Klaus Kleber | 31.10.2018 11:48 | Windows 10 Trojan.Agent, C:\Windows\SysWOW64\rlls.dll Hallo ans Team,
gestern hat mir Maleware Bytes diesen Befund gegegen:
Trojan.Agent, C:\WINDOWS\SYSWOW64\RLLS.DLL
PUP.Optional.RelevantKnowledge, C:\WINDOWS\SYSTEM32\RLLS64.DLL
Diese habe ich dann gelöscht. Ich hatte einen ähnlichen Befund jedoch schon vor einigen Wochen, von daher habe ich diesmal weitere Maßnahmen unternommen und bin im Zuge dessen auch auf dieses Forum aufmerksam geworden und wollte mir nun ein professionelles Feedback einholen, ob mien PC nun "sauber" ist oder ich noch weitere Maßnahmen unternehmen muss und ob der Befund überhaupt ein Problem darstellte. Ich bin leider erst im Ansschluss an meine "Reinigung" auf das Forum aufmerksam geworden, somit hatte ich nicht lesen können, dass hier im Forum empfohlen wird diese Schritte erst zu unternehmen, wenn man dazu im Forum vom "Helfer" aufgefordert wird. Hoffe das stellt nun kein Problem da.
Das habe ich gemacht:
1 Virenscan
2 Malware bytes
3 esetonlinescanner_enu
4 adwcleaner_7.2.4.0
5. JRT
6-7. Malewarebytes Anti Rootkit
7.SecurityCheck by glax24 & Severnyj
8. screen317's Security Check
9. FRST
Hier die Auswertungen: Code:
Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 30.10.18
Scan-Zeit: 14:24
Protokolldatei: 1cd8b3d0-dc47-11e8-8c3a-309c2366db90.json
-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.482
Version des Aktualisierungspakets: 1.0.7609
Lizenz: Kostenlos
-Systemdaten-
Betriebssystem: Windows 10 (Build 17134.345)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-TS1O5SG\King Kong
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 442853
Erkannte Bedrohungen: 21
In die Quarantäne verschobene Bedrohungen: 21
Abgelaufene Zeit: 1 Min., 25 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 1
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe, In Quarantäne, [471], [557990],1.0.7609
Modul: 1
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe, In Quarantäne, [471], [557990],1.0.7609
Registrierungsschlüssel: 5
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\chip1click, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.RelevantKnowledge, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\rlvknlg_RASAPI32, In Quarantäne, [1268], [184776],1.0.7609
PUP.Optional.RelevantKnowledge, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\rlvknlg_RASMANCS, In Quarantäne, [1268], [184776],1.0.7609
PUP.Optional.ChipDe, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{503CA94E-0834-4CEE-AD92-BA17AF4E809A}, In Quarantäne, [471], [458401],1.0.7609
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, [471], [463412],1.0.7609
Registrierungswert: 2
PUP.Optional.OpinionSquare, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}, In Quarantäne, [3175], [241422],1.0.7609
PUP.Optional.RelevantKnowledge, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\FIREWALLRULES|{9FC92D13-A7F9-4B4B-9B86-CA71B3C5975B}, In Quarantäne, [1268], [257573],1.0.7609
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 3
PUP.Optional.MarketScore, C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RELEVANTKNOWLEDGE, In Quarantäne, [3238], [171863],1.0.7609
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.ChipDe, C:\PROGRAM FILES (X86)\CHIP DIGITAL GMBH, In Quarantäne, [471], [557990],1.0.7609
Datei: 9
