Author Topic: Virus in Favoriten gefunden  (Read 18185 times)

0 Members and 1 Guest are viewing this topic.

Antje

  • Guest
Virus in Favoriten gefunden
« on: December 02, 2013, 08:27:56 PM »
Hallo !

Ich habe mich soeben aufgrund folgenden Problems angemeldet und hoffe auf Eure Hilfe! Man verzeihe mir etwaige dumme Fragen, aber in allen "tiefergehenden" Belangen des PCs bin ich nicht sehr bewandert.

Bei der gestrigen schnellen Überprüfung wurde folgende Bedrohung gefunden:

Datei:
C:\Users\NAme\Favorites\Favorites\Flüge\Olympic Airlines.url

Schweregrad:
Hoch

Status:
Bedrohung: INI:shortcut-inf(Trj)

Ich habe die Datei in den Container verschoben.

Leider kann ich euch (zunächst) nur mit diesen Infos dienen, weil selbst der "detaillierte Report" nur so aussah....(oder ich habe den wirklich detaillierten Report nicht gefunden).

Wenn ich es richtig sehe, wurde der Trojaner in meinen Favoriten gefunden. Nun habe ich diesen betroffenen Favoriten schon lange gespeichert, bisher wurde aber bei den (täglich ausgeführten) Scans keine Bedrohung gemeldet.
Ferner hat sowohl ein nur 1,5 Stunden zuvor mit avast ausgeführter Scan sowie ein ebenfalls kurz vorher durchgeführter Scan mit Malwarebytes keine Bedrohung gemeldet.


Die nach Verschieben in den Container durchgeführten Scans (avast u. Malwarebytes) zeigen keine Bedrohungen.

Ich habe nun folgende Fragen:

- Wie ist die Bedrohung tatsächlich einzuschätzen?
- Was muss ich jetzt noch tun? Reicht es, die Datei im Container zu löschen oder muss das System neu aufgesetzt werden? Bietet es sich an, noch weitere Virenscanner prüfen zu lassen?
- Kann ich nun sicher sein, dass das System "sauber" ist, wenn keine Bedrohung mehr gefunden wird?
- Oder soll ich alle MAßnahmen durchführen, die unter  unter dem Forums-Topic "Infos zur Erkennung/Entfernung von Infektionen/Malware: http://forum.avast.com/index.php?topic=102616.0" genannt sind ?

Ich füge den Report des avast-Scans  bei. Mehr kann ich leider wirklich nicht finden, was aber nicht heißen muss, dass nicht mehr vorhanden ist.

Über eine Nachricht würde ich mich sehr freuen!

Viele Grüße,
Antje




Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #1 on: December 02, 2013, 09:52:02 PM »
Ich habe eben doch noch den ausführlichen Bericht in meinen Dateien gefunden:


avast! Protokolldatei
* Diese Protokolldatei wurde automatisch erstellt
*
* Prüfungsname: Schnelle Überprüfung
* Start: Sonntag, 1. Dezember 2013 18:00:03
* VPS: 131201-0, 01.12.2013
*

C:\Users\Antje\Favorites\Favorites\Flüge\Olympic Airlines.url [L] INI:Shortcut-inf [Trj] (0)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>AVSDKList.zip|>output.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>ManualUninstallConfig.zip|>out.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>ProductReleaseNotes.zip|>ProductReleaseNotes.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>QATestedProducts.zip|>QATestedProducts.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>avsdklist.zip|>output.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>manualuninstallconfig.zip|>out.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>productreleasenotes.zip|>ProductReleaseNotes.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>qatestedproducts.zip|>QATestedProducts.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>AVSDKList.zip|>output.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>ManualUninstallConfig.zip|>out.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>ProductReleaseNotes.zip|>ProductReleaseNotes.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>QATestedProducts.zip|>QATestedProducts.xml [E] Archiv ist kennwortgeschützt. (42056)
Infizierte Dateien: 1
Dateien gesamt: 135103
Ordner gesamt: 36010
Gesamtgröße: 29,5 GB

*
* Prüfung beendet: Sonntag, 1. Dezember 2013 19:03:29
* Laufzeit war 1 Stunde(n), 3 Minute(n), 3 Sekunde(n)
*

*


Vielleicht kann mir jemand helfen ???

LG, Antje

Offline mato

  • Was über mich....gibts nicht das Internet ist doch Anonym? ^^
  • Advanced Poster
  • **
  • Posts: 708
  • -:::Ma To:::-
Re: Virus in Favoriten gefunden
« Reply #2 on: December 02, 2013, 10:37:29 PM »
Hallo !


