|
Win10: Avira findet Trojaner (TR/AD.FireHooker.BU) und weitere Funde von Malwarybytes und Roguekiller Moin, seit Mittwoch dieser Woche hatte ich meine ersten Malware-Begegnungen. Ich habe erst gestern Abend von diesem Forum und dessen Regeln erfahren, weswegen mir Scan-Logs von vorherigen Begegnungen fehlen. Ich Erläutere nun was passiert ist: Mittwoch: Avira erkennt nach Booten des Geräts TR/AD.FireHooker.BU (C:Windows\Temp\25e2e25e-e435-f610-fbd7-5550d10b5599\63ff30aa-6f5b-ba1d-fab3-1498e0146e15.exe) und verschiebt es in die Quarantäne. Ich denke es wäre bloß ein Einzelfall, aber recherchiere sicherheitshalber ein bisschen im Internet nach. Auf einem Forum wurde dann Malwarebytes empfohlen zum double-Check. Woraufhin ich mir MWB(Malwarebytes) gedownloadet habe und losgescannt habe. MWB erkannte PUPs, die meinen Chrome Browser angegriffen haben. Avira blockte die verschiebung in die Quarantäne, MWB verschlüsselt trozdem die Dateien in die Quarantäne. Ich starte den MWB-Scan neu, Avira blockt und die PUPs haben sich dupliziert (von ca. 5 auf 17). Ich stelle in Avira für MWB eine Ausnahme ein und starte den MWB-Scan nochmal neu. Avira blockt diesmal nicht. 5 neue PUPs sind in Quarantäne und ich lösche alle Objekte, die in Quarantäne sind. Ich weiß nicht mehr genau wieso, aber seitdem bin ich auf Firefox umgestiegen (habe Chrome jedoch nicht gelöscht). Danach musste ich private Sachen erledigen und dachte das Problem wäre mehr oder weniger erledigt. Ich fahre das Gerät runter. Donnerstag: Ich starte das Gerät und wieder verschiebt mir Avira einen Trojaner desselben Typs, wie oben beschrieben, in die Quarantäne. MWB meldet nichts. Da ich an dem Tag unter Zeitdruck stand, habe ich das Problem liegen lassen und das erledigt, was ich machen musste. Ich fahre mein Gerät runter. Freitag: Diesmal verschiebt Avira zwei Trojaner desselben Typs, wie oben beschrieben, nach dem Hochfahren in die Quarantäne. Ich recherchiere und hole mir RogueKiller, die wie in dem folgenden Bericht bestimmte Objekte in die Quarantäne schickt (glücklicherweise habe ich die .tmp Datei gespeichert). Roguekiller Bericht: Code: RogueKiller Anti-Malware V14.7.3.0 (x64) [Sep 15 2020] (Free) von Adlice Software-Honey ist ein Browser Extension(Chrome), welches für Angebot-Codes sucht -Twillioquest ist ein Spiel von Twillio, was einem Programmieren beibringen soll -Bei PUP.Gen1, Adw.DownloadSponsor kommt mir nichts bekannt vor Die Objekte in Quarantäne wurden daraufhin gelöscht. Ich Neustarte das Gerät, Avira meckert immer noch. Nach erneuter Recherche habe ich dann beschlossen ein Forum aufzusuchen, um das Problem zu ein für alle Mal zu lösen. Ich stoße auf dieses Forum und bemerke, dass ich nicht der einzige bin, der von Avira tot genervt wird. Außerdem habe ich einige Regeln von euch gebrochen (Z.B.: ein infizierter Rechner ist nicht normal zu benutzen; Scan berichte, logs, vor allem, wenn ungewöhnliches dabei rauskommt aufbewahren; nicht willkürlich/ziellos Sachen im Alleingang machen). Seitdem habe ich nichts mehr gedownloaded oder gelöscht und warte auf Anweisungen, dass ich z.B. Avira, Chrome, o.Ä. deinstallieren darf/sollte. Ich fahre das Gerät runter und habe beschlossen am nächsten Tag einen Thread aufzumachen. Samstag: Ich habe meinen PC Hochgefahren, Avira schiebt zwei Trojaner in die Quarantäne, ich lösche sie und fange an diesen Text zu schreiben. MWB fällt nichts auf Zusammenfassung: -Avira meldet nach jedem Hochfahren Trojaner des Typs TR/AD.FireHooker.BU -Ich habe Malwarbytes und Roguekiller gedownloadet, diese haben PUPs und einen Adw.DownloadSponsor gefunden -Alle Quarantäne Objekte wurden gelöscht Wie ich aus anderen Threads schon entnehmen konnte, ist bisher die einzige Anweisung Avira(, Chrome und weiteren Müll) zu deinstallieren. Fragen die ich habe: Was geht hier vor? → Wieso findet Avira jedes Mal nach dem Booten Trojaner? → steckt hinter der Meldung von Avira was dahinter oder ist das nicht ernst zu nehmen? Sind die Funde von Roguekiller und MBW nicht weiter problematisch? Ansonsten wäre ich sehr froh, wenn ihr mir dabei helfen könnt mein Gerät von Malware zu befreien(, falls das, was Avira meldet, überhaupt noch irgendeinen Wert hat). Ich warte auf Anweisungen. Update: Hochfahren ist nicht notwendig, damit Avira mir Trojaner meldet. Gerade (3.10, 14:40) hat Avira 4 Trojaner erkannt ohne, dass ich den Rechner hochfahre. |
