Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows 10: TrojanDownloader:JS/Jesdow.B!url

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.04.2018, 21:16   #1
SvenW
 
Windows  10: TrojanDownloader:JS/Jesdow.B!url - Standard

Windows 10: TrojanDownloader:JS/Jesdow.B!url



Wie bei einige andere Kollegen auch, hat mein Windows Defender den

TrojanDownloader:JS/Jesdow.B!url

gemeldet. Betroffene Elemente:
HTML-Code:
containerfile: C:\Recovery\Customizations\USMT.PPKG

file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\Movie\PowerDVD Cinema\Customizations\Cyberlink\APREG.URL
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerProducer\APREG.url
Windows Defender konnte den angeblichen Trojaner nicht entfernen. Der Microsoft Security Scanner hat die gleichen Dateien als Bedrohung erkannt und angeblich entfernt, was ich durch einen erneuten Windows Defender Scan aber widerlegt habe. Ich habe nun bei Euch schon ein wenig gestöbert und zunächst die Produkte

CyberLink\Power*

deinstalliert. Dann habe ich MBAM laufen lassen. MBAM hat 3 andere potentiell Bedrohungen erkannt (?!) und in die Quaratäne verschoben.

HTML-Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 01.04.18
Scan-Zeit: 17:14
Protokolldatei: 531d9200-35bf-11e8-ab31-fc459620b447.json
Administrator: Nein

-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.4578
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 16299.334)
CPU: x64
Dateisystem: NTFS
Benutzer: LAPTOP-0KPKPFG4\Sven

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 374833
Erkannte Bedrohungen: 3
In die Quarantäne verschobene Bedrohungen: 3
Abgelaufene Zeit: 3 Min., 4 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, [7445], [463412],1.0.4578

Registrierungswert: 1
PUP.Optional.StartPage.ShrtCln, HKU\S-1-5-21-1763994110-688292668-2833402100-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|OpenOffice Updater, In Quarantäne, [3986], [460759],1.0.4578

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
PUP.Optional.StartPage.ShrtCln, C:\USERS\JOE\APPDATA\ROAMING\OPENOFFICE UPDATER\UPDATER.EXE, In Quarantäne, [3986], [460759],1.0.4578

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)
ESET hat nach den vorherigen Aktionen weder den angeblichen Trojaner noch die 3 zusätzlichen Bedrohungen gefunden.

Die Ausgabe des Security Checks war

HTML-Code:
Results of screen317's Security Check version 1.009  
   x64 (UAC is enabled)  
 Internet Explorer 11  
[b][u]``````````````Antivirus/Firewall Check:``````````````[/u][/b][u][/u] 
Windows Defender   
 [size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size] 
[b][u]`````````Anti-malware/Other Utilities Check:`````````[/u][/b][u][/u] 
 [color=red][b]Java version 32-bit out of Date![/b][/color] 
[b][u]````````Process Check: objlist.exe by Laurent````````[/u][/b][u][/u]  
 Windows Defender MSMpEng.exe 
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamtray.exe  
 Windows Defender MSASCuiL.exe   
[b][u]`````````````````System Health check`````````````````[/u][/b][u][/u] 
 Total Fragmentation on Drive C:  % 
[b][u]````````````````````End of Log``````````````````````[/u][/b][u][/u] 
Ich lassen gerade einen weiteren Windows Defender Full Scan laufen. Das Ergebnis ergänze ich dann. Ich wollte hier vorab fragen, was es mit den 3 von MBAM gemeldeten potentiellen Bedrohungen auf sich hat.

Vorab herzlichen Dank und frohe Ostern!

Und hier nun das Ergebnis meines aktuellen Window Defender Full Scan. Der Defender meldet nachwievor einen TrojanDownloader:JS/Jesdow.B!url und verweist wie zu letzt auf die betroffenen Elemente

Code:
ATTFilter
containerfile: C:\Recovery\Customizations\USMT.PPKG

file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\Movie\PowerDVD Cinema\Customizations\Cyberlink\APREG.URL
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerProducer\APREG.url
         
Das Löschen der CyberLink\Power* Programmfamilie hat bei mir nichts bewirkt.

Für Euren Rat wäre ich dankbar.

Alt 01.04.2018, 23:46   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows  10: TrojanDownloader:JS/Jesdow.B!url - Standard

Windows 10: TrojanDownloader:JS/Jesdow.B!url



Zitat:
Das Löschen der CyberLink\Power* Programmfamilie hat bei mir nichts bewirkt.
Das ist ja nun so Quatsch. Das Deinstallieren entfernt PowerDVD und damit auch die angemeckerten aber trotzdem ungefährlichen *.url Dateien - die nichts weiter als Verknüpfungen zu einer Internetseite sind.

Da müsstest du schon mal genauer schreiben was "nix bewirkt" eigentlich bedeuten soll.
__________________

__________________

Alt 02.04.2018, 17:02   #3
SvenW
 
Windows  10: TrojanDownloader:JS/Jesdow.B!url - Icon32

Windows 10: TrojanDownloader:JS/Jesdow.B!url



Sorry wollte niemandem zu Nahe treten. "nix bewirkt" sollte nur bedeuten, dass der Windows Defender weiterhin einen Trojaner meldet. Ich verfolge parallel die folgende Diskussion

https://answers.microsoft.com/en-us/protect/forum/protect_scanner-protect_scanning-windows_10/trojandownloaderjsjesdowburl/7f1240f2-9db4-488b-a37d-583c7ef94df9

die für mich so klingt, als wenn sich ein neueres Signaturen Update des Windows Defender dazu entschlossen hat einen Trojaner zu entdecken wo aber keiner ist. Die Diskussion bestetigt nach meinem Empfinden nochmals Deine Aussage Cosinus. Wenn Du auch der Meinung bist, dass wir dieses Thema damit ruhen lassen können, könntest Du dann bitte noch einen Blick auf die 3 durch MBAM identifizieten Bedrohungen werfen und mir Hinweise geben was ich noch tun sollte.

