Avast WEBforum

Non-English Zone => Deutsch => Topic started by: REDACTED on August 10, 2014, 08:47:11 PM

Title: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 08:47:11 PM
Hallo zusammen,

seit ein paar Tagen findet avast direkt mach dem Systemstart von Win7 64bit die beiden Bedrohungen:
Win32:BProtect-J [Trj]
in der svchost.exe

und

Win32:Malware-gen
als schädliche Webseite winsspeederget.info (ohne dass eine Seite aufgerufen wurde, direkt nach Systemstart)

Die Kaspersky Rescue Disk 10 (mit aktuellen Virusdaten per Netzwerk geladen) findet keinerlei Bedrohung.

Kennt dies jemand?
...zum BProtect hab ich was gefunden im Forum, was allerdings für die Maschine des Erstellers gilt.

Ciao,
3lf

Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: DJBone on August 10, 2014, 08:54:37 PM
Hallo und Willkommen im Forum! :)

Folge bitte dieser Anleitung und poste deine Basis-Logs als Anhang: https://forum.avast.com/index.php?topic=102616.0

DJBone
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 09:20:53 PM
Hallo DJBone und danke für die schnelle Antwort!

Habe MBAM durchgeführt und die Aktionen ausgeführt.
Nun ist nach Neustart keine Bedrohung mehr gemeldet worden seitens Avast.

Siehe Anhang.

Ich mache noch mit den weiteren Basis Logs weiter, oder ist das sowieso nicht mehr erforderlich?

Ciao,
3lf
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: DJBone on August 10, 2014, 09:26:41 PM
Poste bitte auch noch die restlichen Basis-Logs. Ich werde dann einen Malware-Experten informieren der dir weitere Anweisungen (auf englisch) gibt.

DJBone
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 09:42:21 PM
Danke für die Mühen.

hier die beiden OTL logs.

aswMBR kann nicht bis zum Ende ausgeführt werden, da das Programm laufend abstürzt - siehe Bild im Anhang. Absturz immer, egal ob virtualization technology oder nicht.
Was kann ich anders machen?

Ciao,
3lf
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: DJBone on August 10, 2014, 09:58:08 PM
Versuche mal aswMBR im abgesicherten Modus von Windows auszuführen.

DJBone
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: essexboy on August 10, 2014, 10:16:15 PM
Nach Abschluss Adwcleaner konntest du mich wissen, wenn man noch die Warnungen lassen

Once Adwcleaner has finished could you let me know if you still get the alerts

Please download AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/) by Xplode onto your desktop.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 10:29:35 PM
Quote from: DJBone on August 10, 2014, 09:58:08 PM
Versuche mal aswMBR im abgesicherten Modus von Windows auszuführen.

DJBone

Auch im abgesicherten Modus absturz von aswMBR - immer bei Microsoft Visual Studio Tools Applications - siehe oben im jpg.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 10:31:21 PM
Quote from: essexboy on August 10, 2014, 10:16:15 PM

Once Adwcleaner has finished could you let me know if you still get the alerts


enclosed you can find Adwcleaner log.
i don´t get alerts more, they disapears since run and clean of first program: MBAM
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 10, 2014, 10:40:07 PM
Quote from: 3lf on August 10, 2014, 10:29:35 PM
Auch im abgesicherten Modus absturz von aswMBR - immer bei Microsoft Visual Studio Tools Applications - siehe oben im jpg.
Kein Problem, brauchen wir ohnehin nicht mehr.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 10:41:18 PM
Also Fehler behoben? Oder wären noch weitere Tests sinnvoll um wirklich sicher zu gehen?

Thank you all!
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 10, 2014, 10:42:06 PM
Quote from: 3lf on August 10, 2014, 10:31:21 PM
i don´t get alerts more, they disapears since run and clean of first program: MBAM
Sieht soweit gut aus, Essexboy wird später noch aufräumen und dir ein paar Tips mitgeben.

