| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Snap.do und eventuell Folgeinfektionen!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.03.2013, 01:20
| #1 |
 |  Snap.do und eventuell Folgeinfektionen! Hallo, ich brauche Hilfe! Auf dem PC meiner Tochter ist das Tool Snap.Do ziemlich hartnäckig hereingebrochen. Die potentielle Ursache liegt wahrscheinlich erst zwei Tage zurück und war ein Download bei CHIP. Heruntergeladen wurde das Spiel Icytower. Danach hat sich Snap.Do gemütlich eingerichtet - und lässt sich hartnäckig nicht beseitigen. Im ersten Schritt habe ich die Komponenten von Snap.Do, die sich ordnungsgemäß als Programm in Windows registrieren, wieder deinstalliert. Nachhaltig ist das aber nicht. Im nächsten Schritt habe ich das System auf eine Sicherung zurückgesetzt, die ein paar Tage älter ist, als der Download des oben genannten Spieles. Das zeigt kurzfristig Erfolg - aber nach wenigen Minuten installiert sich Snap.Do erneut. Dabei nutzt Snap.Do konkret wohl auch den Update-Mechanismus der Antivirensoftware. Ich habe hier den begründeten Verdacht, dass AVIRA nicht mehr richtig arbeitet, sondern der Updatemechanismus gezielt genutzt wird, um weitere Malwarekomponenten in Folge der Infektion nachzuladen. Ein Indiz hierfür ist, dass ein normaler Update des Avira nach der Infektion nun so abläuft, dass der Update anstartet, dann einige Minuten auf den Download wartet (noch nicht ungewöhnlich), sich dann aber ein zweites Update-Fenster für AVIRA öffnet, und dieses keinen Abbruch mehr vorsieht. Nach dem Nachladen entsprechend dem zweiten Update-Fenster wird generell ein Neustart des Rechners erwartet - mit der Folge, dass man auch nach einem Löschen von Snap.Do dieses in der Folge erneut installiert bekommt. Es ist also wohl nicht nur eine Infektion mit Snap.Do, sondern dahinter dürfte sich leider mehr verbergen....und das übersteigt mein Wissen bei weitem. In einzelnen ungewöhnlichen Dateien findet man auch Hinweise darauf, dass nicht übliche Software sich im System verewigt hat. Ich wende mich deshalb vertrauensvoll an dieses Forum mit der Bitte um Hilfe. Wie gefordert, als erstes also hier das Log von Malwarebytes, wobei Malwarebytes nichts findet.....ich traue aber hier Malwarebytes auch nicht mehr, da AVIRA auch nichts findet, und der AVIRA-Browserschutz beim Download von Icytower installiert war, genau wie Malwarebytes und die Firewall etc. etc..... Ich fürchte, dass die Infektion ziemlich umfänglich ist.....die normalen Sicherheitsmaßnahmen wie Virenprogramm und den normalen Windows-Schutz inklusive Firewall habe ich eigentlich auch bei dem PC meiner Tochter beachtet.... Kritische Daten sind nicht auf dem PC - eine Datensicherung auf einem externen Medium von allen relevanten Anwendungsdaten existiert. Bewußt halte ich die Software auf dem PC halbwegs aktuell - Chrome ist der üblich genutzte Browser, wiewohl sich Snap.do auch auf dem IE10 eingenistet hat.....und das trotz AVIRA Browserschutz. Chrome ist aktuell! Auch JAVA ist FAST aktuell. Welches konkretes Sicherheitsleck nun genutzt wurde, ist mir derzeit unklar. Also: Hier das Protokoll von Malwarebytes: Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.28.12 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Clara :: CLARA-COMPUTER [Administrator] 28.03.2013 23:25:18 mbam-log-2013-03-28 (23-25-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Q:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 458062 Laufzeit: 1 Stunde(n), 31 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Zwei Ergänzungen: Bei jedem System-Shutdown und Neustart wird Windows-Update aufgerufen. AVIRA generiert auch dann eine erfolgreiche UPDATE-Meldung, wenn es keine Netzverbindung hat. Gleichzeitig merkt Windows, dass AVIRA veraltet ist. |
| Themen zu Snap.do und eventuell Folgeinfektionen! |
| abbruch, administrator, anti-malware, arbeitet, autostart, avira, dateien, datensicherung, download, explorer, firewall, folge, forum, infektion, java, log, löschen, malwarebytes, neustart, programm, startet, system, windows, öffnet |
Baum-Darstellung