Finden Standard Virenprogramme "tief sitzende" Viren?

[BobbyS]

Hallo,

ich habe letztens die Anwendung Motionjoy DS3 Tool installiert, um mit meinem PS3 Controller am PC spielen zu können. Ich hatte jahrelang keine Probleme mit der Anwendung. Ich habe später erst erfahren, dass das Tool mittlerweile vom Entwickler aufgegeben wurde und mit virenverseucht ist. Das Tool forderte mich auf Java zu installieren. Ich habe mir nichts dabei gedacht da ich wie gesagt jahrelang keine Probleme hatte. Während der Installation zeigte mir Avast dann an, dass zwei Bedrohungen entfernt wurden und eine datei musste ich in die Quarantäne verschieben. Heute habe ich dann in der Systemsteuerung auf der Programmliste viele verschiedene kuriose Anwendungen gefunden, die ich alle sofort deinstalliert habe. Dabei waren Anwendungen wie dwdinst, amzinst, Windows Setup Remediations, OpenAL und Bytefence Antivirenprogamm. Ich kann mich nicht erinnern diese Anwendungen je installiert zu haben. Und im Internet werden diese teilweise als unsicher/gefährlich eingestuft. Meine Frage jetzt: Kann ich mich voll darauf verlassen, dass Avast alle Viren findet bzw. gefunden hat? Oder gibt es "tief sitzende" Viren die man mit Standardprogrammen nicht wegbekommt? Ich habe das Gefühl, dass mein PC immernoch mit Viren versucht ist. Ich hoffe dass ihr mir weiterhelfen könnt.

LG BobbyS

 

[elkechen]

würde Windows neu installieren.

 

[Vitali.Metzger]

Kannst ja mal deine Kiste mit Malwarebytes scannen aber meine Empfehlung währe Windows neu aufsetzen.

 

[Nexarius]

Zwar bringen Virenscanner einiges, aber in Deinem Fall würde ich die Daten scannen, sichern und Windows neu installieren.

Greets

Nexarius

 

[Jesterfox]

Meine Frage jetzt: Kann ich mich voll darauf verlassen, dass Avast alle Viren findet bzw. gefunden hat? Oder gibt es "tief sitzende" Viren die man mit Standardprogrammen nicht wegbekommt?

Es gibt auf jeden Fall welche die sich im laufenden System vor einem Scan verstecken können. Halbwegs verlässlich ist daher nur ein Scan von einer BootCD aus, so dass das kompromittierte System nicht läuft. Wobei auch da nicht wirklich sicher ist das alles gefunden und entfernt werden kann. Eine saubere Neuinstallation ist wohl die bessere Wahl.

Das was du da an Anwendungen gefunden hast sieht auch alles (ok, außer OpenAL) recht verdächtig aus.

 

[xxxx]

Schau mal nach was entfernt wurde wenn es Pups waren brauchst du nicht neu installieren. Die meisten Anwendungen installieren nur ungefragt irgendwelche Software, aber nichts wirklich schädliches und die kriegt man in der Regel mit Malwarebytes, Adwcleaner usw wieder weg ohne gleich das System neu installieren zu müssen.

@Jesterfox OpenAL gehört in der Regel zum Creative Treiber und ist eine Audio Bibliothek. Der Rest der genannten klingt nach unerwünschter Software.

 

[wdx]

In so einem Fall, unbedingt mit einem offline Virenscanner suchen! Also eine CD oder USB_Stick von z.B. der c´t, auf einem sauberen Rechner erstellen, damit booten und gründlich durchsuchen lassen bzw säubern.

Gruß wdx

 

[matze313]

Ich würde ebenfalls neu aufsetzen. Einmal verseucht, ist ein System nie mit 100% iger Garantie sauber zu bekommen.
Klar kann es sein, dass alle Viren entfernt werden, aber es kann genausogut sein, dass sich welche "verstecken", und das sind meist die schlimmsten.

Also Daten sichern (im Optimalen Fall gibt es schon eine aktuelle Sicherung) und alles platt machen. Dann von nem Boot Stick Windows neu installieren und man hat ruhe.

 

[BobbyS]

Vielen Dank für die Antworten. Wo kann ich später die lange Datei von Antimalwarebytes hochladen? Dass sind ja meistens ellenlange Zeilen. Und wie mache ich das mit der BootCD? Ich habe da leider keien für Win10. Ich setzt immer mit einem USB Stick neu auf, auf dem ich mit dem Media Creation Tool Windows 10 installiert hatte.

