Trojaner in Bilddatei

[purzelbär]

subvision, es ist deine Entscheidung ob du dein System lassen willst oder nicht aber ich wüde zumindest alle Passwörter ändern.
Umschwenk: auch ich mach mal Fehler und passe nicht auf: ich hab vorhin CR Downloader for wonderboy.exe runtergeladen und ausgeführt und einen Moment lang nicht aufgepasst mit dem Installer und dann war die Adware Sweet Page mitinstalliert Hab jetzt das System nacheinander mit AdwCleaner, JRT und Malwarebytes Bedrohungssuchlauf überprüft und bereinigt und die Erkenntnis erlangt das es nicht verkehrt ist das System mit mehreren Adware und PUP Scannern zu überprüfen:

# AdwCleaner v4.203 - Bericht erstellt 10/05/2015 um 12:39:11
# Aktualisiert 30/04/2015 von Xplode
# Datenbank : 2015-05-09.1 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (x64)
# Benutzername :
# Gestarted von : E:\adwcleaner_4.203(1).exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\\AppData\Roaming\sweet-page
Ordner Gelöscht : C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\w12a14e1.default\Extensions\sweetsearch@gmail.com
Datei Gelöscht : C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\w12a14e1.default\searchplugins\sweet-page.xml

***** [ Geplante Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [sweetsearch@gmail.com]
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gelöscht : HKLM\SOFTWARE\sweet-pageSoftware
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall

***** [ Internetbrowser ] *****

-\\ Internet Explorer v11.0.9600.17728

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Einstellung Wiederhergestellt : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v37.0.2 (x86 de)

[w12a14e1.default\prefs.js] - Zeile Gelöscht : user_pref("browser.search.searchengine.iconURL", "hxxp://www.sweet-page.com/favicon.ico");
[w12a14e1.default\prefs.js] - Zeile Gelöscht : user_pref("browser.search.searchengine.url", "hxxp://www.sweet-page.com/web/?type=ds&ts=1431252453&z=36dc33d93e4d67ebc9b8aaag1zacagfoaw1o1z0wbg&from=cor&uid=395049983_266035_4467B023&q={searchTerms}")[...]
[w12a14e1.default\prefs.js] - Zeile Gelöscht : user_pref("browser.startup.homepage", "hxxp://www.sweet-page.com/?type=hp&ts=1431252453&z=36dc33d93e4d67ebc9b8aaag1zacagfoaw1o1z0wbg&from=cor&uid=395049983_266035_4467B023");

*************************

AdwCleaner[R11].txt - [1291 Bytes] - [07/05/2015 22:32:41]
AdwCleaner[R12].txt - [4588 Bytes] - [10/05/2015 12:37:35]
AdwCleaner[S3].txt - [1376 Bytes] - [07/05/2015 22:33:43]
AdwCleaner[S4].txt - [3056 Bytes] - [10/05/2015 12:39:11]

########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [3115 Bytes] ##########

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.7.0 (05.09.2015:1)
OS: Windows 7 Professional x64
Ran by on 10.05.2015 at 12:42:00,02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted the following from C:\Users\\AppData\Roaming\mozilla\firefox\profiles\w12a14e1.default\prefs.js

user_pref(browser.search.searchengine.alias, sweet-page);
user_pref(browser.search.searchengine.desc, this is my first firefox searchEngine);
user_pref(browser.search.searchengine.name, sweet-page);
user_pref(browser.search.searchengine.ptid, cor);
user_pref(browser.search.searchengine.uid, 395049983_266035_4467B023);
user_pref(browser.search.selectedEngine, sweet-page);





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10.05.2015 at 12:51:30,78
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlauf Datum: 10.05.2015
Suchlauf-Zeit: 12:54:07
Logdatei: Malwarebytes Scan.txt
Administrator: Ja

Version: 2.01.6.1022
Malware Datenbank: v2015.05.10.02
Rootkit Datenbank: v2015.04.21.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer:

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 349865
Verstrichene Zeit: 16 Min, 47 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente gefunden)

Module: 0
(Keine schädliche Elemente gefunden)

Registrierungsschlüssel: 1
PUP.Optional.FFPluginHp.A, HKLM\SOFTWARE\WOW6432NODE\FFPluginHp, , [02f8761b1179e353645c765951b27b85],

Registrierungswerte: 0
(Keine schädliche Elemente gefunden)

Registrierungsdaten: 0
(Keine schädliche Elemente gefunden)

Ordner: 0
(Keine schädliche Elemente gefunden)

Dateien: 0
(Keine schädliche Elemente gefunden)

Physische Sektoren: 0
(Keine schädliche Elemente gefunden)


(end)

@IRON67
Soll ich lieber trotzdem ein Backup von C einspielen?

