Guten Morgen,

ich nutze einen Dell Notebook mit Windows 10 Version 21H2, und Malwarebytes Anti-Malware hat 15 Treffer gelandet, so wie ich beim Scan gesehen habe einige davon auch im Arbeitsspeicher, was mir am meisten Sorge bereitet.

- Die Treffer sind auf dem Datenträger vom Typ "PUP.Optional.DefaultSearch", "PUP.Optional.Softonic" sowie im Papierkorb (obwohl ich die Datei nicht finde) "Generic.Malware/Suspicious".

- Ferner gibt es in der Registry Treffer vom Typ "PUP.Optional.Conduit"

- Was mir soeben auch aufgefallen ist: Wenn ich im Explorer in egal welchem Ordner (Dokumente, Musik, Bilder, Desktop, etc.) bin und rechtsklicke, so steht da "rückgängig machen Löschen" und "wiederholen Löschen", da sind Worte vertauscht (siehe angehängtes Bild "Löschen.png"). Wenn ich auf dem Desktop bin, aber nicht im Explorer, da ist der Schriftzug richtig, also „Löschen rückgängig machen“ und „Löschen wiederholen“.



Jedenfalls sagen mir alle gefundenen Virentreffer nichts.

Deshalb habe ich ein paar Fragen:

1) Zunächst einmal: Ist dieses Schriftzug-Phänomen normal bzw. bei euch auch so?

2) Sind das gefährliche Dateien, welche gefunden wurden?

3) Gibt es Malware-Arten, welche Malwarebytes Anti-Malware evtl. nicht findet, zum Beispiel Rootkits oder Trojaner? Oder ist MBAM darauf geschult? Rootkits waren beim Scan deaktiviert, und ich wüsste nicht, wie ich den Scan diesbezüglich aktivieren soll.

4) Könnt ihr mir helfen, das System zu bereinigen und ggf. andere unerwünschte Eindringlinge ausfindig zu machen?

Windows Defender findet zum Beispiel, nachdem ich einen Ordner von meinem alten System auf mein jetziges Notebook kopiert habe, einen "Trojan:Win32/Dynamer!rfn" unter dem Programm "Produkey", welches auf Heise oder Chip als Download angeboten wird, und dafür diente, den Windows-Lizenzschlüssel im Falle einer Neuinstallation auszulesen. MBAM hat dies nicht erkannt.



Für jede Hilfe stets dankbar und mit besten Grüßen verbleibend,
X3nion

P.S. Beigefügt einmal der Scan von Malwarebytes Anti-Malware. Hierbei finde ich es übrigens seltsam, dass nur rund 330.000 Dateien überprüft wurden, aber laut cmd habe ich etwa 650.000 Dateien

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 17.07.22
Scan-Zeit: 00:09
Protokolldatei: f04c1e8a-0553-11ed-bc47-cc2f710f8d17.json

-Softwaredaten-
Version: 4.5.11.202
Komponentenversion: 1.0.1716
Version des Aktualisierungspakets: 1.0.57319
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19044.1826)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-EKA0SEQ\Christian

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 327311
Erkannte Bedrohungen: 15
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 18 Min., 12 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 3
PUP.Optional.Conduit, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Keine Aktion durch Benutzer, 170, 236865, , , , , , 
PUP.Optional.Conduit, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Keine Aktion durch Benutzer, 170, 236865, , , , , , 
PUP.Optional.Conduit, HKU\S-1-5-21-30654652-2257461498-695894194-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, Keine Aktion durch Benutzer, 170, 236865, 1.0.57319, , ame, , , 

Registrierungswert: 2
PUP.Optional.Conduit, HKU\S-1-5-21-30654652-2257461498-695894194-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, Keine Aktion durch Benutzer, 170, 236865, 1.0.57319, , ame, , , 
PUP.Optional.Conduit, HKU\S-1-5-21-30654652-2257461498-695894194-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|TOPRESULTURL, Keine Aktion durch Benutzer, 170, 236865, 1.0.57319, , ame, , , 

