Leserartikel Erste H!lfe bei Malwareverdacht/-infektion - Vor dem Posten beachten!

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
554
Bitte bei Malwareverdacht/-infektion vorerst keine anderen als die unten aufgeführten Programme verwenden, keine voreiligen Löschungen vornehmen und Folgendes beachten:

[size=+1]1. Symptome, Fundmeldungen etc.​
[/size]
Welche Symptome treten auf?
Lassen sich diese auf eine Aktion(Besuch einer Website, Installation eines Programms etc.) zurückführen?
Etwaige Links bitte nicht klickbar posten.

Gibt es Fundmeldungen eines AV-Programms?
Wenn dem so ist, diese bitte exakt zur Verfügung stellen, also z.B.:
Code:
In der Datei 'C:\System Volume Information\_restore{08A3E5BE-4500-4F89-BDB3-EBE26902D848}\RP16\A0010758.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.CodecPack.kzk' [trojan] gefunden.
Welche Aktion(löschen, in Quarantäne stellen etc.) wurde ausgeführt?

[size=+1]2. Analyse mittels FRST​
[/size]
Farbar Recovery Scan Tool(FRST) von Farbar ist ein Programm, um Systeme bei Malwareverdacht/-infektion zu untersuchen und gegebenenfalls zu bereinigen.

Die 64-bit-Version bitte hier http://download.bleepingcomputer.com/farbar/FRST64.exe auf den Desktop herunterladen, die für 32-bit-Systeme hier http://download.bleepingcomputer.com/farbar/FRST.exe.

Nach dem Ausführen im folgenden Fenster



"Ja" und dann



"Scan" anklicken.

Wenn der Suchlauf beendet ist, zweimal bestätigen.



Es erscheinen zwei Logs, FRST.txt und Addition.txt.
Bitte beide Berichte posten/anhängen.

Achtung: das Programm wird mitunter von AV-Lösungen als schädlich eingestuft. Hierbei handelt es sich um Fehlalarme.

[size=+1]3. Persönliche Daten​
[/size]
Wenn sich in den Berichten persönliche Daten wie z.B. C:\Dokumente und Einstellungen\Klaus Schulze befinden, sollten diese durch Asterisken(C:\Dokumente und Einstellungen\***) ersetzt werden.

[size=+1]4. Einsatz von RKill​
[/size]
Es gibt Malware, die das Ausführen von Programmen mit einer Meldung wie z.B. "The file [...] is infected." blockt.
In solchen Fällen bietet sich der Einsatz von RKill(erstellt von Grinler) an.
Das Programm muss mit Adminrechten angewendet werden.

Download-Links:
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.scr

Analysetools wie FRST müssen direkt nach der Anwendung von RKill gestartet werden.

Wenn ein Schädling meldet, dass rkill.* infiziert sei, diese Warnung ignorieren und das Programm nochmals ausführen.
Sollte das auch trotz mehrfacher Anläufe nicht zum gewünschten Erfolg führen, bitte die Anwendung der umbenannten Kopien des Tools versuchen:
http://download.bleepingcomputer.com/grinler/iExplore.exe
http://download.bleepingcomputer.com/grinler/eXplorer.exe

Informationen zu RKill:
http://www.bleepingcomputer.com/forums/topic308364.html

Man beachte, dass es auch hier mitunter zu Fehlalarmen kommt.
 

Anhänge

Zuletzt bearbeitet:

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
schade, dass man das wort hilfe nicht verwenden kann.;)
verbesserungsvorschläge(form & inhalt) werden gerne angenommen.
 

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
Glückwunsch zu deiner Anleitung! :daumen: Ich hoffe hiermit kann anderen Nutzern kompetent geholfen werden, ohne die sonst oft etwas planlose Vorgehensweise.
Eine Frage hätte ich da aber noch, wer kann die Analyse aus deiner Anleitung kompetent betreuen und auswerten? Ich hoffe du besitzt dazu das nötige Know-how.
 

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
danke.:)
Ich hoffe hiermit kann anderen Nutzern kompetent geholfen werden, ohne die sonst oft etwas planlose Vorgehensweise.
das war meine intention.
Eine Frage hätte ich da aber noch, wer kann die Analyse aus deiner Anleitung kompetent betreuen und auswerten? Ich hoffe du besitzt dazu das nötige Know-how.
ja, sonst hätte ich die anleitung nicht geschrieben.
 

Bublik79

Commander
Dabei seit
Juli 2011
Beiträge
2.109
@emlyn d.