PUP.Optional.RelevantKnowledge, C:\WINDOWS\SYSTEM32\RLLS64.DLL, In Quarantäne, [1268], [186421],1.0.7609
PUP.Optional.MarketScore, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge\RelevantKnowledge.lnk, In Quarantäne, [3238], [171863],1.0.7609
Trojan.Agent, C:\WINDOWS\SYSWOW64\RLLS.DLL, In Quarantäne, [397], [204614],1.0.7609
PUP.Optional.ChipDe, C:\PROGRAM FILES (X86)\CHIP DIGITAL GMBH\CHIP1CLICK\CHIP 1-CLICK INSTALLER.EXE.CONFIG, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\CHIP Active Download.exe, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\CHIP Starter.exe, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\CHIP Updater.exe, In Quarantäne, [471], [557990],1.0.7609
PUP.Optional.ChipDe, C:\Program Files (x86)\Chip Digital GmbH\chip1click\SplashForm.exe, In Quarantäne, [471], [557990],1.0.7609
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
WMI: 0
(keine bösartigen Elemente erkannt)
(end)
Code:
eser online scanner
C:\Users\King Kong\AppData\Local\Mozilla\Firefox\Profiles\8q91fhkg.default-1515076845867\cache2\entries\5D5F15987188054837F13521E35332930A3C7B6C a variant of Win32/DownloadSponsor.C potentially unwanted application Code:
Malwarebytes AdwCleaner 7.2.4.0
Einstellungen:
Debzg-Log zur Fehlermedung erzeugen: Aus
Datenbank: Ein
IFEO Schlüssel löschen: Aus
Tracing Schlüssel Löschen: Ein
Prefatch Datein löschen: Aus
Proxy Wiederherstellen: Aus
Chrome-Policies wiederherstellen: Aus
TCP/IP wiederherstellen: Aus
Firewall wiederherstellen: Aus
IPSec Wiederherstellen: Aus
BITS wiederherstellen: Aus
IE-Ploicies wiederherstellen: Aus
Winsoc wiederherstellen: Ein
Hosts-Datei wiederherstellen: Aus
# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build: 09-25-2018
# Database: 2018-10-23.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 10-31-2018
# Duration: 00:00:08
# OS: Windows 10 Home
# Scanned: 32011
# Detected: 12
***** [ Services ] *****
PUP.Optional.Chip chip1click
***** [ Folders ] *****
PUP.Optional.Chip C:\Windows\Installer\{503CA94E-0834-4CEE-AD92-BA17AF4E809A}
PUP.Optional.Chip C:\Program Files (x86)\Chip Digital GmbH
PUP.Optional.DownloadSponsor C:\Users\King Kong\AppData\Local\Temp\DMR
***** [ Files ] *****
No malicious files found.
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious WMI found.
***** [ Shortcuts ] *****
No malicious shortcuts found.
***** [ Tasks ] *****
No malicious tasks found.
***** [ Registry ] *****
PUP.Optional.Chip HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{503CA94E-0834-4CEE-AD92-BA17AF4E809A}
PUP.Optional.Chip HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\E49AC3054380EEC4DA29AB71FAE408A9
PUP.Optional.Chip HKLM\Software\Classes\Installer\Products\E49AC3054380EEC4DA29AB71FAE408A9
PUP.Optional.Chip HKLM\Software\Classes\Installer\Features\E49AC3054380EEC4DA29AB71FAE408A9
PUP.Optional.Chip HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\04A063A0BBEACF54EAEF493C49D9E3F6
PUP.Optional.Chip HKLM\Software\Classes\Installer\UpgradeCodes\04A063A0BBEACF54EAEF493C49D9E3F6
PUP.Optional.Chip HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\chip 1-click download service
PUP.Optional.Legacy HKLM\Software\Wow6432Node\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries found.
***** [ Chromium URLs ] *****
No malicious Chromium URLs found.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries found.
***** [ Firefox URLs ] *****
No malicious Firefox URLs found.