 

[wdx]

Wenn Du Avira nimmst: https://www.avira.com/de/download/product/avira-rescue-system

Ideal finde ich die CD von der Zeitschrift c't, da weiß ich allerdings nicht ob/wie man die z.Z. beziehen kann ... google mal bei Heise.de

 

[scooter010]

Es gibt auch BootUSB-Sticks
c't desinfect beispielsweise als einfache (aber nciht kostenlose) Lösung. Kann man online kaufen die Zeitschrift, die "CD" ist als Download dabei.
Alternativ eine Ubuntu "Live-CD" herunterladen und auf einen USB-Stick packen.

ACHTUNG! Egal welche Maßnahmen du ergreifst, der "verdächtige" Computer muss aus bleiben (damit keine Dateien verschlüsselt werden können) und darf auch nicht zur Beschaffung von Installationssticks (Media Creation Tool, Live-USB-Sticks) verwendet werden. Viren könnten diese direkt beim Download infizieren.

Nutze einen anderen Computer!

Es gibt sogar Viren, die Schreiben sich in das UEFI eines Computers, die wird man sogar mit einer Boot-CD ggf. finden, aber nicht bereinigen können... Da würde nur der Tausch des Mainboards helfen.

 

[nurmalsoamrande]

Also Daten sichern (im Optimalen Fall gibt es schon eine aktuelle Sicherung) und alles platt machen. Dann von nem Boot Stick Windows neu installieren und man hat ruhe.

Nein, Daten auf gar keinen Fall sichern. Wenn das System kompromittiert ist, sind auch die eigenen Daten nicht mehr vertrauenswürdig. Vertrauenswürdig ist lediglich ein Backup, dass VOR dem Vierenbefall erstellt wurde. Ansonsten kommen die Viren über die gesicherten eigenen Dateien postwendent zurück.

Die Programme die du da auflistest, die sich da ohne dein Wissen installiert haben, die werden wahrscheinlich mit der Java-Installation mitgekommen sein. Einmal vergessen, irgendetwas abzutoggeln, und du hast da direkt 3 Virenscanner, 5 Systemoptimierungstools und 40 Shoppingapps installiert....

 

[valnar77]

Natürlich sollte man seine Daten sichern - sonst ist ja alles weg, falls man kein Backup gemacht hat. Idealerweise macht man das auch vom Rettungssystem aus. Wenn der integrierte Virenscanner,die Rettungs-CD und ein separates Scantool wie der McAfee Stinger z.B. nix mehr finden, dann kannst davon ausgehen dass da auch nichts "0815-Schmutziges" aus dem Netz mehr dabei ist.

 

[n8mahr]

Natürlich sollte man seine Daten sichern - sonst ist ja alles weg, falls man kein Backup gemacht hat. Idealerweise macht man das auch vom Rettungssystem aus. Wenn der integrierte Virenscanner,die Rettungs-CD und ein separates Scantool wie der McAfee Stinger z.B. nix mehr finden, dann kannst davon ausgehen dass da auch nichts "0815-Schmutziges" aus dem Netz mehr dabei ist.

DANN kann er sich das "neu Aufsetzen" aber sparen und lediglich das bestehende System mit dem empfohlenen c´t Boot-CD/Stick scannen und gut ist.

Rückspielen der alten Daten nach Virenbefall.. Das ist ja wie wenn ich nach dem Joggen Duschen gehe und danach meine alten Sportsocken wieder anziehe...

 

[Samurai76]

Ja, das mache ich auch bei Virenbefall, einmal offline scannen und ALLES entfernen lassen. Wenn Windows danach nicht mehr läuft, Pech gehabt und Reparatur~/Neuinstallation.

 

[BobbyS]

Also ich hätte gar keine Probleme damit Windows neu aufzusetzten. Dass ist das geringste Problem. Können Viren zwischen den Festplatten "springen" oder bleiben diese nur auf einer? DIe wichtigere Festplatte ist die mit meinen persönlichen Daten. C:/ ist egal. Das kann ich jederzeit neu aufsetzen

Edit: Ich habe jetzt mal mit Antimalwarebytes einen Scan durchgeführt und folgendes kam dabei raus:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 19.04.18
Scan-Zeit: 10:39
Protokolldatei: 36fa67e6-43ad-11e8-94ff-bc5ff4fc28a4.json
Administrator: Ja

-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.4790
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 16299.371)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-L4AOKKA\Semih