FRST Log Hier ist die Untersuchung von FRST (Teil 1): Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 30-09-2020 |
Hier ist die Untersuchung von FRST (Teil 2): Code: ===================== Treiber (Nicht auf der Ausnahmeliste) =================== |
Hier ist „Additional" von der FRST Untersuchung (Teil 1): Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-09-2020 |
Hier ist „Additional" von der FRST Untersuchung (Teil 2): Code: 2019-03-19 06:45 - 2019-03-19 06:45 - 000296960 _____ (Microsoft Corporation) [Datei ist nicht signiert] C:\Windows\System32\unimdm.tsp |
Code: C:\Program Files (x86)\nodejs\node.exeWenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Ich habe node.exe in VirusTotal auswerten lassen. Hier ist der Ergebnislink: https://www.virustotal.com/gui/file/518ea2f7e77780ad2eaeadaa818c8d45ac480a62d8b503f88e25412572ebce49/detection |
Okay, die nodjs selbst ist keine Malware. Bevor wir weitermachen muss da einiges an unnötigem oder veraltetem Krempel runter - das hier bitte über Programme und Features (appwiz.cpl) deinstallieren: Avira Avira Antivirus Avira Phantom VPN Avira Security Avira Software Updater Avira System Speedup COMODO Client - Security Google Chrome Java 8 Update 261 OpenOffice 4.1.7 Opera Stable 70.0.3728.189 |
Ich habe alle Programme, wie gewünscht Deinstalliert (Einstellungen>Apps & Features). Wieso gehört Open Office, Opera und Java zu „veraltetem Krempel"? Kann ich Java und Office später wieder Installieren? Würdest du mir abraten, das zu tun? Update: Nachdem ich Avira Deinstalliert habe und das System neugestartet habe hat MWB Generic.Malware/Suspicious erkannt, aber im Bericht steht nichts davon (merkwürdig?) Code: C:\Windows\Temp\53cafea6-7ae9-533c-d99a-6a0e6a71016a\58887812-e68c-fdcf-cb18-29aa416757c4.exeScan am Mittwoch 1: Code: MalwarebytesCode: MalwarebytesCode: Malwarebytes |
Zitat:
Java und Opera sind völlig unnötig. Open Office ist ein völlig veraltetes, fast schon totes Office. Man nimmt schon lange stattdessen LibreOffice. Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken. http://www.trojaner-board.de/picture...&pictureid=611 |
FRST Logfile: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 03-10-2020 |
Addition.txt: Code: (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.) |
|
FRST hat die Reparatur (wie ich aus dem log entnehmen konnte) mit dem Inhalt der letzten Code-Box von dir ausgeführt und daraufhin das Gerät neugestartet. Windows Defender Firewall hat Code: C:\program files (x86)\samsung\easy printer manager\easyprintermanagerv2.exeCode: C:\program files\lenovo\lenovo migration assistant\lenovo migration assistant srv.exeDie Meldung: Einige Features von Lenovo Migration Assistant Srv/Samsung Easy Printer Manager wurden von öffentlichen und privaten Netzwerken von der Windows Defender Firewall blockiert. Was Zugelassen werden soll oder nicht: Kommunikation von Lenovo Migration Assistant Srv/Samsung Easy Printer Manager in diesen Netzwerken zulassen: [x] Private Netzwerke (...) [ ] Öffentliche Netzweke (...) [Zugriff zulassen] [Abbrechen] Bei beiden Meldungen habe ich den Zugriff zugelassen, da das eine Programm vom Hersteller des meines Laptops ist und das andere vom Hersteller meines Druckers. Hier ist der fixlog: Code: Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-10-2020 |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board