Leserartikel Erste H!lfe bei Malwareverdacht/-infektion - Vor dem Posten beachten!

emlyn d.

Lieutenant
Registriert
Mai 2010
Beiträge
554
Bitte bei Malwareverdacht/-infektion vorerst keine anderen als die unten aufgeführten Programme verwenden, keine voreiligen Löschungen vornehmen und Folgendes beachten:

[size=+1]1. Symptome, Fundmeldungen etc.​
[/size]
Welche Symptome treten auf?
Lassen sich diese auf eine Aktion(Besuch einer Website, Installation eines Programms etc.) zurückführen?
Etwaige Links bitte nicht klickbar posten.

Gibt es Fundmeldungen eines AV-Programms?
Wenn dem so ist, diese bitte exakt zur Verfügung stellen, also z.B.:
Code:
In der Datei 'C:\System Volume Information\_restore{08A3E5BE-4500-4F89-BDB3-EBE26902D848}\RP16\A0010758.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.CodecPack.kzk' [trojan] gefunden.

Welche Aktion(löschen, in Quarantäne stellen etc.) wurde ausgeführt?

[size=+1]2. Analyse mittels FRST​
[/size]
Farbar Recovery Scan Tool(FRST) von Farbar ist ein Programm, um Systeme bei Malwareverdacht/-infektion zu untersuchen und gegebenenfalls zu bereinigen.

Die 64-bit-Version bitte hier http://download.bleepingcomputer.com/farbar/FRST64.exe auf den Desktop herunterladen, die für 32-bit-Systeme hier http://download.bleepingcomputer.com/farbar/FRST.exe.

Nach dem Ausführen im folgenden Fenster

disclaimer-png.358166


"Ja" und dann

scan-png.358167


"Scan" anklicken.

Wenn der Suchlauf beendet ist, zweimal bestätigen.

frst-png.358168

add-png.358169

Es erscheinen zwei Logs, FRST.txt und Addition.txt.
Bitte beide Berichte posten/anhängen.

Achtung: das Programm wird mitunter von AV-Lösungen als schädlich eingestuft. Hierbei handelt es sich um Fehlalarme.

[size=+1]3. Persönliche Daten​
[/size]
Wenn sich in den Berichten persönliche Daten wie z.B. C:\Dokumente und Einstellungen\Klaus Schulze befinden, sollten diese durch Asterisken(C:\Dokumente und Einstellungen\***) ersetzt werden.

[size=+1]4. Einsatz von RKill​
[/size]
Es gibt Malware, die das Ausführen von Programmen mit einer Meldung wie z.B. "The file [...] is infected." blockt.
In solchen Fällen bietet sich der Einsatz von RKill(erstellt von Grinler) an.
Das Programm muss mit Adminrechten angewendet werden.

Download-Links:
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.scr

Analysetools wie FRST müssen direkt nach der Anwendung von RKill gestartet werden.

Wenn ein Schädling meldet, dass rkill.* infiziert sei, diese Warnung ignorieren und das Programm nochmals ausführen.
Sollte das auch trotz mehrfacher Anläufe nicht zum gewünschten Erfolg führen, bitte die Anwendung der umbenannten Kopien des Tools versuchen:
http://download.bleepingcomputer.com/grinler/iExplore.exe
http://download.bleepingcomputer.com/grinler/eXplorer.exe

Informationen zu RKill:
http://www.bleepingcomputer.com/forums/topic308364.html

Man beachte, dass es auch hier mitunter zu Fehlalarmen kommt.
 

Anhänge

  • disclaimer.PNG
    disclaimer.PNG
    18,3 KB · Aufrufe: 23.160
  • scan.PNG
    scan.PNG
    13,9 KB · Aufrufe: 23.086
  • frst.PNG
    frst.PNG
    7,1 KB · Aufrufe: 22.933
  • add.PNG
    add.PNG
    6,7 KB · Aufrufe: 22.978
Zuletzt bearbeitet:
schade, dass man das wort hilfe nicht verwenden kann.;)
verbesserungsvorschläge(form & inhalt) werden gerne angenommen.
 
Glückwunsch zu deiner Anleitung! :daumen: Ich hoffe hiermit kann anderen Nutzern kompetent geholfen werden, ohne die sonst oft etwas planlose Vorgehensweise.
Eine Frage hätte ich da aber noch, wer kann die Analyse aus deiner Anleitung kompetent betreuen und auswerten? Ich hoffe du besitzt dazu das nötige Know-how.
 
Boogeyman schrieb:
Glückwunsch zu deiner Anleitung! :daumen:
danke.:)
Boogeyman schrieb:
Ich hoffe hiermit kann anderen Nutzern kompetent geholfen werden, ohne die sonst oft etwas planlose Vorgehensweise.
das war meine intention.
Boogeyman schrieb:
Eine Frage hätte ich da aber noch, wer kann die Analyse aus deiner Anleitung kompetent betreuen und auswerten? Ich hoffe du besitzt dazu das nötige Know-how.
ja, sonst hätte ich die anleitung nicht geschrieben.
 