Registrierungsdaten: 1
PUP.Optional.Conduit, HKU\S-1-5-21-30654652-2257461498-695894194-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Keine Aktion durch Benutzer, 170, 293058, 1.0.57319, , ame, , , 

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 9
PUP.Optional.DefaultSearch, C:\USERS\CHRISTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3U7TLWBV.DEFAULT-RELEASE\PREFS.JS, Keine Aktion durch Benutzer, 307, 932426, 1.0.57319, , ame, , 9CD654964058E90D8C301F822A618F87, 59684A56DB2D8BD238009C539312AAF25088C967B350411DDFDDA1ED645463B8
PUP.Optional.DefaultSearch, C:\USERS\CHRISTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3U7TLWBV.DEFAULT-RELEASE\PREFS.JS, Keine Aktion durch Benutzer, 307, 932427, 1.0.57319, , ame, , 9CD654964058E90D8C301F822A618F87, 59684A56DB2D8BD238009C539312AAF25088C967B350411DDFDDA1ED645463B8
PUP.Optional.DefaultSearch, C:\USERS\CHRISTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3GZA944A.DEV-EDITION-DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 307, 932426, 1.0.57319, , ame, , 282439538C346AF81A19C844380E0B69, 89175E709D7B53EDE60C641B51720330E63BA66F60E0AD7FA076C8376A8467B1
PUP.Optional.DefaultSearch, C:\USERS\CHRISTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3GZA944A.DEV-EDITION-DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 307, 932427, 1.0.57319, , ame, , 282439538C346AF81A19C844380E0B69, 89175E709D7B53EDE60C641B51720330E63BA66F60E0AD7FA076C8376A8467B1
PUP.Optional.DefaultSearch, C:\USERS\CHRISTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PL4324HV.DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 307, 932426, 1.0.57319, , ame, , 7FE8E8978756F64FB993712F60DB072E, EB0D37334B9F090C201A3E2D43C9453A499E2416EA636A3ECF6DB006CBDAE55A
PUP.Optional.DefaultSearch, C:\USERS\CHRISTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PL4324HV.DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 307, 932427, 1.0.57319, , ame, , 7FE8E8978756F64FB993712F60DB072E, EB0D37334B9F090C201A3E2D43C9453A499E2416EA636A3ECF6DB006CBDAE55A
Generic.Malware/Suspicious, C:\$RECYCLE.BIN\S-1-5-21-30654652-2257461498-695894194-1001\$RNEJD27.EXE, Keine Aktion durch Benutzer, 0, 392686, 1.0.57319, , shuriken, , 64FCFADFC591F938CF160B9DDFAB923C, 8224051F8ED00EA6D41DAB08B78AF2FB8FC563CA8B0206B804A1B5973607A9B4
PUP.Optional.Softonic, C:\$RECYCLE.BIN\S-1-5-21-30654652-2257461498-695894194-1001\$RGYEC81.EXE, Keine Aktion durch Benutzer, 1910, 598989, 1.0.57319, , ame, , B906FD06C8932606C3451ABCAE8FAF90, 20228C08B9B356E5A47B19E03C4494AB9E31F35F62C6C99854813A78E76E2763
PUP.Optional.Softonic, C:\$RECYCLE.BIN\S-1-5-21-30654652-2257461498-695894194-1001\$RV7HBAW.EXE, Keine Aktion durch Benutzer, 1910, 598989, 1.0.57319, , ame, , 562C246EAEC442712F36B601F89D24F4, C5609363A4207D02308E90C8A13B66A94A9D67517992FAF1A4052B5466962D41

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

FRST-Logs fehlen. Ohne die ist keine Hilfe/Bereinigung möglich.

Hallo cosinus,

vielen Dank, dass du mir behilflich sein möchtest!

Da mir das alles (auch mit den komischen Menü – Einträgen) sehr suspekt vorkam, habe ich das System-Backup von vor 4 Tagen nochmals zurückgespielt.
Ich habe ja vor vier Tagen eine größere SSD eingebaut, und mein Dell-System per Image auf die neue SSD geklont. Und siehe da: das Menü ist wieder in richtigem Deutsch!