- Oder soll ich alle MAßnahmen durchführen, die unter  unter dem Forums-Topic "Infos zur Erkennung/Entfernung von Infektionen/Malware: http://forum.avast.com/index.php?topic=102616.0" genannt sind ?



Ja

Und bei Malwarebyts solltest du vorher immer aktualisieren (falls Du das nicht gemacht hast).
Avast Internet Security (immer aktuellste) - Avast Mobile Security (immer die aktuellste) 
Win 7 Pro 64Bit  SP1
Win 10 Home 64 Bit
PROTEST: Ich will den Ton und das Popup des automatischen Updates zurück!

Offline TerraX

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6565
Re: Virus in Favoriten gefunden
« Reply #3 on: December 02, 2013, 10:45:53 PM »
Hallo Antje,

bitte die Logs aus dem Link posten.
Andere Frage, hast du Avira zusätzlich zu avast! installiert?

Willkommen im Forum :)
TerraX
Win10 64bit / Avast Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #4 on: December 02, 2013, 11:43:24 PM »
Vielen Dank für Eure Rückmeldungen!

Zunächst zu Avira: Ich hatte es auf dem Rechner, bevor ich avast installiert habe. Eigentlich habe ich es deinstalliert.....Mir ist allerdings nicht aufgefallen, dass es im Report noch auftaucht, aber den gucke ich mir ja auch nie so genau an  :-[

Nun kommt der erste Schwung der empfohlenen Maßnahmen:

AdwCleaner:


# AdwCleaner v3.014 - Bericht erstellt am 02/12/2013 um 22:57:27
# Updated 01/12/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzername : Antje - ESPRIMO
# Gestartet von : C:\Users\Antje\Downloads\AdwCleaner-3.014.exe
# Option : Suchen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Datei Gefunden : C:\Users\Antje\AppData\Roaming\Mozilla\Firefox\Profiles\1v6hhwqd.default\searchplugins\Askcom.xml
Ordner Gefunden C:\Users\Antje\AppData\Local\Temp\OCS

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16428

Einstellung Gefunden : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE

-\\ Mozilla Firefox v25.0.1 (de)

[ Datei : C:\Users\Antje\AppData\Roaming\Mozilla\Firefox\Profiles\1v6hhwqd.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1648 octets] - [02/12/2013 22:57:27]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1708 octets] ##########



Malwarebytes  (wurde direkt vor dem Scan akutalisiert):



Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.02.10

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 11.0.9600.16428
Antje :: ESPRIMO [Administrator]

02.12.2013 23:15:48
mbam-log-2013-12-02 (23-15-48).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199124
Laufzeit: 23 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


So, der Rest folgt .....

Offline TerraX

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6565
Re: Virus in Favoriten gefunden
« Reply #5 on: December 02, 2013, 11:46:28 PM »
Hallo,

bitte die Logs als Anhang posten...Danke. :)

TerraX
Win10 64bit / Avast Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #6 on: December 03, 2013, 12:16:24 AM »
Oh Entschuldigung, dann werde ich das mal versuchen....

Das OTL "rödelt" übrigens jetzt schon ewig.....da stimmt was nicht; werde es gleich oder morgen noch mal probieren...

Hier also erstmal malwarebytes und AdwCleaner ....

Offline TerraX

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6565
Re: Virus in Favoriten gefunden
« Reply #7 on: December 03, 2013, 12:28:21 AM »
Hallo,

das passt so. Wenn die Logs alle beisammen sind, werde ich oder DJBone einen Malware-Experten kontaktieren. Aber über die Avira-Einträge werden wir uns danach noch unterhalten müssen...vielleicht geht auch noch der Malware-Experte darauf ein.
Verstehst du ein wenig Englisch?

TerraX
Win10 64bit / Avast Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #8 on: December 03, 2013, 01:09:24 AM »
Hallo TerraX,

mein Englisch ist mäßig bis mittelmäßig. Aber ich verstehe besser als zu sprechen/schreiben. Bei technischen Angelegenheiten allerdings..... ;)

Hier kommt Teil 1 der Auswertungen von otl......

Teil 2 (otl.txt) scheint zu groß zu sein, ich kann es nicht abschicken; auch nicht, wenn ich, wenn ich es in einem separaten Post sende. Es hat 10,1 MB. Ist das "normal"?
Was nun  :( ?