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 287159
Erkannte Bedrohungen: 17
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 0 Min., 56 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 6
PUP.Optional.InstallCore, HKU\S-1-5-21-4192312712-2059330361-2411239180-1001\SOFTWARE\csastats, Keine Aktion durch Benutzer, [386], [260986],1.0.4790
PUP.Optional.WinYahoo, HKU\S-1-5-21-4192312712-2059330361-2411239180-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2f23ab71-4ac6-41f2-a955-ea576e553146}, Keine Aktion durch Benutzer, [244], [182757],1.0.4790
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{40116805-08E3-4DB6-8A83-D55B3AA04419}, Keine Aktion durch Benutzer, [244], [308967],1.0.4790
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{40116805-08E3-4DB6-8A83-D55B3AA04419}, Keine Aktion durch Benutzer, [244], [308968],1.0.4790
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Yahoo! Powered lodot, Keine Aktion durch Benutzer, [244], [308968],1.0.4790
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, Keine Aktion durch Benutzer, [7458], [463412],1.0.4790

Registrierungswert: 3
PUP.Optional.WinYahoo, HKU\S-1-5-21-4192312712-2059330361-2411239180-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2f23ab71-4ac6-41f2-a955-ea576e553146}|URL, Keine Aktion durch Benutzer, [244], [182757],1.0.4790
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{40116805-08E3-4DB6-8A83-D55B3AA04419}|PATH, Keine Aktion durch Benutzer, [244], [308967],1.0.4790
Adware.DealPly.Generic, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|MARAHON, Keine Aktion durch Benutzer, [6713], [367966],1.0.4790

Registrierungsdaten: 3
PUP.Optional.WinYahoo, HKU\S-1-5-21-4192312712-2059330361-2411239180-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Keine Aktion durch Benutzer, [244], [293459],1.0.4790
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Keine Aktion durch Benutzer, [244], [293461],1.0.4790
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Keine Aktion durch Benutzer, [244], [293461],1.0.4790

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 5
PUP.Optional.WinYahoo, C:\WINDOWS\TASKS\Yahoo! Powered lodot.job, Keine Aktion durch Benutzer, [244], [308966],1.0.4790
Adware.DealPly.Generic, C:\USERS\SEMIH\APPDATA\ROAMING\GIKACEB, Keine Aktion durch Benutzer, [6713], [367966],1.0.4790
PUP.Optional.WinYahoo, C:\USERS\SEMIH\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\79NORIS5.DEFAULT\SEARCHPLUGINS\YAHOO! POWERED.XML, Keine Aktion durch Benutzer, [244], [302726],1.0.4790
Generic.Malware/Suspicious, C:\USERS\SEMIH\APPDATA\LOCAL\TEMP\{9D76A14A-B55E-D932-ED06-F11A05EE29C2}\SAFINIRA.EXE, Keine Aktion durch Benutzer, [0], [392686],1.0.4790
PUP.Optional.ByteFence, C:\USERS\SEMIH\APPDATA\LOCAL\TEMP\TMPSEC2605550\BYTEFENCE-INSTALLER_3.19.0.0.EXE, Keine Aktion durch Benutzer, [6187], [389016],1.0.4790

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

 

[Bruzla]

Theoretisch kann immer alles betroffen sein, auch Netzlaufwerke etc.

Deswegen macht man eigentlich Backups.

Aber idR sind die Rohdaten nicht betroffen weil so Setups "nur" Adware, Toolbars und sowas installieren.

Spätestens jetzt deine wichtigen Daten sichern und neu installieren, dann nochmal alles mit Malewarebytes scannen.

 

[Nilson]

Das mit den alten Daten zurück kopieren ist so eine Sache. Ein Virus wird nicht von selbst aktiv. Er muss entweder durch den Benutzer oder eine Lücke in einem anderen Programm gestartet/ausgeführt werden.
Wenn der Offlinescan der Dateien einen Virus übersieht und man dann den manuell wieder starte ist das halt blöd. Aber wenn man z.B. nur Bilder/Filme wieder zurück kopiert, ist man relativ auf der sicheren Seite.

Und ja, Viren können sich auf andere Festplatten kopieren. Aber wie gesagt, sich wo hin kopieren und sort ausgeführt werden, sind zwei verschiedene paar Schuhe.

 

[nitech]

Natürlich kann ein Virus auf andere Festplatten im laufenden System springen, einzig Festplatten die in dem Moment nicht angeschlossen sind (also extrene USB Hdds/NAS welches in dem Moment nicht zugäglich war) sind zu 100% sicher. Allerdings findet man normalerweise keine Viren in der normalen Programmliste :-) Die Programme die du aufgelistet hast wurden eben unvorsichtigerweise bei der Installation (typische Installation statt personalisiert gewählt?) mitinstalliert und sind eher die Kategorie "ADWare) auch dass sich sagen wir mal "normale" Viren in Nuterdateien (Dokumente, Bilder usw.) einnisten sind eher selten.
mfg

 

[Jesterfox]

Zumindest bei Office-Dokumenten wäre ich vorsichtig, die sollte man vor der nächsten Verwendung mindestens mit einem Scanner überprüft haben. Nicht das da irgend welche Makros ergänzt wurden...