkt hat, dann kann sich das ein Malware - Experte anschauen.
@simracer,
ist zwar sehr nett gemeint, aber bitte nicht so viele Tools auf einmal, das verwirrt manchmal den Hilfesuchenden. :)
LG
TerraX
-
Mache ich sobald ich wieder an meinem Rechner sitze. Ich bin zur Zeit auf Arbeit :)
Die Logs habe ich ja noch. Ich hänge dann auch noch aktuelle nach der Bereinigung durch MalWareBytes an (in einem weiteren Post sofern das gestattet ist). Wollte hier nur erste Rückmeldung geben, dass ich noch dran bin.
Da ich nicht unbedingt zig Tools gleichzeitig installiert haben möchte (späterer potentieller Datenmüll) genügt es, die OTL und das MalWareByte-Log anzuhängen + das noch zu erstellende von AdwCleaner? Weil Probleme mit USB-Sticks, nicht sichtbaren Verzeichnissen oder sonstigem ab Punkt 5 trifft ja nicht auf mich zu.
@simracer: Die Testphase für Malwarebytes Pro habe ich nicht ausgewählt gehabt, also von daher ist die Frage nun sicher geklärt (ob sich die beiden Programme beissen würden). Trotzdem danke für den Hinweis.
-
Hallo,
die Logs von OTL und MBAM sind vorerst ok, eventuell noch das Log von aswMBR...ADWCleaner ist vorerst nicht notwendig.
Wenn du die Logs in deinem nächsten post mit angehängt hast, wird entweder DJBone oder ich einen Experten informieren.
TerraX
-
So da wären die Logs.
Erstellt sind sie alle VOR den heutigen Windowsupdates.
Die ersten drei waren gestern nach dem Befall (siehe Dateiname).
Die nächsten drei heute nach dem Hochfahren.
In beiden Fällen fehlt das Log von aswmbr.exe, da ich das gleiche Problem erhalte wie der User auf Seite 1 des Threads.
aswMBR kann nicht bis zum Ende ausgeführt werden, da das Programm laufend abstürzt - siehe Bild im Anhang. Absturz immer, egal ob virtualization technology oder nicht.
Abgesicherter Modus gleiches Problem.
Heute fehlt die Datei Extras.txt (von OTL), da sie nicht erzeugt wird. Scheinbar gibts da nix zu sehen.
Viel Spaß und schon mal vielen Dank für die Mühen.
((Die Anhänge von heute kommen im Folgepost, mehr als 4 kann man ja nicht anhängen.))
-
und hier die anderen 3 Anhänge
-
essexboy (Malware Spezialist) wurde von mir informiert. Es kann aber bis morgen Abend dauern bis er sich meldet.
DJBone
-
Hallo du musst den richtigen Benutzer einfügen bei Bedarf zu nennen oder das Update funktioniert nicht
Warning This fix is only relevant for this system and no other, using on another computer may cause problems
Be advised that when the fix commences it will shut down all running processes and you may lose the desktop and icons, they will return on reboot
Run OTL
- Under the Custom Scans/Fixes box at the bottom, paste in the following
(https://dl.dropbox.com/u/73555776/OTL_Fix.GIF)
:Commands
[CREATERESTOREPOINT]
:OTL
SRV - [2014.08.16 03:05:58 | 000,477,960 | ---- | M] (BitRaider, LLC) [On_Demand | Stopped] -- C:\ProgramData\BitRaider\BRSptSvc.exe -- (BRSptSvc)
[2014.08.17 13:07:59 | 000,000,000 | ---D | C] -- C:\Users\****\Documents\Optimizer Pro
[2014.08.16 03:05:57 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\BitRaider
[2014.08.16 03:05:57 | 000,000,000 | ---D | C] -- C:\ProgramData\BitRaider
[2014.08.16 03:03:25 | 000,000,000 | ---- | C] () -- C:\end
:Commands
[resethosts]
[emptytemp]
[Reboot]
- Then click the Run Fix button at the top
- Let the program run unhindered, reboot the PC when it is done
THEN
Please download Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) and save it to your Desktop.
Note: You need to run the version compatible with your system. If you are not sure which version applies to your system download both of them and try to run them. Only one of them will run on your system, that will be the right version.
- Right click to run as administrator (XP users click run after receipt of Windows Security Warning - Open File). When the tool opens click Yes to disclaimer.
- Select additions at the bottom
- Press Scan button.
(https://dl.dropboxusercontent.com/u/73555776/frst.JPG)
- It will produce a log called FRST.txt in the same directory the tool is run from.
- Please attach both logs generated.
-
Die Programme sind hoffentlich erfolgreich durchgelaufen (OTL und FRST).
Hier sind die Logs.
Zur Erklärung von BitRaider:
Das Gehört zum Streaming Client vom Launcher vom Spiel "Star Wars the Old Republic". Ohne BitRaider wird es also vermutlich nicht mehr laufen (daher Sicherheitskopien angefertigt).
Die Fehler von Intel Rapid Storage Technology sollten der Vergangenheit angehören. Ich habe letzte Woche eine neuere Version installiert, nachdem der Dienst nicht mehr gestartet werden konnte. Seitdem gab es keine Fehler mehr damit.
Optimizer pro ist wohl von meinem Laden installiert worden, wo ich den PC gekauft habe. Das haben sie zwar wieder deinstalliert, aber die leeren Verzeichnisse vergessen...
Die Datei "end" in C:\ kannte ich nicht. Sie hatte 0 bytes.
The Tools has done their work - successfully (i hope).
Explanation of BitRaider:
It belongs to the launcher of the game "Star Wars the Old Republic". Without Bitraider i think it couldn't work. I have saved the folders.
The errors with Intel Rapid Storate Technology were past. I have installed last week a newer version after the service couldn't start. Since than no errors.
Optimizer Pro was installed from my store where i've bought the pc and after installation it was removed (but they forgot the empty folders...).
The file "end" in C:\ i didn't know... 0 bytes.
Thank you for all your work.
Danke für die Arbeit bisher :)
-
I am glad that you can read English as my German is atrocious :)
What problems are you currently experiencing ?
-
I have no problems to read english but with spoken english i have "some" problems and my writing is like an unsure child who learn the first time to ride a bicycle ;) But it's good enough to order a beer or a steak. So my holidays were safe :D
Actually I have no problems with my system. After the files and registrykeys were moved in the quatantine from MBAM the rootkit will not appear again. Can you say that my system is safe now?
Can I copy back the BitRaider folders to their correct installed place? (C:\ProgramData\BitRaider and C:\Users\Public\Documents\BitRaider)
-
Yes copy bitraider back, shame it uses the same name and location as adware
No other apparent malware that I can see
-
Ok thank you (and the others) for your support.