Lieben Dank für die bisherige Hilfe!
« Last Edit: December 03, 2013, 01:14:39 AM by Antje »

Offline TerraX

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6565
Re: Virus in Favoriten gefunden
« Reply #9 on: December 03, 2013, 01:32:30 AM »
Hallo,

gern geschehen. Hast du das OTL-Log als Ansi-Format abgespeichert? ;)

TerraX
Win10 64bit / Avast Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

purzelbär

  • Guest
Re: Virus in Favoriten gefunden
« Reply #10 on: December 03, 2013, 06:08:59 PM »
Hallo Antje, du hättest bevor du Avast installierst, erstmal den Avira Registry Cleaner: http://www.avira.com/de/download/product/avira-registrycleaner durchlaufen lassen sollen bevor Avast installiert wurde und anschliessend eine Bereinigung mit CCeaner/Registry machen sollen meiner Meinung nach ;) Den Avira Registry Cleaner kannst du jetzt immer noch durchlaufen lassen aber pass auf was der zur Entfernung anzeigt den das Tool zeigt auch Einträge von Avast an die nicht gelöscht werden sollten/dürfen. Alternativ könntest du mal AppRemover: http://www.chip.de/downloads/AppRemover_37895134.html verwenden um damit zu checken was damit noch von Avra gefunden wird. Nun zu Malwarebytes: ich hätte damit nicht nur einen QuickScan gemacht sondern die Vollständige Überprüfung. AdwCleaner ist okay wie du es eingesetzt hast, zusätzlich zu den beiden Tools könntest du noch Junkware Removal Tool: http://www.bleepingcomputer.com/download/junkware-removal-tool/ einsetzen zur Bereinigung gegen Adware und PUP Erkennungen. Bei JRT biite das mit Administratorrechten ausführen und für die Dauer des Scans vorsorglich Avast temporär beenden/anhalten(Avast Schutzsteuerung deaktivieren).

Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #11 on: December 03, 2013, 08:32:43 PM »
Hallo allerseits,
tut mir leid, dass ich mich erst so spät zurückmelde, aber ich bin natürlich immer noch am Ball ;-).

Quote
gern geschehen. Hast du das OTL-Log als Ansi-Format abgespeichert? ;)

Bisher nicht, aber jetzt ;-). Trotzdem ist das OTL-Log immer noch 5 MB groß und ich kann es also nicht senden :-( .....Habe ich vielleicht beim Suchlauf etwas falsch gemacht? Dabei habe ich die Einstellungen genau nach Vorgabe vorgenommen...:-(

Was kann ich da tun?

Na ja, hier auf jeden Fall schon mal das Extra-log in ANSI.

@Purzelbär: Vielen Dank auch für deine Hilfe. JRT lasse ich später auch noch durchlaufen. Jetzt fehlt erstmal noch aswMBR. Um die "avira-Reste" kümmere ich mich ganz zum Schluss. Ich muss mich erstmal Schritt für Schritt durchbeißen; bin ja ein technisches Embryo...

Bei Malwarebytes habe ich auch einen vollständigen Scan gemacht, den ich als Anlage beifüge.
« Last Edit: December 03, 2013, 08:51:53 PM by Antje »

Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #12 on: December 03, 2013, 09:20:21 PM »
So, hier ist nun auch das aswMBR-log.

Aber was mache ich nur mit dem zu großen  OTL-log?

Offline TerraX

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6565
Re: Virus in Favoriten gefunden
« Reply #13 on: December 03, 2013, 11:02:29 PM »
Hallo,

kannst du bitte nochmal nach Anleitung OTL durchlaufen lassen.....bitte genau an die Anleitung halten. :)
http://forum.avast.com/index.php?topic=102616.0

TerraX
Win10 64bit / Avast Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

Antje

  • Guest
Re: Virus in Favoriten gefunden
« Reply #14 on: December 04, 2013, 11:06:30 AM »
Hallo TerraX,

ich habe OTL gestern noch mal durchlaufen lassen und mich  genau an die Vorgaben gehalten, außer dass die Auswahlmöglichkeit "include 64bitsystem" nicht gegeben war,  und bei "Modules" statt "no company name" neben "None" und "All" nur die Auswahl "use safeList" zur Verfügung stand.
Was mir aber aufgefallen ist: Während des Suchlaufs war plötzlich bei "Standard Registry" "All" angeklickt, obwohl ich mir 100% sicher bin, dass ich "Use SafeList" ausgewählt habe. Habe den Suchlauf sogar nochmal abgebrochen und neu gestartet mit der richtigen Auswahl; wieder das gleiche...

Lange Rede, kurzer Sinn: Der OTL-Log ist wieder zu groß :-(