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ########## Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Home x64
Ran by King Kong (Administrator) on 31.10.2018 at 10:39:11,95
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File System: 0
Registry: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 31.10.2018 at 10:41:55,17
End of JRT log Code:
Malewarebytes Anti Rootkit
No malware found Code:
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 31.10.2018 10:42:44
Path starting: C:\Users\King Kong\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: King Kong
VersionXML: 5.61is-30.10.2018
___________________________________________________________________________
Windows 10(6.3.17134) (x64) Core Release: 1803 Lang: German(0407)
Installation date OS: 03.06.2018 06:44:46
LicenseStatus: Windows(R), Core edition The machine is permanently activated.
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
SystemDrive: C: FS: [NTFS] Capacity: [117 Gb] Used: [71.7 Gb] Free: [45.3 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.345.17134.0
User Account Control enabled (Level 3)
Automatically download and schedule installation
Windows Update (wuauserv) - The service is running
Sicherheitscenter (wscsvc) - The service is running
Remoteregistrierung (RemoteRegistry) - The service has stopped
SSDP-Suche (SSDPSRV) - The service is running
Remotedesktopdienste (TermService) - The service has stopped
Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
Avast Antivirus (enabled and up to date)
Windows Defender (disabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - The service is running
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (disabled and up to date)
Avast Antivirus (enabled and up to date)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes Version 3.6.1.2711 v.3.6.1.2711
Avast Free Antivirus v.18.7.2354
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.60 (64-Bit) v.5.60.0 Warning! Download Update
NVIDIA GeForce Experience 3.15.0.186 v.3.15.0.186
Steam v.2.10.91.91
OpenOffice 4.1.5 v.4.15.9789
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.0.3.1242
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 191 v.8.0.1910.12 Warning! Download Update Uninstall old version and install new one (jre-8u192-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Warning! Download Update ^Please use Apple Software Update tool.^
Dienst "Bonjour" (Bonjour Service) - The service is running
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 31 NPAPI v.31.0.0.122
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 63.0 (x64 de) v.63.0
Avast Secure Browser v.69.1.867.101
Google Chrome v.70.0.3538.77
----------------------------- [ EmailClient ] -----------------------------
Windows Live Essentials v.16.4.3528.0331 Warning! This software is no longer supported.
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - The service is running
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.7.4041.0
aswbIDSAgent (aswbIDSAgent) - The service is running
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.7.4041.389
aswbIDSAgent (aswbIDSAgent) - The service is running
C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe v.18.7.4.992
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.1.0.1644
Malwarebytes Service (MBAMService) - The service is running
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.704
Windows Defender Antivirus Service (WinDefend) - The service has stopped
Windows Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service has stopped
----------------------------- [ End of Log ] ------------------------------ Code:
Results of screen317's Security Check version 1.009
x64 (UAC is enabled)
Internet Explorer 11 ``````````````Antivirus/Firewall Check:``````````````
Avast Antivirus
Windows Defender
Antivirus up to date! `````````Anti-malware/Other Utilities Check:`````````
Java 8 Update 191
Java version 32-bit out of Date!
Adobe Flash Player 31.0.0.122
Google Chrome (70.0.3538.77)
Google Chrome (SetupMetrics...)
Google Chrome (SetupMetrics.pma..) ````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamtray.exe
Common Files Intel Shared Libraries redist\ia32\compiler\AvastSvc.exe -?-
AVAST Software Browser Update 1.4.154.333\AvastBrowserCrashHandler.exe
AVAST Software Browser Update 1.4.154.333\AvastBrowserCrashHandler64.exe
AVAST Software Avast AvastUI.exe `````````````````System Health check`````````````````
Total Fragmentation on Drive C: % ````````````````````End of Log``````````````````````
Ich hoffe diese Angaben sind vollständig. Des weiteren habe ich noch die FRST Auswertungen. Diese kann ich jedoch nicht in diesem Beitrag posten, da er dann zu lang ist. Und wie ich in den Regeln gelesen habe, soll ich nciht auf meinen Beitrag antworten. Von daher...falls er notwendig sein solte poste ich diesen gern im Anschuss.
Vielen Dank für die Hilfe |