Trojaner-Board - Malwarebytes Anti-Malware findet auf NAS, nicht aber auf interner HDD

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Malwarebytes Anti-Malware findet auf NAS, nicht aber auf interner HDD (https://www.trojaner-board.de/167660-malwarebytes-anti-malware-findet-nas-interner-hdd.html)

Malwarebytes Anti-Malware findet auf NAS, nicht aber auf interner HDD

Hallo Zusammen,

Ich bin neu hier und bin per Google auf ein paar sehr interessante Anleitungen hier im Board gestossen.

Leider habe ich aber auf meine Frage keine Antwort gefunden.

Das Problem:
Malwarebytes Anti-Malware findet auf NAS diverse PUP und Adware, nicht aber auf der internen HDD.

Hintergrund:
Ich habe vor 3 Tagen meine kompletten Daten von der internen HDD auf die NAS kopiert als Backup (also komplett identische Daten auf der internen HDD und der NAS). Heute habe ich mit Malwarebytes Anti-Malware den kompletten PC gescannt, inkl. NAS. MBAM hat nun ein paar Bedrohungen auf der NAS gefunden, aber NUR auf der NAS.

Das hat mich nun sehr verwundert und ich zweifle nun an der Verlässlichkeit von MBAM, da die identischen Daten auf der internen HDD vorhanden sind und es da rein gar nichts gefunden hat.

Kann mir jemand sagen, was es damit aus sich hat?

Besten Dank schon mal im Voraus für Eure Hilfe

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
Poste die Logfiles direkt in Deinen Thread in Code-Tags.
Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.

Los geht's:

Poste doch mal bitte das Log von MBAM.

Hallo Jürgen,

Besten Dank für's Willkommen! :)

Hab gerade gesucht, das Log ist nicht vorhanden. Vermutlich weil mein mein PC nach dem Suchlauf abgestürzt ist... (also nicht unmittelbar nachher)

Muss das Ganze also nochmals von vorne beginnen und nochmals durchrennen lassen, das geht ca. 1-2 Tage...

Danke, dort hab ich gesucht, sind aber nur ein paar kurze Scans geloggt, nicht aber der grosse Komplettscan, den ich meine.

Muss wohl wirklich nochmals alles scannen...

Seltsam ist auch, dass die Quarantäne nicht funktioniert hat...

Ich hatte für eine der Bedrohungen einen weiteren Scan geziehlt von nur dem betroffenen Ordner durchgeführt und danach die Datei in Quarantäne verschieben lassen. Aber in MBAM unter Quarantäne ist rein gar nichts aufgeführt. Im Log steht aber dass die Datei in Quarantäne verfrachtet wurde. Aber die Datei war noch da. Konnte sie sogar ausführen zum installieren (hab die Software eh schon installiert, darum hab ich mich getraut).

Sehr seltsam das ganze Verhalten von MBAM bei mir...

Gruss

Hier das Log vom Komplett Scan:

-----------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlauf Datum: 08.06.2015
Suchlauf-Zeit: 07:06:12
Logdatei: Scan 8.6.2015.txt
Administrator: Ja

Version: 2.01.6.1022
Malware Datenbank: v2015.06.07.05
Rootkit Datenbank: v2015.06.02.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: (username)

Suchlauf-Art: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 929472
Verstrichene Zeit: 12 Std, 50 Min, 29 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Warnen
PUM: Warnen

Prozesse: 0
(Keine schädliche Elemente gefunden)

Module: 0
(Keine schädliche Elemente gefunden)

Registrierungsschlüssel: 0
(Keine schädliche Elemente gefunden)

Registrierungswerte: 0
(Keine schädliche Elemente gefunden)

Registrierungsdaten: 0
(Keine schädliche Elemente gefunden)

Ordner: 0
(Keine schädliche Elemente gefunden)

Dateien: 3
PUP.Optional.OpenCandy, X:\192.168.1.3\(username)\Downloads 2015\Desktop organisieren - - -\Dexpot (Achtung - Adware)\dexpot_1614_r2439.exe, Keine Aktion durch Benutzer, [bf22e3d4c6c44ceaa610213e45c133cd],
PUP.Optional.OpenCandy, X:\192.168.1.3\(username)\Downloads 2015\Video Tools - - -\Media Info (Achtung - Adware)\MediaInfo_GUI_0.7.74_Windows.exe, Keine Aktion durch Benutzer, [24bd2e89107a2016a4128ed147bf8b75],
PUP.Optional.OpenCandy, C:\Users\(username)\AppData\Local\Temp\_SVqWmHC.exe.part, In Quarantäne, [b031595e6e1c90a6595df36c16f0a65a],

Physische Sektoren: 0
(Keine schädliche Elemente gefunden)

(end)

-----------------------------------------------------------------------------------------------

Ich hatte eine beutzerdefinierten Suchlauf gemacht der Laufwerke C:/D:/E:/F:/G:/H:/I:/J:/X:/Y:

Wobei X: & Y: Netzlaufwerke meiner NAS sind.

