Author Topic: Verdächtige Datei geöffnet  (Read 2842 times)

0 Members and 1 Guest are viewing this topic.

Offline Zyroc

  • Newbie
  • *
  • Posts: 4
Verdächtige Datei geöffnet
« on: December 03, 2018, 02:08:11 AM »
Hallo,

Ich habe mir heute eine Datei von IGG-Games heruntergeladen. Ich weiß das man dies nicht machen sollte. Nach diesem schock werde ich das auch sicher nicht mehr.
Ich wäre trotzdem froh, wenn mir jemand bei der Beseitigung zur Seite stehen würde.

Ich habe mich schon beim Trojaner-Board gemeldet, wurde dort allerdings abgewiesen, da ich ihnen obige Information nicht mitgeteilt habe. Es ist das erste mal, das ich eine Datei ausgeführt habe, die ziemlich sicher ein Virus ist. Ich dachte, das nur die Datei und die Infektion an sich wichtig wären. Dieser Fehler hat mich letztendlich um die Hilfe gebracht.

Nach der absage wusste ich nicht, was ich tun sollte. Trojaner-Board war die einzige Hilfsseite die ich kannte. Schließlich bin ich, nach langer, verzweifelter suche, allerdings doch noch auf diese Seite gestoßen und möchte hier um Hilfe bitten.

Nun zu meinem Problem:

sehr wahrscheinlich habe ich eben einen Virus geöffnet. Leider bin ich erst auf die Idee, die Datei von Virustotal scannen zu lassen, gekommen als die Datei nicht richtig funktionierte.

Hier sind schon einmal die Virustotal links:

https://www.virustotal.com/#/file/4dfa90456996b23c89b2804719908fca55edf56b7f307bfeab980ce8da80fe1f/behavior

https://www.virustotal.com/graph//drawer/relationship/node/nrelationships_contacted_domains_4dfa90456996b23c89b2804719908fca55edf56b7f307bfeab980ce8da80fe1f/1543783802599?src=minigraph

Dort steht, dass die Datei eine Verbindung zu VBOXSVR(dot)ovh(dot)net aufbaut. Nun bin ich mir nicht sicher, ob die Seite schon gelöscht wurde, da ich sie nicht mit Urlscan erreichen kann.

Bisher habe ich nur einen kurzen Scan mit Malwarebytes gemacht und lasse gerade mein ganzes System in einem langen Durchlauf von selbigem scannen.

Habe die Datei umgehend gelöscht, war das schlau?^^'

Als Antiviren-Programme nutze ich hauptsächlich Avast aber auch Windows Defender ist angeschaltet.

Ich wollte Thema nur kurz eröffnen, da ich jetzt schlafen gehe. Der Malwarebytes Scan hat über 4 Stunden gebraucht. Ich hoffe dass der log erstmal ausreicht, und ich den FRST log morgen nachreichen kann, falls man mir hier überhaupt helfen möchte. :-[


Herzlichen Dank im Voraus

Zyroc

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Verdächtige Datei geöffnet
« Reply #1 on: December 03, 2018, 01:08:21 PM »
...falls man mir hier überhaupt helfen möchte. :-[
Ja, aber wir benötigen deine FRST-Logs.

Willkommen im Forum,
Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline Zyroc

  • Newbie
  • *
  • Posts: 4
Re: Verdächtige Datei geöffnet
« Reply #2 on: December 03, 2018, 01:53:08 PM »
DANKE! Ich hatte die Hoffnung nach der Absage fast schon aufgegeben. ;D

Hier die FRST Logs:
« Last Edit: December 03, 2018, 02:45:41 PM by Zyroc »

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Verdächtige Datei geöffnet
« Reply #3 on: December 03, 2018, 03:25:34 PM »
OK, ein Malware-Experte ist informiert...
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline Sass Drake

  • MyCity AMF R2
  • Avast Evangelist
  • Advanced Poster
  • ***
  • Posts: 820
Re: Verdächtige Datei geöffnet
« Reply #4 on: December 03, 2018, 08:14:00 PM »
FRST logs doesn't show traces of active malware infection. I think you were lucky becase either file you ran is clean or not worked properly.
Please rename FRST64.exe to uninstall.exe and run it. That should uninstall FRST.

Offline simracer

  • Poster
  • *
  • Posts: 503
Re: Verdächtige Datei geöffnet
« Reply #5 on: December 03, 2018, 08:28:34 PM »
FRST logs doesn't show traces of active malware infection. I think you were lucky becase either file you ran is clean or not worked properly.
Please rename FRST64.exe to uninstall.exe and run it. That should uninstall FRST.
Da hat er ja wohl nochmal Glück gehabt  :) an dieser Stelle mein Appell an Zyroc: schlesse eine USB Festplatte an und mache darauf eine sog. Systemsicherung: https://www.backup-utility.com/de/features/system-backup.html mit Aomei Backupper Standard: https://www.backup-utility.com/de/free-backup-software.html. Vergiss dann auch nicht das Rettungsmedium des Backup Programms mit dem Assistenten des Programms zu erstellen wobei man bei Aomei die Auswahl hat zwischen Linux basierten Medium und Windows PE Medium das auch Uefi unterstützt im Gegensatz zum Linux basierten Medium. Du kannst natürlich auch mit Aomei Backupper Standard stattdessen ein Komplettbackup der Festplatte machen wenn du neben der Systempartion C mit Windows noch andere Partitionen für Spiele oder so eingerichtet hast. Das einspielen eines solchen Backups geht immer schneller als dein System mit Scannern zu untersuchen oder gar dein Windows neu aufsetzen zu müssen und es wird alles mitgesichert was zu dem Zeitpunkt drauf und installiert ist.
 

Offline Zyroc

  • Newbie
  • *
  • Posts: 4
Re: Verdächtige Datei geöffnet
« Reply #6 on: December 03, 2018, 09:21:23 PM »
Thank you for your answer!

I thought I had to reinstall Windows.  :)


A few last questions:

How does it come that my PC isn't infected? The virustotal link clearly shows the DNS call.

After I submitted the files, I looked through the FRST logs myself, even through I'm not used to malware.
I can't remember allowing the "LPorts"(?) 1900 and 2869. Is it normal that they are allowed?

And what do the application-errors mean? Is it normal that you don't get notified if there was an error during a check?
According to FRST, they showed up after I'd run the file.

While I've been writing this I did a new scan. There are new logs in the "application-errors" and the "system-errors" sections in the "Addition.txt" file.
I attached the new files, in case you are willing to look through them.



Thank you for your time & your support!

Offline Sass Drake

  • MyCity AMF R2
  • Avast Evangelist
  • Advanced Poster
  • ***
  • Posts: 820
Re: Verdächtige Datei geöffnet
« Reply #7 on: December 03, 2018, 09:28:19 PM »


How does it come that my PC isn't infected? The virustotal link clearly shows the DNS call.

DNS request mabye failed on your machine. Maybe remote server was not available at the moment or EXE file refused to do job for some reason. Your system is clean ad that all that matters for now.

Offline Zyroc

  • Newbie
  • *
  • Posts: 4
Re: Verdächtige Datei geöffnet
« Reply #8 on: December 03, 2018, 09:30:51 PM »
Hi, simracer!

Genau so etwas hatte ich vor. Ich wollte mir in den nächsten Tagen eine externe Festplatte bestellen, um auf Nummer sicher zu gehen. Gut zu wissen, mit welchen Tools man das richtig bewerkstelligen kann!


Auch dir ein großes Dankeschön für deine Antwort und das durchgucken der Logs!



@Sass Drake

That's right! And again, thank you for your work!