Nach dem mein Chrome Probleme machte habe ich Malwarebytes laufen lassen und es hat 3 Funde gemacht. Dann habe ich nochmal mit tieferen und extra Suchfunktion laufen lassen und es hat noch 3 Funde gemacht. Es war alles bereinigt, Avast laufen lassen und Malwarebytes alles war sauber, ADWcleaner ausgeführt, Chrome zurückgesetzt, Chrome deinstalliert und neu installiert. Chrome läuft momentan problemlos. Habe Alle Passwörter geändert zu Sicherheit.
Heute morgen dann beim Start meldet Malwarebytes sofort einen neuen Fund.
Ist was tief versteckt? Muss ich mir Sorgen machen? wie sollte ich vorgehen?
 

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
Hallo,
bitte alle Berichte mit Fundmeldungen und FRST-Logs posten/anhängen.
 

Bublik79

Commander
Dabei seit
Juli 2011
Beiträge
2.109
So hier bitte!
Anhang 458316 betrachten
Anhang 458323 betrachten
Anhang 458324 betrachten
 
Zuletzt bearbeitet:

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
Welchen neuen bzw. letzten Fund hat MBAM denn gemacht?

Bitte einen weiteren Suchlauf(+ löschen) mit AdwCleaner machen und das Log posten/anhängen.

Dann http://thisisudax.org/downloads/JRT.exe herunterladen und als Admin ausführen.
Wenn das Programm durch ist, wird eine JRT.txt erzeugt.
Diese bitte ebenso wie frische FRST-Logs posten/anhängen.
 

Bublik79

Commander
Dabei seit
Juli 2011
Beiträge
2.109
Hier!
Anhang 458565 betrachten
Anhang 458559 betrachten
Anhang 458560 betrachten
Anhang 458566 betrachten
Anhang 458567 betrachten

Was mir jetzt aufgefallen ist das ich auf C:/ jetzt meine vermisste ca. 25GB Speicher wieder habe... hat es da was mit zutun?
 
Zuletzt bearbeitet:

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
Wenn, dann kann es nur mit JRT(~~~ Event Viewer Logs were cleared) zu tun haben, aber auf jeden Fall sehen die FRST-Berichte bis auf Adware-Überbleibsel jetzt wieder gut aus.
Diese Überbleibsel kann man entfernen, das ist aber nur ein kosmetisches Problem.

Bzgl.: Malwarebytes Anti Malware Malware Scanner - CHIP-Installer.exe:
Ich würde Software, wenn möglich, vom Hersteller herunterladen und Installer, Downloader etc. meiden.

*

Welchen neuen bzw. letzten Fund hat MBAM denn gemacht?
 
Zuletzt bearbeitet:

Bublik79

Commander
Dabei seit
Juli 2011
Beiträge
2.109
Also ist jetzt alles in Ordnung wie ich das verstanden habe?
 

Bublik79

Commander
Dabei seit
Juli 2011
Beiträge
2.109
Keine weitere Funde!
 

Bublik79

Commander
Dabei seit
Juli 2011
Beiträge
2.109
Juhu!!!! :D

Danke dir für deine Hilfe!
 

Istvan

Lt. Junior Grade
Dabei seit
Jan. 2014
Beiträge
420
Hallo Spezialisten!

Habe mir einen ACER Aspire E5-573 mit Windows 10 zugelegt. Nach dem Einrichten und Update auf 1511 habe ich dann ein paar Programme installiert (CCleaner, SumatraPDF, Net Speed Monitor, MediaCoder x64, MPC-HC und DVBSky-Player).

Jetzt meldet der Windows Defender ständig den Fund: PUA:Win32/Creprote.B.
Anscheinend wird der Schädling auch entfernt, erscheint aber immer wieder. Mir ist aufgefallen, auf dem Netbook befindet sich auch eine SW "App Explorer von SweetLabs", wenn ich versuche diese zu deinstallieren, poppt der Defender mit der o. a. Meldung auf und die Deinstallation klappt nicht!

Leider finde ich im Netz zu PUA:Win32/Creprote.B und "App Explorer von SweetLabs" nicht viel. Ist das eine SW die vorinstalliert war, oder habe ich mir Schadsoftware bei der Installation eingefangen. Eigentlich lade ich SW nur aus unverdächtigen Quellen (z. B. www.heise.de).
 

tuvaloto

Cadet 4th Year
Dabei seit
Sep. 2011
Beiträge
102
Hallo liebe computerbase-Gemeinde,

Seit ca. einer Woche wird main Standrechner immer wieder extremst langsam (=firefox friert plötzlich für 10-20 sekunden ein, programme brauchen viel länger zum öffnen etc.) Norton Antivirus meldet keine Verdacht aber irgendetwas stimmt da nicht. Anbei hab ich die logs von FRSThochgeladen, könnte mir die jemand von euch eventuell etwas erklären?

Vielen Dank,
Tuvaloto
 

Anhänge

Top