Virus in Favoriten gefunden

Hallo !

Ich habe mich soeben aufgrund folgenden Problems angemeldet und hoffe auf Eure Hilfe! Man verzeihe mir etwaige dumme Fragen, aber in allen “tiefergehenden” Belangen des PCs bin ich nicht sehr bewandert.

Bei der gestrigen schnellen Überprüfung wurde folgende Bedrohung gefunden:

Datei:
C:\Users\NAme\Favorites\Favorites\Flüge\Olympic Airlines.url

Schweregrad:
Hoch

Status:
Bedrohung: INI:shortcut-inf(Trj)

Ich habe die Datei in den Container verschoben.

Leider kann ich euch (zunächst) nur mit diesen Infos dienen, weil selbst der “detaillierte Report” nur so aussah…(oder ich habe den wirklich detaillierten Report nicht gefunden).

Wenn ich es richtig sehe, wurde der Trojaner in meinen Favoriten gefunden. Nun habe ich diesen betroffenen Favoriten schon lange gespeichert, bisher wurde aber bei den (täglich ausgeführten) Scans keine Bedrohung gemeldet.
Ferner hat sowohl ein nur 1,5 Stunden zuvor mit avast ausgeführter Scan sowie ein ebenfalls kurz vorher durchgeführter Scan mit Malwarebytes keine Bedrohung gemeldet.

Die nach Verschieben in den Container durchgeführten Scans (avast u. Malwarebytes) zeigen keine Bedrohungen.

Ich habe nun folgende Fragen:

  • Wie ist die Bedrohung tatsächlich einzuschätzen?
  • Was muss ich jetzt noch tun? Reicht es, die Datei im Container zu löschen oder muss das System neu aufgesetzt werden? Bietet es sich an, noch weitere Virenscanner prüfen zu lassen?
  • Kann ich nun sicher sein, dass das System “sauber” ist, wenn keine Bedrohung mehr gefunden wird?
  • Oder soll ich alle MAßnahmen durchführen, die unter unter dem Forums-Topic “Infos zur Erkennung/Entfernung von Infektionen/Malware: http://forum.avast.com/index.php?topic=102616.0” genannt sind ?

Ich füge den Report des avast-Scans bei. Mehr kann ich leider wirklich nicht finden, was aber nicht heißen muss, dass nicht mehr vorhanden ist.

Über eine Nachricht würde ich mich sehr freuen!

Viele Grüße,
Antje

Ich habe eben doch noch den ausführlichen Bericht in meinen Dateien gefunden:

avast! Protokolldatei

  • Diese Protokolldatei wurde automatisch erstellt
  • Prüfungsname: Schnelle Überprüfung
  • Start: Sonntag, 1. Dezember 2013 18:00:03
  • VPS: 131201-0, 01.12.2013

C:\Users\Antje\Favorites\Favorites\Flüge\Olympic Airlines.url [L] INI:Shortcut-inf [Trj] (0)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>AVSDKList.zip|>output.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>ManualUninstallConfig.zip|>out.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>ProductReleaseNotes.zip|>ProductReleaseNotes.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200861.exe|>QATestedProducts.zip|>QATestedProducts.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>avsdklist.zip|>output.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>manualuninstallconfig.zip|>out.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>productreleasenotes.zip|>ProductReleaseNotes.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de-13.0.0.3185.exe|>qatestedproducts.zip|>QATestedProducts.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>AVSDKList.zip|>output.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>ManualUninstallConfig.zip|>out.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>ProductReleaseNotes.zip|>ProductReleaseNotes.xml [E] Archiv ist kennwortgeschützt. (42056)
C:\Users\Antje\Downloads\avira_free_antivirus_de1200855.exe|>QATestedProducts.zip|>QATestedProducts.xml [E] Archiv ist kennwortgeschützt. (42056)
Infizierte Dateien: 1
Dateien gesamt: 135103
Ordner gesamt: 36010
Gesamtgröße: 29,5 GB

  • Prüfung beendet: Sonntag, 1. Dezember 2013 19:03:29

  • Laufzeit war 1 Stunde(n), 3 Minute(n), 3 Sekunde(n)

Vielleicht kann mir jemand helfen ???

LG, Antje

Ja

Und bei Malwarebyts solltest du vorher immer aktualisieren (falls Du das nicht gemacht hast).