Schönen Abend,
Asyn
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 10, 2014, 10:43:49 PM
Super, vielen Dank und ebenfalls schönen Abend.
You all are really amazing and very very fast!
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: essexboy on August 10, 2014, 11:24:33 PM


Subject to no further problems   :)

I will remove my tools now and give some recommendations, but, I would like you to run for 24 hours or so and come back if you have any problems 

Now the best part of the day ----- Your log now appears clean  :thumbsup:

A good workman always cleans up after himself so..The following will implement some cleanup procedures as well as reset  System Restore points:

Download and run Delfix (http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/9-delfix)

(https://dl.dropboxusercontent.com/u/73555776/delfix.JPG)

Now that you are clean, to help protect your computer in the future I recommend that you get the following free programmes:

CryptoPrevent (http://www.foolishit.com/vb6-projects/cryptoprevent/) install this programme to lock down and prevent crypto ransome ware

(https://dl.dropboxusercontent.com/u/73555776/CryptoPrevent.JPG)

Malwarebytes (http://www.malwarebytes.org/mbam-download.php).

Update and run weekly to keep your system clean


It is critical to have both a firewall and anti virus to protect your system and to keep them updated.

To learn more about how to protect yourself while on the internet read this little guide  Best security practices  (http://www.bleepingcomputer.com/forums/t/407147/answers-to-common-security-questions-best-practices/)Keep safe  :wave:
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 11, 2014, 07:23:43 AM
Good morning and thany you!!  :D
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 12, 2014, 06:03:51 AM
Good morning,

i do another test with avira pc cleaner. (I had it from old system installation alredy)
It found another 9 objects which aren´t be found by all before tests done in this issue.

How do you think about this?

Best regards,
3lf
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 12, 2014, 07:15:24 AM
Der Screenshot gibt nicht viel Info her, die Pfade wären interessant.

LG Asyn
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 12, 2014, 10:19:53 AM
Die wurden leider nicht angegeben. Ich vermute das sind "alte" Backup Pfade.
Die Outlook files sind alte Archive die derzeit nicht mehr in Verwendung sind.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 12, 2014, 10:33:42 AM
Hast du Delfix lt. Anleitung (Antwort #13) ausgeführt..!?
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 12, 2014, 12:24:46 PM
Ja habe ich ausgeführt.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 12, 2014, 12:27:16 PM
Gut, dann sind die Wiederherstellungspunkte abgedeckt.
Von welcher Art von Backup sprechen wir hier..?
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 13, 2014, 08:58:03 AM
Das sind nur alte Outlook Datenbankdateien welche frühere Mails enthalten.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 13, 2014, 09:05:22 AM
Benötigst du sie noch..? Falls nicht, einfach löschen.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 13, 2014, 10:15:49 AM
Naja, ich verschieb sie mal extern... :-)
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 13, 2014, 10:20:22 AM
Quote from: 3lf on August 13, 2014, 10:15:49 AM
Naja, ich verschieb sie mal extern... :-)
Auch eine Möglichkeit. (Aus den Augen, aus dem Sinn... ;))
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 13, 2014, 12:11:33 PM
Man kann ja davon ausgehen, dass die Outlook Files "nur" Mails mit betroffenen Anhängen enthalten, richtig? --> also kein Problem solange der jeweilige Anhang nicht geöffnet wird.
Oder ist das ein Denkfehler und von den Outlook Datendateien ansich kann auch eine Bedrohung ausgehen?
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 14, 2014, 07:13:01 AM
Quote from: 3lf on August 13, 2014, 12:11:33 PM
Man kann ja davon ausgehen, dass die Outlook Files "nur" Mails mit betroffenen Anhängen enthalten, richtig? --> also kein Problem solange der jeweilige Anhang nicht geöffnet wird.
So ist es.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on August 14, 2014, 09:25:00 AM
Danke  ;)
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: Asyn on August 14, 2014, 09:27:13 AM
Bitteschön. :)
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 10, 2014, 02:06:45 AM
Ich hatte gestern auch diesen Trojaner. Beim Systemstart kam die Meldung von Avast aber ein Scan war erfolglos.
Dann habe ich hier von malwarebytes gelesen und ausprobiert. Ab in die Quarantäne und gut war.
Ich bin dann zwar noch weitergegangen in den Schritten aber bei Schritt 3 (aswMBR (avast! AntiRootkit)) kam es jedes Mal zu einem Absturz des Programms. Der Verdacht, daß sich das Rootkit erneut eingeschlichen hatte, bewahrheitete sich aber nicht. D.h. kann ich davon ausgehen, daß wenn malwarebytes nichts mehr findet (Scans wie im 2. Post beschrieben https://forum.avast.com/index.php?topic=102616.msg821671#msg821671), der Trojaner weg ist?