Auf E: sind die identischen Daten vorhanden wie auf X:

X: ist das Backup der Daten von E:

Aber MBAM findet nur was auf X:

Das kann ich Dir jetzt auch nicht genau sagen, warum auf der lokalen Festplatte nicht die identischen Dateien gefunden werden. Die Funde sind malwaretechnisch aber sowieso irrelevant.

Ist echt seltsam

Wenn ich einen benutzerdefinierten Suchlauf der betroffenen Ordner auf der lokalen Festplatte geziehlt durchführe (also nicht alle Festplatten und Netzlaufwerke auf einmal), dann findet MBAM diese Dateien.

Kannst ja hier mal nachfragen: https://forums.malwarebytes.org/inde...-malware-help/

Aber wie gesagt, ich würde sowieso nur den PC scannen, inaktive Sachen interessieren im Normalfall nicht.

Danke für den Link

Du meinst mit "PC" nur das Systemlaufwerk wo das Betriebssystem installiert ist?

Ja, würde ich machen. Für Laufwerke relevante Malware wie z.B. vbs-Würmer etc. ist MBAM sowieso nicht geeignet. Da ist ESET besser.

http://www.trojaner-board.de/80603-e...ner-nod32.html

Ok danke für den Tip!

Hab nun mit ESET gescannt. Der hat einiges mehr gefunden, aber nicht die 3 Dateien welche der MBAM gefunden hat.

Der ESET hat aber die Netzlaufwerke ausgelassen.

In der ESET-Anleitung steht: "entferne den Haken bei "Entdeckte Bedrohungen entfernen""

Wieso soll ESET die infizierten Dateien nicht entfernen?

Reicht es nun wenn ich die gefundenen infizierten Dateien einfach manuell lösche?

Untenstehend noch das Log vom ESET Scan:

Code:

C:\Users\(username)\AppData\Local\Temp\hgTqsjbt.exe.part        Win32/DownWare.L evtl. unerwünschte Anwendung

C:\Users\(username)\AppData\Local\Temp\znN_uv_s.exe.part        Win32/DownWare.L evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\Audio\SWITCH MP3 Converter\switchsetup.exe        Variante von Win32/Toolbar.Conduit.J evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\Audio- & Video-Converter\Trial\2014\4Media_PS3_Video_Converter-ORG-10791811.exe        Variante von Win32/CNETInstaller.B evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\Daten retten\2012 downloaded\für Härtefälle Gut\Easeus Recovery Free 3.2.1\oi_erfreesetupexe.exe        Variante von Win32/OpenInstall evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\Internet Tools\Online Videos speichern\FreeYouTubeDownload_3.1.42.1212.exe        Win32/Toolbar.Conduit evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\PDF Creater - Printer\PDFCreater\PDFCreator-1_6_1_setup.exe        Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\System Tools\Löschen gesperrter Dateien\Unlocker\unlocker1.8.8.exe        Win32/Adware.ADON evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\System Tools\Netzwerk Monitor\Network Meter\NetworkMeterVersion96.exe        Variante von Win32/OpenInstall evtl. unerwünschte Anwendung

E:\Downloads (AUFRÄUMEN)\System Tools\Speed\SpeedUpMyPC\speedupmypc.exe        Win32/SpeedUpMyPC evtl. unerwünschte Anwendung

E:\Downloads 2015\2.) Programme - Neuer PC 2015 - Windows 8.1 (64-Bit)\PDF Creator - - -\pdf forge PDFCreator    (für 32- & 64-bit Win 8)\PDFCreator-2_1_0-setup.exe        Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung

E:\Downloads 2015\2.) Programme - Neuer PC 2015 - Windows 8.1 (64-Bit)\Unlocker    (nur 64-Bit)\Unlocker1.9.1-x64.exe        Win32/Adware.ADON evtl. unerwünschte Anwendung

E:\Downloads 2015\3.) für Dad\Unlocker 64bit\Unlocker1.9.1-x64.exe        Win32/Adware.ADON evtl. unerwünschte Anwendung

E:\Downloads 2015\Boot-CD\Hirens Boot-CD\Hirens.BootCD.15.2.zip        Variante von Win32/Adware.SpeedingUpMyPC.AM Anwendung

Zitat:

Zitat von donlarizius (Beitrag 1476698)

Wieso soll ESET die infizierten Dateien nicht entfernen?

Wenn es sich um infizierte Systemdateien handelt könnte der Rechner nicht mehr booten.
Auch false positive sind möglich, bei ESET aber eher sehr selten weil er zu den besten gehört.

Ich würde da garnichts machen, weil es praktisch nur inaktive Adware ist.

Ok besten Dank für Deine Hilfe! :abklatsch:

Gruss
donlarizius