Danke
__________________

Alt 03.04.2018, 10:23   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows  10: TrojanDownloader:JS/Jesdow.B!url - Standard

Windows 10: TrojanDownloader:JS/Jesdow.B!url



Das Ding ist, dass die harmlosen Internetverknüpfungen dort gefunden werden --> file: C:\Recovery\Customizations\USMT.PPKG

Das ist eine Containerdatei. Vermutlich das Recoveryfile wenn man das Gerät in den Auslieferungszustand versetzen will. Dann isses klar, dass es "nix" bringt PowerDVD zu entfernen, weil die (harmlosen) Dateien im Containerfile gefunden werden. Eigentlich macht es keinen Sinn diese Datei zu scannen.

Die anderen Funde haben damit nichts zu tun - das sind Reste von (anderer) Junkware
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.04.2018, 18:34   #5
SvenW
 
Windows  10: TrojanDownloader:JS/Jesdow.B!url - Standard

Windows 10: TrojanDownloader:JS/Jesdow.B!url



OK Danke, dann können wir den Beitrag aus meiner Sicht schließen.

Nico Semsrott: Freude ist nur ein Mangel an Information


Antwort

Themen zu Windows 10: TrojanDownloader:JS/Jesdow.B!url
appdata, dateien, defender, downloader, erkannt, explorer, frage, html, internet, internet explorer, java, log, microsoft, not, office, recovery, roaming, scan, screen, security, services, temp, trojaner, windows, wmi



Ähnliche Themen: Windows 10: TrojanDownloader:JS/Jesdow.B!url


  1. Windows 10: Windows Defender findet TrojanDownloader:JS/Jesdow.B!url
    Log-Analyse und Auswertung - 02.04.2018 (4)
  2. Windows 10: TrojanDownloader:JS/Jesdow.B!url
    Plagegeister aller Art und deren Bekämpfung - 01.04.2018 (15)
  3. Windows 10 Win32/TrojanDownloader.Nymaim.BA
    Log-Analyse und Auswertung - 16.10.2017 (3)
  4. Windows 10: TrojanDownloader: Win32/Esaprof!rfn
    Log-Analyse und Auswertung - 10.01.2017 (18)
  5. Windows 10, wiederholter Fund von Windows Defender TrojanDownloader:Win32/Esaprof!rfn
    Plagegeister aller Art und deren Bekämpfung - 22.11.2016 (13)
  6. Windows 10/64bit: Windows Defender meldet trojandownloader:win32/esaprof!rfn
    Log-Analyse und Auswertung - 07.04.2016 (21)
  7. Windows 7: Ramnit.P Befall + TrojanDownloader von Virenscanner entdeckt
    Log-Analyse und Auswertung - 15.01.2016 (6)
  8. TrojanDownloader:W97M/Adnel und TrojanDownloader:O97M/Tarbir
    Plagegeister aller Art und deren Bekämpfung - 01.12.2015 (1)
  9. Windows 7: Avast!GUI defekt, TrojanDownloader.Elenoocka.A
    Log-Analyse und Auswertung - 25.06.2014 (11)
  10. Windows-Wartungscenter meldet mir: Entfernen des TrojanDownloader:Win32/Adload.DA-Virus
    Plagegeister aller Art und deren Bekämpfung - 10.09.2013 (1)
  11. TrojanDownloader
    Plagegeister aller Art und deren Bekämpfung - 01.09.2010 (5)
  12. TrojanDownloader.Ist.Bar
    Log-Analyse und Auswertung - 22.02.2010 (1)
  13. Windows Defender meldet immer wieder : TrojanDownloader:Win32/Renos.DZ
    Plagegeister aller Art und deren Bekämpfung - 02.06.2009 (0)
  14. TrojanDownloader
    Plagegeister aller Art und deren Bekämpfung - 04.05.2008 (20)
  15. Problem TROJANDOWNLOADER :(
    Log-Analyse und Auswertung - 19.12.2004 (5)
  16. TrojanDownloader.JS.IstBar.a
    Antiviren-, Firewall- und andere Schutzprogramme - 28.09.2004 (3)
  17. trojandownloader...small.ct
    Plagegeister aller Art und deren Bekämpfung - 07.01.2004 (4)

Zum Thema Windows 10: TrojanDownloader:JS/Jesdow.B!url - Wie bei einige andere Kollegen auch, hat mein Windows Defender den TrojanDownloader:JS/Jesdow.B!url gemeldet. Betroffene Elemente: HTML-Code: containerfile: C:\Recovery\Customizations\USMT.PPKG file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files - Windows 10: TrojanDownloader:JS/Jesdow.B!url...
Archiv
Du betrachtest: Windows 10: TrojanDownloader:JS/Jesdow.B!url auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.