Hallo Antje,

bitte die Logs aus dem Link posten.
Andere Frage, hast du Avira zusätzlich zu avast! installiert?

Willkommen im Forum :slight_smile:
TerraX

Vielen Dank für Eure Rückmeldungen!

Zunächst zu Avira: Ich hatte es auf dem Rechner, bevor ich avast installiert habe. Eigentlich habe ich es deinstalliert…Mir ist allerdings nicht aufgefallen, dass es im Report noch auftaucht, aber den gucke ich mir ja auch nie so genau an :-[

Nun kommt der erste Schwung der empfohlenen Maßnahmen:

AdwCleaner:

AdwCleaner v3.014 - Bericht erstellt am 02/12/2013 um 22:57:27

Updated 01/12/2013 von Xplode

Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)

Benutzername : Antje - ESPRIMO

Gestartet von : C:\Users\Antje\Downloads\AdwCleaner-3.014.exe

Option : Suchen

***** [ Dienste ] *****

***** [ Dateien / Ordner ] *****

Datei Gefunden : C:\Users\Antje\AppData\Roaming\Mozilla\Firefox\Profiles\1v6hhwqd.default\searchplugins\Askcom.xml
Ordner Gefunden C:\Users\Antje\AppData\Local\Temp\OCS

***** [ Verknüpfungen ] *****

***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS

***** [ Browser ] *****

-\ Internet Explorer v11.0.9600.16428

Einstellung Gefunden : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE

-\ Mozilla Firefox v25.0.1 (de)

[ Datei : C:\Users\Antje\AppData\Roaming\Mozilla\Firefox\Profiles\1v6hhwqd.default\prefs.js ]


AdwCleaner[R0].txt - [1648 octets] - [02/12/2013 22:57:27]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1708 octets] ##########

Malwarebytes (wurde direkt vor dem Scan akutalisiert):

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.02.10

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 11.0.9600.16428
Antje :: ESPRIMO [Administrator]

02.12.2013 23:15:48
mbam-log-2013-12-02 (23-15-48).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199124
Laufzeit: 23 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

So, der Rest folgt …

Hallo,

bitte die Logs als Anhang posten…Danke. :slight_smile:

TerraX

Oh Entschuldigung, dann werde ich das mal versuchen…

Das OTL “rödelt” übrigens jetzt schon ewig…da stimmt was nicht; werde es gleich oder morgen noch mal probieren…

Hier also erstmal malwarebytes und AdwCleaner …

Hallo,

das passt so. Wenn die Logs alle beisammen sind, werde ich oder DJBone einen Malware-Experten kontaktieren. Aber über die Avira-Einträge werden wir uns danach noch unterhalten müssen…vielleicht geht auch noch der Malware-Experte darauf ein.
Verstehst du ein wenig Englisch?

TerraX

Hallo TerraX,

mein Englisch ist mäßig bis mittelmäßig. Aber ich verstehe besser als zu sprechen/schreiben. Bei technischen Angelegenheiten allerdings… :wink:

Hier kommt Teil 1 der Auswertungen von otl…

Teil 2 (otl.txt) scheint zu groß zu sein, ich kann es nicht abschicken; auch nicht, wenn ich, wenn ich es in einem separaten Post sende. Es hat 10,1 MB. Ist das “normal”?
Was nun :frowning: ?

Lieben Dank für die bisherige Hilfe!

Hallo,

gern geschehen. Hast du das OTL-Log als Ansi-Format abgespeichert? :wink:

TerraX

Hallo Antje, du hättest bevor du Avast installierst, erstmal den Avira Registry Cleaner: http://www.avira.com/de/download/product/avira-registrycleaner durchlaufen lassen sollen bevor Avast installiert wurde und anschliessend eine Bereinigung mit CCeaner/Registry machen sollen meiner Meinung nach :wink: Den Avira Registry Cleaner kannst du jetzt immer noch durchlaufen lassen aber pass auf was der zur Entfernung anzeigt den das Tool zeigt auch Einträge von Avast an die nicht gelöscht werden sollten/dürfen. Alternativ könntest du mal AppRemover: http://www.chip.de/downloads/AppRemover_37895134.html verwenden um damit zu checken was damit noch von Avra gefunden wird. Nun zu Malwarebytes: ich hätte damit nicht nur einen QuickScan gemacht sondern die Vollständige Überprüfung. AdwCleaner ist okay wie du es eingesetzt hast, zusätzlich zu den beiden Tools könntest du noch Junkware Removal Tool: http://www.bleepingcomputer.com/download/junkware-removal-tool/ einsetzen zur Bereinigung gegen Adware und PUP Erkennungen. Bei JRT biite das mit Administratorrechten ausführen und für die Dauer des Scans vorsorglich Avast temporär beenden/anhalten(Avast Schutzsteuerung deaktivieren).