 

[The_Void]

@purzelbär: warum hast du in malwarebytes antimalware die suche nach rootkits deaktiviert? rootkits sind so ziemlich das schlimmste, was einem passieren kann und du solltest auch danach scannen lassen. nur mal so, als tip. das kannst du in den einstellungen vom MBAM regeln.

 

[purzelbär]

Weiß ich subvisionaber bei der Bereinigung von Adware brauch ich keinen Rootkit Scan. Kannst dich ja mal über Sweet Page informieren ob das ein Rotkit "platzieren" würde oder nicht: https://www.google.de/search?q=Sweet+Page&gws_rd=cr&ei=10FPVcLTMYaxsAHH-oHQBw
Bevor ich es vergesse subvision: Mein derzeitiges AV AVG oder auch Avast Free das eigentlich mein Favorit ist, suchen standardmäßig mit den Full Scans auch nach Rootkits. Beispiel AVG:

 

[SEL33]

...da war nur der vorfall mit dem vermeintlichen trojaner im bild. mehr nicht. warum also sollte ich mein system neu aufsetzen,....

Ich nehme mal an,das der Webschutz von Avast schon im Vorfeld angeschlagen hatte,so das der vermeintliche
Trojaner gar nicht erst auf die Festplatte kam.
Wenn dem so wäre,wie ich es beschrieben habe müsste das System nicht neu aufgesetzt werden.

 

[IRON67]

... ich glaube aber nicht, daß ich iwie infiziert bin. der rechner reagiert völlig normal und es gibt keinerlei anzeichen für eine infektion.

Was du GLAUBST, ist - sei mir bitte als Übermittler schlechter Nachrichten nicht böse - völlig irrelevant. Wenn du das nicht lernen oder begreifen willst, ist dir nicht zu helfen. Ein Minimum an Lernbereitschaft muss da sein, sonst wird aus einem ONU nie ein halbwegs versierter Nutzer.

Auch ein hochgradig infizierter Rechner reagiert völlig normal. Warum auch nicht? Nur eine Minderheit der aktuellen Malware will absichtlich auffallen, indem sie den PC sperrt, Dokumente verschlüsselt und den Nutzer erpresst. Der Rest gibt sich dank jahrzehntelanger Übung erfolgreich Mühe, völlig unbemerkt zu arbeiten.
Ich hab schon Rechner analysieren dürfen, die VIER JAHRE LANG (!!!) mit einem Rootkit infiziert waren. Aufgefallen ist das erst durch einen Zufall.
Es geht hier nicht nur um den einen Vorfall mit der Bilddatei. Es geht darum, dass aus deinen Antworten eine gefährliche Naivität spricht, die dir - wenn nicht dieses Mal, dann aber vielleicht morgen schon - zum Verhängnis werden wird, wenn du nicht vorbereitet bist.

...ich hab vorhin CR Downloader for wonderboy.exe runtergeladen und ausgeführt und einen Moment lang nicht aufgepasst mit dem Installer und dann war die Adware Sweet Page mitinstalliert...@IRON67 Soll ich lieber trotzdem ein Backup von C einspielen?

Ich hab so den Eindruck, dass du mich provozieren willst. Die beiden Fälle sind nicht wirklich vergleichbar und so ganz glaube ich auch nicht, dass dir das versehentlich passierte.

 

[purzelbär]

Ich hab so den Eindruck, dass du mich provozieren willst. Die beiden Fälle sind nicht wirklich vergleichbar und so ganz glaube ich auch nicht, dass dir das versehentlich passierte.

Nein ich will dich nicht provuzieren und ob du es glaubst oder nicht, es war wirklich ein Versehen das ich mit dem Installer Sweet Page mitinstalliert hatte. Hintergrund der Geschichte: es gibt einen Emulator mekaw073 für Windows mit dem man ROM'swie zum Beispiel Wonderboy von Sega am Windows PC spielen kann und meine Frau wollte das, der Emulator war auch schon auf ihrem System drauf aber besagte ROM fehlte noch und ich suchte danach und wollte die mir zuerst auf meinem PC anschauen. Den Rest kennst du ja, hab ich ja schon geschrieben.

 

[IRON67]

Nein ich will dich nicht provuzieren und ob du es glaubst oder nicht, es war wirklich ein Versehen ...

Na schön, will ichs mal glauben. Aber wie schon erwähnt, kann man die Fälle nicht vergleichen. Vom Fragesteller kam keinerlei konkrete Info dazu, welche genaue Webseite es war, was genau das AV meldete, während du sicherlich die konkrete Downloadquelle benennen könntest, wenn ich dich frage und ja auch mehrere aussagekräftige Logs gepostet hast.

Daher nein, ich sehe keinen Grund, hier ein Backup einzuspielen.