Noch eine Frage: Beissen sich Avast Internet Security und MalWareBytes bzw. kommen sich nichts ins Gehege? Fehlalarme brauche ich neben echten nämlich erst recht nicht ;)
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: DJBone on September 10, 2014, 08:48:43 AM
Hallo und Willkommen im Forum! :)

Um ganz sicher zu gehen, solltest du den Anweisungen hier folgen und die Basis-Logs posten: https://forum.avast.com/index.php?topic=102616.0
aswMBR kannst du auch im abgesicherten Modus ausführen.
avast! Internet Security und MBAM arbeiten gut zusammen.

DJBone
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: simracer on September 10, 2014, 01:49:47 PM
Quote
Noch eine Frage: Beissen sich Avast Internet Security und MalWareBytes bzw. kommen sich nichts ins Gehege? Fehlalarme brauche ich neben echten nämlich erst recht nicht ;)
Achte einfach bei der Installation von Malwarebytes darauf das du die Testphase für Malwarebytes Pro abwählst. Dann läuft es als Malwarebytes Free das nur den OnDemand Scanner hat. Wenn du noch misstrauisch bist wegen der Infektion, dann lade dir mal Emsisoft Emergency Kit runter und mache mit dem Emsisoft Emergency Kit Scanner einen Detail Scan.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: TerraX on September 10, 2014, 03:37:38 PM
Hallo,

@ThomasSt,

bitte den Anweisungenfolgen, die DJBone verlinkt hat, dann kann sich das ein Malware - Experte anschauen.


@simracer,

ist zwar sehr nett gemeint, aber bitte nicht so viele Tools auf einmal, das verwirrt manchmal den Hilfesuchenden. :)

LG
TerraX
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 10, 2014, 04:14:22 PM
Mache ich sobald ich wieder an meinem Rechner sitze. Ich bin zur Zeit auf Arbeit :)
Die Logs habe ich ja noch. Ich hänge dann auch noch aktuelle nach der Bereinigung durch MalWareBytes an (in einem weiteren Post sofern das gestattet ist). Wollte hier nur erste Rückmeldung geben, dass ich noch dran bin.

Da ich nicht unbedingt zig Tools gleichzeitig installiert haben möchte (späterer potentieller Datenmüll) genügt es, die OTL und das MalWareByte-Log anzuhängen + das noch zu erstellende von AdwCleaner? Weil Probleme mit USB-Sticks, nicht sichtbaren Verzeichnissen oder sonstigem ab Punkt 5 trifft ja nicht auf mich zu.

@simracer: Die Testphase für Malwarebytes Pro habe ich nicht ausgewählt gehabt, also von daher ist die Frage nun sicher geklärt (ob sich die beiden Programme beissen würden). Trotzdem danke für den Hinweis.
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: TerraX on September 10, 2014, 04:22:40 PM
Hallo,

die Logs von OTL und MBAM sind vorerst ok, eventuell noch das Log von aswMBR...ADWCleaner ist vorerst nicht notwendig.
Wenn du die Logs in deinem nächsten post mit angehängt hast, wird entweder DJBone oder ich einen Experten informieren.

TerraX
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 10, 2014, 07:29:13 PM
So da wären die Logs.
Erstellt sind sie alle VOR den heutigen Windowsupdates.
Die ersten drei waren gestern nach dem Befall (siehe Dateiname).
Die nächsten drei heute nach dem Hochfahren.
In beiden Fällen fehlt das Log von aswmbr.exe, da ich das gleiche Problem erhalte wie der User auf Seite 1 des Threads.
Quote from: 3lf on August 10, 2014, 09:42:21 PM
aswMBR kann nicht bis zum Ende ausgeführt werden, da das Programm laufend abstürzt - siehe Bild im Anhang. Absturz immer, egal ob virtualization technology oder nicht.
Abgesicherter Modus gleiches Problem.

Heute fehlt die Datei Extras.txt (von OTL), da sie nicht erzeugt wird. Scheinbar gibts da nix zu sehen.

Viel Spaß und schon mal vielen Dank für die Mühen.

