Variante von Win32/Adware.Agent.NOH Anwendung gefunden
Einen schönen Sonntag-Mittag allerseits,
ich habe vor kurzem wieder den Eset-Onlinescanner über mein System drübergallopieren lassen, wobei er anscheinend eine Variante von oben genannter Adware gefunden hat: Code:
C:\Users\xxxxxx\AppData\Local\Temp\is-QLCVP.tmp\prsetup.exe Variante von Win32/Adware.Agent.NOH Anwendung
MalwareBytes Anti-Malware Code:
www.malwarebytes.org
Suchlaufdatum: 14.11.2015
Suchlaufzeit: 13:08
Protokolldatei: 2015_11_14_scan.txt
Administrator: Ja
Version: 2.2.0.1024
Malware-Datenbank: v2015.11.14.02
Rootkit-Datenbank: v2015.11.13.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Promor
Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 339139
Abgelaufene Zeit: 40 Min., 55 Sek.
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(keine bösartigen Elemente erkannt)
Module: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswerte: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Dateien: 0
(keine bösartigen Elemente erkannt)
Physische Sektoren: 0
(keine bösartigen Elemente erkannt)
(end)
und das EmsisoftEmergency-Kit Code:
Emsisoft Emergency Kit - Version 10.0
Letztes Update: 14.11.2015 11:47:15
Benutzerkonto: Promor-PC\Promor
Scan-Einstellungen:
Scan-Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, E:\
PUPs-Erkennung: An
Archiv-Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: An
Scan-Beginn: 14.11.2015 11:50:04
Gescannt: 101735
Gefunden 0
Scan-Ende: 14.11.2015 12:19:26
Scan-Zeit: 0:29:22
haben nichts angezeigt.
AdwareCleaner brachte dieses Ergebnis: Code:
# AdwCleaner v4.110 - Bericht erstellt 15/11/2015 um 11:46:27
# Aktualisiert 05/02/2015 von Xplode
# Datenbank : 2015-11-13.3 [Server]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (x64)
# Benutzername : Promor - PROMOR-PC
# Gestarted von : C:\Users\Promor\Documents\Taskleiste Desktop\Security\adwcleaner_4.110.exe
# Option : Suchlauf
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Datei Gefunden : C:\Users\Promor\AppData\Roaming\8pecxstudios\Cyberfox\Profiles\d8daa2e56f.Profile_Buddy\user.js
Datei Gefunden : C:\Users\Promor\AppData\Roaming\Mozilla\Firefox\Profiles\5100464c38.Profile_Buddy\user.js
Datei Gefunden : C:\Users\Promor\AppData\Roaming\Mozilla\Firefox\Profiles\h2jqwauk.default-1409145912818\user.js
***** [ Geplante Tasks ] *****
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : [x64] HKCU\Software\OCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53BB7213-AC5D-4437-968B-46EA40684B6C}_is1
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
***** [ Internetbrowser ] *****
-\\ Internet Explorer v0.0.0.0
-\\ Mozilla Firefox v
-\\ Cyberfox v
*************************
AdwCleaner[R5].txt - [1876 Bytes] - [11/02/2015 17:07:02]
AdwCleaner[R6].txt - [1903 Bytes] - [27/05/2015 13:36:43]
AdwCleaner[R7].txt - [2029 Bytes] - [14/11/2015 14:32:00]
AdwCleaner[R8].txt - [1758 Bytes] - [15/11/2015 11:46:27]
########## EOF - C:\AdwCleaner\AdwCleaner[R8].txt - [1817 Bytes] ##########
Habe die betroffene Datei auch mal über virustotal.com scannen und analysieren lassen, wobei rauskam, dass diese mit PainttoolSAI in Verbindung steht (hab ich vor ewiger Zeit mal installiert).
Hat Eset da etwas überreagiert oder war der Alarm berechtigt?
Mit freundlichen Grüßen,
Promor | 