Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Malwarebytes meldet 8 PUP Funde (https://www.trojaner-board.de/130093-malwarebytes-meldet-8-pup-funde.html)

Dragon79 25.01.2013 22:11
Malwarebytes meldet 8 PUP Funde
 
Hallo TB Team,

nun habe ich mir auch etwas auf meinem Rechner eingefangen.

Hoffe Ihr könnt mir weiterhelfen.


Hier mal das Log File von Malwarebytes:

Code:
Malwarebytes Anti-Malware  1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.25.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
DTM :: CARSTEN-PC

Schutz: Aktiviert

25.01.2013 20:46:38
mbam-log-2013-01-25 (20-46-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 259779
Laufzeit: 50 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Löschen bei Neustart.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Löschen bei Neustart.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Löschen bei Neustart.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Löschen bei Neustart.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Löschen bei Neustart.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Löschen bei Neustart.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows\Tasks\AmiUpdXp.job (PUP.Software.Updater) -> Löschen bei Neustart.
c:\users\carsten\appdata\local\swvupdater\updater.exe (PUP.Software.Updater) -> Löschen bei Neustart.

(Ende)

Gelöscht habe ich noch nichts, sondern nur unter Quarantäne gestellt.

Avast ist noch am scannen.

Des weiteren habe ich noch einen Ordner unter >ProgrammData der sich Tarma Installer nennt weis nicht wo der her kommt bzw. was das sein soll.


MfG

Dragon79

Hallo ich wollte nur kurz mitteilen, dass ich mich kurzfristig dazu entschlossen habe meine Festplatte zu formatieren und das Backup zurück zu setzen.

ryder 26.01.2013 10:13
Nur, weil du etwas nicht kennst und weil es dir irgend ein Scanner anzeigt, gibt es keinen Grund aus lauter Hysterie hier a) einen weiteren Thread zu öffenen (du hast im letzten Monat acht oder neuen davon aufgemacht) und b) deinen Rechner zu formatieren und schliesslich c) deinen Thread am Ende zu editieren, so dass man sich ihn erstmal komplett ansehen muss nur um festzustellen, dass man d) ohnehin nichts machen muss.

MBAM hat hier etwas Werbung gefunden. Na und? Lass sie löschen und gut.

Du bist jetzt schon länger auf dem Board und solltest gelernt haben, dass man sich informiert bevor man etwas macht und das kannst du auch selbst.

Arbeitsauftrag:
Finde heraus was ein "false positive" ist und was PUP bedeutet.

Bitte:
Wenn du nächstens feststellst, dass dein Posting sinnfrei ist, dann editiere den kompletten Post zu "kann gelöscht werden" oder melde deinen Beitrag zum verschieben in den Müll.

Dragon79 26.01.2013 21:35
Zitat:
Zitat von ryder (Beitrag 998940)
Nur, weil du etwas nicht kennst und weil es dir irgend ein Scanner anzeigt, gibt es keinen Grund aus lauter Hysterie hier a) einen weiteren Thread zu öffenen (du hast im letzten Monat acht oder neuen davon aufgemacht) und b) deinen Rechner zu formatieren und schliesslich c) deinen Thread am Ende zu editieren, so dass man sich ihn erstmal komplett ansehen muss nur um festzustellen, dass man d) ohnehin nichts machen muss.

MBAM hat hier etwas Werbung gefunden. Na und? Lass sie löschen und gut.

Du bist jetzt schon länger auf dem Board und solltest gelernt haben, dass man sich informiert bevor man etwas macht und das kannst du auch selbst.

Arbeitsauftrag:
Finde heraus was ein "false positive" ist und was PUP bedeutet.

Bitte:
Wenn du nächstens feststellst, dass dein Posting sinnfrei ist, dann editiere den kompletten Post zu "kann gelöscht werden" oder melde deinen Beitrag zum verschieben in den Müll.

Hallo Ryder,

Zu a):

Erstens habe ich zu diesem Thema keinen weiteren Thread geöffnet, ist mein erster zu diesem Thema.

Denke man kann hier so viele Threads eröffnen wie man möchte, wenn ich halt 8 Probleme habe eröffne ich halt 8 Stück oder mehr.
Oder sehe ich das falsch:confused:


Zu b):

Da hast gebe ich dir recht, das war mein Fehler wird nicht mehr geschehen.