@subvision:

Für die Zukunft: Je weniger ein Ratgeber weiß, was bei dir wirklich passiert ist, desto eher ist das Neuaufsetzen zu empfehlen. Wenn kein Ratgeber nachfragt und du selbst keinerlei Infos lieferst, die erfahrenen Nutzern als Indizien für eine Entwarnung dienen könnten (oder auch fürs Gegenteil), dann muss der Rat eben allgemeingültiger und vorsichtiger ausfallen. Lern was draus!

 

[purzelbär]

Na schön, will ichs mal glauben. Aber wie schon erwähnt, kann man die Fälle nicht vergleichen. Vom Fragesteller kam keinerlei konkrete Info dazu, welche genaue Webseite es war, was genau das AV meldete, während du sicherlich die konkrete Downloadquelle benennen könntest, wenn ich dich frage und ja auch mehrere aussagekräftige Logs gepostet hast.

Daher nein, ich sehe keinen Grund, hier ein Backup einzuspielen.

Ich will mal ehrlich zu dir seinich spielte nicht mit den Gedanken nach der Bereinigung mit den 3 Scannern ein Backup einzuspielen. Und wie man an den Logfiles sieht, sollte man sich bei so etwas nicht immer nur auf AdwCleaner verlassen was ich ja eigentlich auch immer sage in Foren. Falls du den von mir gesagten Downloader sehen willst, den fändest du hier: http://coolrom.com/roms/genesis/6410/Wonder_Boy_in_Monster_World.php unter den Button Jetzt herunterladen.

 

[IRON67]

Ich will mal ehrlich zu dir seinich spielte nicht mit den Gedanken nach der Bereinigung mit den 3 Scannern ein Backup einzuspielen. ..

Also wolltest du mich doch provozieren. Nu ja, du hast deine Antwort bekommen und solltest zufrieden sein.

Und nur mal so ... wer vorbeugt ...

 

[The_Void]

mag ja sein, daß ich den eindruck eines unbedarften users gemacht habe, der keine ahnung hat. sorry, aber ich habe den vorschlag, neu zu installieren, nur weil av nen trojaner in ner bilddatei gefunden hat, iwie als mobbing verstanden, nach dem motto "lassen wir den idioten mal sein OS neu installieren". hab drüber nachgedacht und bin zum schluß gekommen, daß ich zu wenig infos über meine expertise geliefert habe und der vorschlag bei virusbefall nur "neu installieren" lauten kann. aber wegen einem erfolgreich abgewehrten trojaner in einer bilddatei, der erstens über die bildersuche (ohne die website) aufgerufen wurde und zweitens, wahrscheinlich ein fehlalarm war, bin ich zu dem entschluß gekommen, nicht neu zu installieren, aber dafür ein backup der windows partition zu machen.

trotz allem, bedanke ich mich und sei es nur für die gute idee, ein image der partition zu verwenden. danke an alle.

 

[purzelbär]

subvision, das ist schon so okay bei dir so weit ich das einschätzen kann, zumal ja auch der Avast Webschutz bei dir reagierte.
Nun noch abscchliessend in eigener Sache das Ergebnis von EEK und AVG Antivirus Free:

Emsisoft Emergency Kit - Version 9.0
Letztes Update: 10.05.2015 13:09:55
Benutzerkonto:

Scan-Einstellungen:

Scan Methode: Detail-Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\

PUPs-Erkennung: An
Archiv-Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan-Beginn: 10.05.2015 13:55:43
Value: HKEY_USERS\S-1-5-21-3815826491-2210916249-38538089-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR gefunden: Setting.DisableTaskMgr (A)
Value: HKEY_USERS\S-1-5-21-3815826491-2210916249-38538089-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS gefunden: Setting.DisableRegistryTools (A)
C:\AdwCleaner\Quarantine\C\Users\\AppData\Roaming\sweet-page\UninstallManager.exe.vir gefunden: Adware.Agent.POH (B)
C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FRCBS7S8\1[1].zip -> UninstallManager.exe gefunden: Adware.Agent.POH (B)
E:\Unlocker1.9.2.exe gefunden: Application.Win32.InstallTool (A)

Gescannt 428247
Gefunden 5

Scan-Ende: 10.05.2015 15:09:08
Scan-Zeit: 1:13:25

Die 2 Funde in der Registry die übrigens ohne Gefahrenstufe gezeigt wurden, kenne ich schon die zeigt EEK immer wenn vorher JRT ausgeführt wurde. AVG fand schliesslich nur noch im Papierkorb etwas das ich unter E gelöscht hatte:

Mir ist aufgefallen das AVG zumindest OnDemand eine bessere Adware Erkennung zu haben scheint als das von mir eigentlich favorisierte Avast Free.