@emlyn d.

Nach dem mein Chrome Probleme machte habe ich Malwarebytes laufen lassen und es hat 3 Funde gemacht. Dann habe ich nochmal mit tieferen und extra Suchfunktion laufen lassen und es hat noch 3 Funde gemacht. Es war alles bereinigt, Avast laufen lassen und Malwarebytes alles war sauber, ADWcleaner ausgeführt, Chrome zurückgesetzt, Chrome deinstalliert und neu installiert. Chrome läuft momentan problemlos. Habe Alle Passwörter geändert zu Sicherheit.
Heute morgen dann beim Start meldet Malwarebytes sofort einen neuen Fund.
Ist was tief versteckt? Muss ich mir Sorgen machen? wie sollte ich vorgehen?
 
Hallo,
bitte alle Berichte mit Fundmeldungen und FRST-Logs posten/anhängen.
 
So hier bitte!
Anhang anzeigen 458316
Anhang anzeigen 458323
Anhang anzeigen 458324
 
Zuletzt bearbeitet:
Welchen neuen bzw. letzten Fund hat MBAM denn gemacht?

Bitte einen weiteren Suchlauf(+ löschen) mit AdwCleaner machen und das Log posten/anhängen.

Dann http://thisisudax.org/downloads/JRT.exe herunterladen und als Admin ausführen.
Wenn das Programm durch ist, wird eine JRT.txt erzeugt.
Diese bitte ebenso wie frische FRST-Logs posten/anhängen.
 
Hier!
Anhang anzeigen 458565
Anhang anzeigen 458559
Anhang anzeigen 458560
Anhang anzeigen 458566
Anhang anzeigen 458567

Was mir jetzt aufgefallen ist das ich auf C:/ jetzt meine vermisste ca. 25GB Speicher wieder habe... hat es da was mit zutun?
 
Zuletzt bearbeitet:
Wenn, dann kann es nur mit JRT(~~~ Event Viewer Logs were cleared) zu tun haben, aber auf jeden Fall sehen die FRST-Berichte bis auf Adware-Überbleibsel jetzt wieder gut aus.
Diese Überbleibsel kann man entfernen, das ist aber nur ein kosmetisches Problem.

Bzgl.: Malwarebytes Anti Malware Malware Scanner - CHIP-Installer.exe:
Ich würde Software, wenn möglich, vom Hersteller herunterladen und Installer, Downloader etc. meiden.

*

emlyn d. schrieb:
Welchen neuen bzw. letzten Fund hat MBAM denn gemacht?
 
Zuletzt bearbeitet:
Also ist jetzt alles in Ordnung wie ich das verstanden habe?
 
Keine weitere Funde!
 
Juhu!!!! :D

Danke dir für deine Hilfe!
 
Hallo Spezialisten!

Habe mir einen ACER Aspire E5-573 mit Windows 10 zugelegt. Nach dem Einrichten und Update auf 1511 habe ich dann ein paar Programme installiert (CCleaner, SumatraPDF, Net Speed Monitor, MediaCoder x64, MPC-HC und DVBSky-Player).

Jetzt meldet der Windows Defender ständig den Fund: PUA:Win32/Creprote.B.
Anscheinend wird der Schädling auch entfernt, erscheint aber immer wieder. Mir ist aufgefallen, auf dem Netbook befindet sich auch eine SW "App Explorer von SweetLabs", wenn ich versuche diese zu deinstallieren, poppt der Defender mit der o. a. Meldung auf und die Deinstallation klappt nicht!

Leider finde ich im Netz zu PUA:Win32/Creprote.B und "App Explorer von SweetLabs" nicht viel. Ist das eine SW die vorinstalliert war, oder habe ich mir Schadsoftware bei der Installation eingefangen. Eigentlich lade ich SW nur aus unverdächtigen Quellen (z. B. www.heise.de).
 
Hallo liebe computerbase-Gemeinde,

Seit ca. einer Woche wird main Standrechner immer wieder extremst langsam (=firefox friert plötzlich für 10-20 sekunden ein, programme brauchen viel länger zum öffnen etc.) Norton Antivirus meldet keine Verdacht aber irgendetwas stimmt da nicht. Anbei hab ich die logs von FRSThochgeladen, könnte mir die jemand von euch eventuell etwas erklären?

Vielen Dank,
Tuvaloto
 

Anhänge

  • FRST.txt
    86,1 KB · Aufrufe: 1.828
  • Addition.txt
    60,2 KB · Aufrufe: 1.870

Ähnliche Themen

Zurück
Oben