Zu Zitat Ryder:

MBAM hat hier etwas Werbung gefunden. Na und? Lass sie löschen und gut.

Leider konnte ich sie nicht löschen, MBAM hat sie nur in Quarantäne gestellt ob wohl da stand das sie nach einem Neustart gelöscht werden.

Habe dann einen Neustart ausgeführt und in der Quarantäne festgestellt das die immer noch vorhanden sind.
Dann alle Häkchen angeklickt> entfernen dann waren sie weg, aber nach einem weiteren Scann wurden alle wieder gefunden.......was mache ich falsch?


Zu Zitat Ryder:

Arbeitsauftrag:
Finde heraus was ein "false positive" ist und was PUP bedeutet.


False Positve ist wie der Name schon sagt eine Falschmeldung bzw. Fehlalarm , aber woher soll ich das denn wissen habe keine Ahnung von Malware.



Bin jetzt nach meiner Neuinstallation vor ein neues Problem gestoßen, habe aber bereits Google und die Board Suchmaschine benutzt aber nichts gefunden:glaskugel:.
Werde deswegen jetzt einen neuen Thread erstellen hoffe das ist ok:kaffee:


Gruß

Dragon

ryder 26.01.2013 21:37
Zitat:
False Positve ist wie der Name schon sagt eine Falschmeldung bzw. Fehlalarm , aber woher soll ich das denn wissen habe keine Ahnung von Malware.
Ich will dir damit nur sagen, dass der Alarm eines Scanners erstmal nichts zu sagen hat.

Dragon79 26.01.2013 21:39
Zitat:
Zitat von ryder (Beitrag 999289)
Ich will dir damit nur sagen, dass der Alarm eines Scanners erstmal nichts zu sagen hat.

Das ist schon klar aber warum konnte ich den Scheiss mit Malwarebytes nicht löschen?

Mir ist natürlich klar das ihr viel zu tun habt und nicht auf jeden scheiss antworten könnt, es gibt schlimmere Sachen wie mein Fund aber ich kann ja nicht wissen was mir da Malwarebytes anzeigt.


Kann ich nun hier im Thread nach meinem anderen Problem fragen oder soll ich einen neuen eröffnen, möchte auch nicht unnötig viele Threads öffnen ?

ryder 26.01.2013 22:06
Ob das jetzt gelöscht wird oder "nur" in die Quarantäne verschoben ist doch wirklich Banane ....

Was für Fragen hast du denn?

Dragon79 26.01.2013 22:23
Backup Image wiederherstellung
 
Meine Frage hat jetzt zwar nichts mit Malware zu tun gehört eigentlich in den Windows Bereich aber ich versuch es mal zu erklären so gut wie es geht.



Und zwar habe ich ja jetzt mein System neu aufgesetzt und zuvor ein Vollbackup mit Acronis gemacht.

Vor meiner Formatierung hatte ich zwei Partitionen, habe die ganzen Programme unter der Partition D installiert.

Habe Windows so installiert wie es hier im Board beschrieben wird also Partitionen gelöscht und neu erstellt.

Als ich dann Windows neu installiert hatte wollte ich mein erstelltes Backup zurück setzten, leider musste ich festellen dass meine ganzen Programme die auf Partition D installiert waren nicht mehr funktionieren.

Hoffe dass war gut genug erklärt und du kannst mir eventuell sagen was ich falsch gemacht habe:heulen:

ryder 26.01.2013 22:26
Installierte Programme werden nach einer Neuinstallation normalerweise nicht mehr funktionieren, weil du mit der Neuinstallation ja auch die Registry glatt gebügelt hast.

Dragon79 26.01.2013 22:30
Zitat:
Zitat von ryder (Beitrag 999338)
Installierte Programme werden nach einer Neuinstallation normalerweise nicht mehr funktionieren, weil du mit der Neuinstallation ja auch die Registry glatt gebügelt hast.

Also dürfte ich zB. bei einem Malware Befall nur meine Backup zurück spulen und nicht formatieren und die Partitionen löschen wenn ich das richtig verstehen.