Hallo allerseits,
tut mir leid, dass ich mich erst so spät zurückmelde, aber ich bin natürlich immer noch am Ball ;-).

gern geschehen. Hast du das OTL-Log als Ansi-Format abgespeichert? ;)

Bisher nicht, aber jetzt ;-). Trotzdem ist das OTL-Log immer noch 5 MB groß und ich kann es also nicht senden :frowning: …Habe ich vielleicht beim Suchlauf etwas falsch gemacht? Dabei habe ich die Einstellungen genau nach Vorgabe vorgenommen…:frowning:

Was kann ich da tun?

Na ja, hier auf jeden Fall schon mal das Extra-log in ANSI.

@Purzelbär: Vielen Dank auch für deine Hilfe. JRT lasse ich später auch noch durchlaufen. Jetzt fehlt erstmal noch aswMBR. Um die “avira-Reste” kümmere ich mich ganz zum Schluss. Ich muss mich erstmal Schritt für Schritt durchbeißen; bin ja ein technisches Embryo…

Bei Malwarebytes habe ich auch einen vollständigen Scan gemacht, den ich als Anlage beifüge.

So, hier ist nun auch das aswMBR-log.

Aber was mache ich nur mit dem zu großen OTL-log?

Hallo,

kannst du bitte nochmal nach Anleitung OTL durchlaufen lassen…bitte genau an die Anleitung halten. :slight_smile:
http://forum.avast.com/index.php?topic=102616.0

TerraX

Hallo TerraX,

ich habe OTL gestern noch mal durchlaufen lassen und mich genau an die Vorgaben gehalten, außer dass die Auswahlmöglichkeit “include 64bitsystem” nicht gegeben war, und bei “Modules” statt “no company name” neben “None” und “All” nur die Auswahl “use safeList” zur Verfügung stand.
Was mir aber aufgefallen ist: Während des Suchlaufs war plötzlich bei “Standard Registry” “All” angeklickt, obwohl ich mir 100% sicher bin, dass ich “Use SafeList” ausgewählt habe. Habe den Suchlauf sogar nochmal abgebrochen und neu gestartet mit der richtigen Auswahl; wieder das gleiche…

Lange Rede, kurzer Sinn: Der OTL-Log ist wieder zu groß :frowning:

Hallo Antje :slight_smile:

Ich habe essexboy (Malware Spezialist) informiert. Er wird sich deines Problems annehmen. Seine Anweisungen sind allerdings in englisch bzw. “Google translated” deutsch. Aber keine Angst, wir können dir auch da weiterhelfen.

DJBone

Please download Farbar Recovery Scan Tool and save it to your Desktop.

Note: You need to run the version compatible with your system. If you are not sure which version applies to your system download both of them and try to run them. Only one of them will run on your system, that will be the right version.

[*]Right click to run as administrator (XP users click run after receipt of Windows Security Warning - Open File). When the tool opens click Yes to disclaimer.
[*]Press Scan button.
[*]It will produce a log called FRST.txt in the same directory the tool is run from.
[*]Please attach the log back here.
[*]The first time the tool is run it generates another log (Addition.txt - also located in the same directory as FRST.exe/FRST64.exe). Please also attach that along with the FRST.txt into your reply.

@ Essexboy: Thank you for your kind support !

Enclosed you will find both logs of the FRST scan.

Danke

Download the attached fix list.txt to the same place as FRST
Run FRST and press FIX
A log will be generated could you attach that please.

Otherwise the computer looks quite clean, how is it behaving

@ essexboy: Thank you again!

Otherwise the computer looks quite clean, how is it behaving

It seems that the computer has been a little bit more slowly for the last few weeks. The virus was found by the avast scan on Dec. 3rd. Since then I have not really noted a change in the behavior of the computer.

Sorry for my bad English :-[