Windows : Windows Defender findet Trojan:Win/Fadiasep.B!cl
 

Hallo liebe Freunde und Helfer,

vorhin hat mein Windows Defender einen unerfreulichen Fund gemacht: Trojan:Win/Fadiasep.B!cl

Der Fund wurde in Quarantäne verschoben.


Ich freue mich nicht nur sehr über Eure Hilfe, sondern bin auch ungemein darauf angewiesen. Dieser Stress hat mir gerade noch gefehlt, denn ich liege in den letzten Zügen meiner Masterarbeit :/

Die Logfiles sind leider zu groß, weshalb ich sie gezippt und angehängt habe.


Tausend Dank im Voraus und herzliche Grüße!


edit:typo

Logfiles
 

Hallo Cosinus,

entschuldige bitte, nichts lag mir ferner als deine Arbeit zu erschweren. Leider ist der FRST-Log zu groß, weshalb ich ihn auf mehrere Beiträge aufteile. Hier folgt der erste Teil:

Und der zweite Teil:

Und die Addition.txt-Datei:

Log dazu?

Ist das das richtige Log?

Das hast du bitte von wo heruntergeladen?

Die Vidalia-Datei habe ich meiner Erinnerung nach ursprünglich von der Tor-Homepage. Vidalia Bridge Bundle ist ja eigentlich für die Installation von Tor; wenn da etwas neues installiert werden muss, kommt beim Öffnen von Tor immer eine entsprechende Meldung und der Verweis auf die Torproject-Homepage. Darüber lade ich die Installationsdatei dann herunter. Kann aber auch nicht garantieren, mal auf einer gefälschten Tor-Seite gewesen zu sein. Oder dass die Datei eigentlich was anderes ist.

Lad die Datei bei https://virustotal.com hoch und poste hier den Ergebnislink.

Hallo,


Defender hat die Datei in den Quarantäne-Ordner geschoben und dabei offenbar auch umbenannt. Lässt sich die Datei dennoch richtig untersuchen? Sollte ich sie wiederherstellen?

In C:\ProgramData\Microsoft\Windows Defender\Quarantine waren - in den Subfoldern Entries, ResourceData und Resources - drei Dateien, die allesamt gestern zum gleichen Zeitpunkt erstellt wurden, und zwar als der Fund war. Sie tragen kryptische Namen. Da ich nicht weiß, welche die richtige ist, habe ich sie alle drei bei Virustotal hochgeladen.

Hier die Links:

https://virustotal.com/de/file/598b2d775df5030dd9d67c8c1b1e882c2933231aec02238662adea0d73029a6b/analysis/1491743621/

https://virustotal.com/de/file/a8a2de5cc9cbc6894f88d7a8804746168d06f82cd6a95581bcfc8182007fcf08/analysis/1491743931/

https://virustotal.com/de/file/ef38ecbdfd54da08d4f8045759254b4c573080d1d31a8289cc44c593489769cb/analysis/1491743844/


Wie weiter?

Ich halte das alles für Fehlalarme. Mach mal die Probe mit MBAM3 und ESET:

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier kommen die Ergebnisse:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 10.04.17
Scan-Zeit: 10:25
Protokolldatei: mbam.txt
Administrator: Ja

-Softwaredaten-
Version: 3.0.6.1469
Komponentenversion: 1.0.96
Version des Aktualisierungspakets: 1.0.1695
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: Timo-PC\Admin

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 475581
Abgelaufene Zeit: 16 Min., 7 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
PUP.Optional.MailRu, HKU\S-1-5-21-819639659-4150350305-585420797-1001\SOFTWARE\Mail.Ru, In Quarantäne, [4938], [387290],1.0.1695

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 1
Adware.ChinAd, C:\USERS\TIMO\APPDATA\LOCAL\TEMP\DMR, In Quarantäne, [1042], [375557],1.0.1695

Datei: 3
PUP.Optional.Sputnik, C:\USERS\TIMO\APPDATA\ROAMING\ICQM\ICQ\DLL\MAILRUSPUTNIK.EXE, In Quarantäne, [3085], [352247],1.0.1695
Adware.ChinAd, C:\USERS\TIMO\APPDATA\LOCAL\TEMP\DMR\WAHFRTXVTZKWWBCP.DAT, In Quarantäne, [1042], [375557],1.0.1695
Adware.ChinAd, C:\Users\Timo\AppData\Local\Temp\DMR\dmr_72.exe, In Quarantäne, [1042], [375557],1.0.1695

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 10.04.17
Scan-Zeit: 10:25
Protokolldatei: mbam.txt
Administrator: Ja

-Softwaredaten-
Version: 3.0.6.1469
Komponentenversion: 1.0.96
Version des Aktualisierungspakets: 1.0.1695
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: Timo-PC\Admin

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 475581
Abgelaufene Zeit: 16 Min., 7 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
PUP.Optional.MailRu, HKU\S-1-5-21-819639659-4150350305-585420797-1001\SOFTWARE\Mail.Ru, In Quarantäne, [4938], [387290],1.0.1695

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 1
Adware.ChinAd, C:\USERS\TIMO\APPDATA\LOCAL\TEMP\DMR, In Quarantäne, [1042], [375557],1.0.1695

Datei: 3
PUP.Optional.Sputnik, C:\USERS\TIMO\APPDATA\ROAMING\ICQM\ICQ\DLL\MAILRUSPUTNIK.EXE, In Quarantäne, [3085], [352247],1.0.1695
Adware.ChinAd, C:\USERS\TIMO\APPDATA\LOCAL\TEMP\DMR\WAHFRTXVTZKWWBCP.DAT, In Quarantäne, [1042], [375557],1.0.1695
Adware.ChinAd, C:\Users\Timo\AppData\Local\Temp\DMR\dmr_72.exe, In Quarantäne, [1042], [375557],1.0.1695

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

und

Muss man dazu noch was sagen?

Nein. War wohl ein schwacher Augenblick, in den ich mir das installiert habe. Wurde nun händisch deinstalliert.