Also scheinen nun die Daten von meinem alten Laptop (ein Acer) irgendwie kompromittiert zu sein, welche ich ja zusätzlich noch auf meine interne SSD kopiert habe.

MBAM findet nun diese PUPs, aber die Generic.Malware ist weg.


Wie ist der beste Weg?
Soll ich dir nun MBAM und FRST-Logs von dem neuen System schicken?
Und gibt es die Möglichkeit, die Daten vom alten Laptop, welche auf der externen Festplatte sind, in einem anderen Thread auf bösartige Dateien zu überprüfen?


Viele Grüße,
X3nion

Also irgendwie versteh ich euch User da draußen nicht mehr
Da ist irgendwas im Menü verstellt, andere Sprache, und als Ursache kommt für euch nichts anderes in Frage als irgendein "Virus"...

Und wegen Werbemüll (PUP/PUA) muss man auch nicht gleich das gesamte System recovern. Und trotzdem hast du immer noch Angst, dass da irgendwas ist, trotz Recovern? Alter Falter, man kann es auch echt übertreiben

Wenn du so eine Angst hast hilft nur eins: Windows wegformatieren und nie wiedernutzen sondern nur noch Linux verwenden.

Und wozu bitte muss man eigene Dateien auf Schädlinge prüfen? Hast du dir selbst Viren und Würmer in deine Musik- und Bildersammlung reingepflanzt?
(schonmal gehört, dass Schädlinge ausgeführt werden müssen wenn ein Schaden entstehen soll? )

Hallo cosinus,

erst einmal ein ganz großes "Sorry" für das Hick-Hack meinerseits!

1) Ich habe einfach gedacht ich restauriere mal das Laufwerk von vor 4 Tagen, ist ja nicht viel passiert datentechnisch. Und siehe da, dann war das Sprachproblem auf einmal weg, kam aber wieder, nachdem Malwarebytes (von mir) und ein "Deutsch Local Experience Pack" sowie "English Local Experience Pack" (automatisch von Windows) installiert wurde.

Es liegt nun mit Sicherheit, wie du korrekt schreibst, an einer Spracheinstellung.

Eine Frage: Da wäre wahrscheinlich das Microsoft-Forum der korrekte Ansprechpartner? Oder hast du da vielleicht eine Idee?


2) Nun zur Virenthematik: Ich wusste nicht, was PUP's sind, da hast du mich jetzt aufgeklärt - vielen Dank für deine ausführlichen Erläuterungen!

Die Daten auf meinem alten Notebook umfassen auch Downloads in Form von legalen Exe-Dateien, von denen aber die ein oder andere irgendwie als Malware erkannt wird.

Hier nun eine Zwischenfrage: Gibt es nicht auch Viren, welche sich von selbst öffnen, sobald sie auf einem System landen?


Ferner beim Kopieren der Dateien auf mein Dell-System wurde mein Dell merklich langsamer.

Deshalb meine dritte und letzte Frage (aller guten Dinge sind 3 ): Gäbe es die Möglichkeit, die Daten des alten Systems hier auf Herz und Niere mit eurer Hilfe zu überprüfen? Oder helft ihr nur bei Überprüfung eines Systems mit laufendem Betriebssystem?


Gib mir doch bitte kurz Rückmeldung

Grüße von,
X3nion

1. Was soll das bringen und warum willst du da irgendwas klären?

2. Was bitte bringt das, uralte EXE und Setups aufzubewahren? Das ist doch sinnfrei doch drei.

3. Ein nicht mehr laufendes System kann man nicht mehr überprüfen so wir wir hier das machen. Aber wenn du Langeweile hast (und davon hast du offenbar grad nicht zu wenig) scannst du die Dateien einfach mit dem Windows Defender.

Hallo cosinus,

ich entschuldige mich für die späte Antwort, es gab einen gesundheitlichen Zwischenfall.

Gleichzeitig gebe ich dir vollkommen Recht mit den uralten EXE und Setups, und auch, dass dies nichts bringt.

Auch bedanke ich mich bei dir für den Tipp, das ganze mal mit dem Windows-Defender zu scannen!

Viele Grüße,
X3nion