Das wäre aber äußerst ungeschickt dachte in einem Vollbackup wird alles übernommen, wo ist da dann der Sinn.....habe ja alle Partitionen ins Backup übernommen.


Eigentlich sollten die installierten Programme aber ins Backup mit aufgenommen werden laut Acronis.

Disk Imaging

Komplette Wiederherstellung - nicht nur der Dateien, sondern auch der genauen Konfiguration Ihres Computers, einschließlich Betriebssystem, Einstellungen und Applikationen.

ryder 26.01.2013 22:53
Du hast die Partitionen C und D gesichert und wieder zurück gespielt?
Aber es ist nicht wieder der korrekte Zustand wie bei der Sicherung?

Dragon79 26.01.2013 22:59
Zitat:
Zitat von ryder (Beitrag 999365)
Du hast die Partitionen C und D gesichert und wieder zurück gespielt?
Aber es ist nicht wieder der korrekte Zustand wie bei der Sicherung?
Genau so ist es:confused:, deshalb stehe ich ja vor einem Rätsel.

Habe erste Windows neu installiert und zuvor die Partitionen gelöscht, dann neue erstellt, Backup zurück gesichert.
Seit dem funktionieren nur noch die Programme die auf C installiert waren zB. der Virenscanner.

Oder sollten die Programme unter Partition C installiert werden und nicht auf D?

ryder 27.01.2013 09:46
Dann ist die Sache im Prinzip einfach: Entweder beim Sichern oder beim Zurückspielen ist was schief gegangen.

Und auch das Prinzip ist einfach:
Programme werden auf dem Systemlaufwerk installiert, weil hier Pfade und Registrierungseinträge stimmen müssen. Daten legt man auf ein anderes Laufwerk.

Dragon79 27.01.2013 18:10
Zitat:
Zitat von ryder (Beitrag 999520)
Dann ist die Sache im Prinzip einfach: Entweder beim Sichern oder beim Zurückspielen ist was schief gegangen.

Und auch das Prinzip ist einfach:
Programme werden auf dem Systemlaufwerk installiert, weil hier Pfade und Registrierungseinträge stimmen müssen. Daten legt man auf ein anderes Laufwerk.

Okay Ryder,


:dankeschoen: für deine Info passt ja eigentlich nicht hier in den Thread.

Habe jetzt alle benötigten Programme nochmals installiert diesmal auf Partition C.


Ein kurze Frage hätte ich aber noch:


Wenn Ich ein Image von meiner ganzen Festplatte erstelle und die Hardware sich ändert (zB. Einbau einer neuen größeren Festplatte) werden dann die ganzen Daten mit zurück gesichert?

Oder brauche ich da ein Programm wie zB. Clonezilla?

ryder 27.01.2013 18:56
Wenn du deine ganze Platte in ein Image packst wird es zunächst mal genauso wiederhergestellt.

Kopierst du ein Betriebssystem auf neue Hardware könnte es durchaus zu Treiberproblemen kommen, muss aber nicht.

Dragon79 27.01.2013 19:27
Alles klar

Ich danke dir nochmals:daumenhoc


Kannst du den Tread bitte in die Mülltonne verschieben, möchte nicht dass hier noch mehr User umsonst drauf klicken.

ryder 27.01.2013 19:40
Nö, der bleibt. :)

Dragon79 27.01.2013 20:05
Okay du bist der Chef:rolleyes:



Mir ist eben aber gerade noch etwas zu den Fehlalarmen von Malwarebytes eingefallen und hätte dazu noch eine Frage


Hatte bevor die gefunden wurden einen Tag vorher schon einen Scann gemacht es wurde aber nichts gefunden.

Bis ich dann im Firefox surfte kam dann die UAC Steuerung und hat mich gefragt ob ich etwas installieren möchte weis aber nicht mehr was, habe da Nein geklickt.


Jetzt ist meine Frage wie konnte es dann passieren das etwas installiert wurde?

ryder 27.01.2013 20:06
Weiß nicht, meine Kristallkugel ist derzeit defekt.

Dragon79 27.01.2013 20:15
Zitat:
Zitat von ryder (Beitrag 999910)
Weiß nicht, meine Kristallkugel ist derzeit defekt.