((Die Anhänge von heute kommen im Folgepost, mehr als 4 kann man ja nicht anhängen.))
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 10, 2014, 07:30:19 PM
und hier die anderen 3 Anhänge
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: DJBone on September 10, 2014, 11:31:47 PM
essexboy (Malware Spezialist) wurde von mir informiert. Es kann aber bis morgen Abend dauern bis er sich meldet.

DJBone
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: essexboy on September 11, 2014, 04:03:14 PM
Hallo du musst den richtigen Benutzer einfügen bei Bedarf zu nennen oder das Update funktioniert nicht

Warning This fix is only relevant for this system and no other, using on another computer may cause problems

Be advised that when the fix commences it will shut down all running processes and you may lose the desktop and icons, they will return on reboot

Run OTL
Code: [Select]
:Commands
[CREATERESTOREPOINT]

:OTL
SRV - [2014.08.16 03:05:58 | 000,477,960 | ---- | M] (BitRaider, LLC) [On_Demand | Stopped] -- C:\ProgramData\BitRaider\BRSptSvc.exe -- (BRSptSvc)
[2014.08.17 13:07:59 | 000,000,000 | ---D | C] -- C:\Users\****\Documents\Optimizer Pro
[2014.08.16 03:05:57 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\BitRaider
[2014.08.16 03:05:57 | 000,000,000 | ---D | C] -- C:\ProgramData\BitRaider
[2014.08.16 03:03:25 | 000,000,000 | ---- | C] () -- C:\end

:Commands
[resethosts]
[emptytemp]
[Reboot]
THEN

Please download Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) and save it to your Desktop.
 
Note: You need to run the version compatible with your system. If you are not sure which version applies to your system download both of them and try to run them. Only one of them will run on your system, that will be the right version.
 
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 11, 2014, 06:27:13 PM
Die Programme sind hoffentlich erfolgreich durchgelaufen (OTL und FRST).
Hier sind die Logs.

Zur Erklärung von BitRaider:
Das Gehört zum Streaming Client vom Launcher vom Spiel "Star Wars the Old Republic". Ohne BitRaider wird es also vermutlich nicht mehr laufen (daher Sicherheitskopien angefertigt).

Die Fehler von Intel Rapid Storage Technology sollten der Vergangenheit angehören. Ich habe letzte Woche eine neuere Version installiert, nachdem der Dienst nicht mehr gestartet werden konnte. Seitdem gab es keine Fehler mehr damit.

Optimizer pro ist wohl von meinem Laden installiert worden, wo ich den PC gekauft habe. Das haben sie zwar wieder deinstalliert, aber die leeren Verzeichnisse vergessen...

Die Datei "end" in C:\ kannte ich nicht. Sie hatte 0 bytes.


The Tools has done their work - successfully (i hope).

Explanation of BitRaider:
It belongs to the launcher of the game "Star Wars the Old Republic". Without Bitraider i think it couldn't work. I have saved the folders.

The errors with Intel Rapid Storate Technology were past. I have installed last week a newer version after the service couldn't start. Since than no errors.

Optimizer Pro was installed from my store where i've bought the pc and after installation it was removed (but they forgot the empty folders...).

The file "end" in C:\ i didn't know... 0 bytes.

Thank you for all your work.

Danke für die Arbeit bisher :)
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: essexboy on September 11, 2014, 06:47:32 PM
I am glad that you can read English as my German is atrocious :)

What problems are you currently experiencing ?
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 11, 2014, 07:04:52 PM
I have no problems to read english but with spoken english i have "some" problems and my writing is like an unsure child who learn the first time to ride a bicycle ;) But it's good enough to order a beer or a steak. So my holidays were safe :D

Actually I have no problems with my system. After the files and registrykeys were moved in the quatantine from MBAM the rootkit will not appear again. Can you say that my system is safe now?

Can I copy back the BitRaider folders to their correct installed place? (C:\ProgramData\BitRaider and C:\Users\Public\Documents\BitRaider)
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: essexboy on September 11, 2014, 07:13:36 PM
Yes copy bitraider back, shame it uses the same name and location as adware

No other apparent malware that I can see
Title: Re: Win32:Malware-gen und Win32:BProtect-J [Trj]
Post by: REDACTED on September 11, 2014, 07:19:29 PM
Ok thank you (and the others) for your support.