Du bist echt ein Spaßvogel:rofl:


Aber woher kannst du eigentlich wissen das es nur Fehlalarme waren ohne den Log ausgewertet zu haben?

Zu deiner Antwort dass es egal sei ob die nur unter Quarantäne gestellt werden oder gelöscht werden......kann ich nicht verstehen wenn die in Quarantäne verschoben wurden und ich einen neuen Scann mache wurden die nochmals gefunden?

Des weiteren steht ja im Log dass die nach einem Neustart gelöscht werden, was schreibt Malwarebytes dann da für einen Schund:confused:

ryder 27.01.2013 20:17
Na SIND die Dateien jetzt bei einem Neustart verschoben worden oder nicht?

Dragon79 27.01.2013 20:20
Zitat:
Zitat von ryder (Beitrag 999918)
Na SIND die Dateien jetzt bei einem Neustart verschoben worden oder nicht?
Denke ja und zwar in Quarantäne, dort waren die dann auch aufgeführt.

Dann habe ich alle ausgewählt und auf löschen geklickt

Danach einen weiteren Scann gemacht und siehe da sie wurden wieder gefunden:pfeiff:

ryder 27.01.2013 20:22
Dann stellt offenbar irgendwas das Zeug immer wieder her, was die Situation deutlich ändert.

AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Dragon79 27.01.2013 20:25
Sollte ich jetzt deine Anleitung trotzdem befolgen, habe ja mein ganzes System Platt gemacht.......die dürften also nicht mehr vorhanden sein.

Und Malwarebytes findet nun auch nichts mehr, kann aber gerne deinem Rat folgen.

ryder 27.01.2013 20:30
Schaden kann es nicht.

Dragon79 27.01.2013 20:53
Hier der Log:


Code:
# AdwCleaner v2.109 - Datei am 27/01/2013 um 20:45:40 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Carsten - CARSTEN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\DTM\Desktop\Toolbars und ungewünschte Programme entfernen\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\DTM\AppData\Roaming\Mozilla\Firefox\Profiles\juns1ahh.default\searchplugins\SweetIm.xml
Ordner Gelöscht : C:\Users\Carsten\AppData\Local\Temp\AskSearch
Ordner Gelöscht : C:\Users\Carsten\AppData\Local\TempDir

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASMANCS
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://de.ask.com/?l=dis&o=15768 --> hxxp://www.google.com

-\\ Mozilla Firefox v18.0.1 (de)

Datei : C:\Users\Carsten\AppData\Roaming\Mozilla\Firefox\Profiles\2bi9do7q.default\prefs.js

Gelöscht : user_pref("browser.search.order.1", "Ask.com");
Gelöscht : user_pref("browser.search.selectedEngine", "Ask.com");

Datei : C:\Users\DTM\AppData\Roaming\Mozilla\Firefox\Profiles\juns1ahh.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S2].txt - [381 octets] - [27/01/2013 20:45:19]
AdwCleaner[S3].txt - [1665 octets] - [27/01/2013 20:45:40]

########## EOF - \AdwCleaner[S3].txt - [1725 octets] ##########

Immer diese scheiss ASK-Toolbar, habe echt keine Ahnung bei welcher Installation eines Programmes die immer wieder auf meinen Rechner gelangt.

ryder 27.01.2013 21:02
Ja das Ding ist eine Seuche, aber noch eher harmlos.

Also alles klar?

Dragon79 27.01.2013 21:04
Zitat:
Zitat von ryder (Beitrag 999962)
Ja das Ding ist eine Seuche, aber noch eher harmlos.

Also alles klar?

Ja alles klar soweit.........ich habe da halt immer etwas Bedenken weil ich mit dem Rechner Online Banking betreibe.


Hoffe jetzt ist alles sauber auf meinem Rechner.


Vielen Dank das du mir geholfen hast:daumenhoc

ryder 27.01.2013 21:10
Bedenken sind okay. Panik nicht.

Adware kannst du mit adwcleaner immer selbst entfernen. Und selbst MBAM Funde sind erstmal nichts schlimmes. Aber wenn du Symptome bemerkst. Dann ... hier melden.

Thema beendet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131