ComputerBase Menü
Aktuelles

Einmal nicht aufgepasst und schon Virus\Trojaner? Weiteres vorgehen?

S

SB94

Commander
Registriert
Juni 2009
Beiträge
2.050
Hey,

nachdem ich auf diese News bei Giga gestoßen bin http://www.giga.de/spiele/theme-hospital/ und wollte dann das Spiel downloaden. Also klickte ich mich durch und landete am Schluss auf dieser Seite h**p://www.solidfiles.com/d/3ea543243d/Theme-Hospital-Full-Win-7.zip dort war ich so blöd und downloadete unter dem Button „Download“ eine *.exe, anstatt unter „Direct download link“ direkt die Zip. Ich führte die *.exe aus, in der Annahme, dass es sich um einen Downloader wie der von Chip handelt. Da ich da nach den direkt Link sah, brach ich ab, wobei allerdings weiterhin die *.exe im Taskmanager ausgeführt wurde, auch tauchte unten in der Ecke ein Downloadfenster auf, welches ich nicht direkt schließen konnte, sondern stattdessen die Datei „s5805.exe“ Im Taskmanager beenden musste.


Da mir das alles suspekt vorkam überprüfte ich die heruntergeladene exe mit Virustotal https://www.virustotal.com/de/file/...aadb873713bfd8a403b5d0ad/analysis/1420656670/

Daraufhin löschte ich diese Datei.

Ich downloadete Malewarebytes und ließ einen „Threat Scan“ durchführen:
Code: 
Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 07.01.2015
Scan Time: 19:58:46
Logfile: virus.txt
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2015.01.07.12
Rootkit Database: v2015.01.07.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 8.1
CPU: x64
File System: NTFS
User: S*****

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 376755
Time Elapsed: 11 min, 58 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 1
PUP.Optional.Softonic.A, HKU\S-1-5-21-1131073044-2630394251-1894250159-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Softonic, , [d9bf3eb63e4b270fb5d9145636cd12ee], 

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 1
PUP.Optional.Delimax, C:\Users\S*****\AppData\Local\Temp\n5805\s5805.exe, , [c4d4e90b2e5b41f5d1af50a838cc57a9], 

Physical Sectors: 0
(No malicious items detected)


(end)

Ich hab die Funde von Malewarebytes in die Quarantaine verschieben lassen.



Wie soll ich jetzt vorgehen? Ist das bereinigbar, falscher Alarm oder sollte ich gleich Windows neu aufsetzen?

Ich danke euch für eure Hilfe.

mfg
sb94
 
Zuletzt bearbeitet:
Unter Registery Keys und Files steht doch was? Zudem sind in dem Virustotal Scan ja viele Ergebnisse positiv ausgefallen.

Ich hab wenig Ahnung davon.
 
Die .exe ist vermutlich ein Downloader, der u.a. Adware/Malware/Shareware etc. mitinstalliert, sofern du dies zulässt. Unten drunter steht "Direct Download Link", über den du die .zip erhälst. Hab es mir auch geladen, werde mal reinsehen in den Oldie ^^ Sind nur 37.33 MB :)
 
Ich nehme mal an du hast kein zeitnahes Systembackup sonst wäre das mein Rat;)Bereinige mal dein System mit CCleaner so das temp Dateien gelöscht werden(schau auch nach unter C/Users/Benutzername/AppData/Local/Temp und überprüfe dein System abermals mit Malwarebytes und danach zur Kontrolle mit AdwCleaner und Emsisoft Emergency Kit Detail Scan(findest du beide in meiner Signatur). Plagen dich dann immer noch zweifel, überprüf das System mit einer Antivirus Live CD oder wenn dir der ganze Aufwand zu viel ist, mach eine Datensicherung dir wichtiger Daten und setz Windows neu auf. Ist das fertig(entweder Bereinigung oder Windows neu aufsetzen)und du hast eine USB Festplatte, dann fang damit an Backups zu machen mit dem Ziellaufwerk für die Backups die USB Festplatte. Entweder von der wichtigen Systempartition C oder gleich von der gesamten Festplatte. Dafür(für die Backups)kannst du eines der folgenden Freeware Programme nehmen: Paragon Backup & Rcovery Free 2014, Aomei Data Backupper Free oder Macrium Reflect Free. Wichtig ist das du von dem dann genommenen Programm eine Boot/Rettungs CD bzw USB Stick erstellst.
 
Zuletzt bearbeitet:
Es ist, wie ich es mir gedacht habe. Das Ding wollte die .zip laden und gleichzeitig Optimizer Pro, Interstat, GamesDesktop & Super Optimizer auf meinem PC installieren -.- Lad die .zip direkt, dann kann fast nichts schiefgehen.
 
Es ist, wie ich es mir gedacht habe. Das Ding wollte die .zip laden und gleichzeitig Optimizer Pro, Interstat, GamesDesktop & Super Optimizer auf meinem PC installieren -
Zum Vergrößern anklicken....
Aha also mal wieder ein "verseuchter" Installer der Adware und anderes Zeugs mitinstalliert wenn man nicht aufpasst:mad: Okay SB 94 dann bereinige nacheinander dein System mit AdwCleaner, JRT und mit Emsisoft Emergency Kit, Malwarebytes hattest du ja schon durchlaufen lassen.
 
Wird gemacht.

Also meint ihr, dass es kein Problem ist, dass System so zukünftig zu verwende, auch für sensible Dinge?
 
Ich würde sagen nach der Bereinigung ja weil es sich hier wohl "nur" um Adware bzw PUP gehandelt hat. Befolge aber diesen Ratschlag:
Ist das fertig(entweder Bereinigung oder Windows neu aufsetzen)und du hast eine USB Festplatte, dann fang damit an Backups zu machen mit dem Ziellaufwerk für die Backups die USB Festplatte. Entweder von der wichtigen Systempartition C oder gleich von der gesamten Festplatte. Dafür(für die Backups)kannst du eines der folgenden Freeware Programme nehmen: Paragon Backup & Recovery Free 2014, Aomei Data Backupper Free oder Macrium Reflect Free. Wichtig ist das du von dem dann genommenen Programm eine Boot/Rettungs CD bzw USB Stick erstellst.
Zum Vergrößern anklicken....
;)
 
OK, ich setze Windows neu auf. Sonst habe ich kein ruhiges Gefühl, da ich auch Online Banking mit dem PC mache...

Ist es sicher, wenn man die Sachen die man sichern will einfach auf eine externe Festplatte verschiebt, oder besteht dann die Gefahr, dass sich evtl. Schadsoftware auch auf die Festplatte und später auf das neu aufgesetzte Windows kopiert?
 
Wenn das System ein mal infiziert ist, dann hilft meist nur noch die Neuinstallation. Man kann nie wissen, was nicht noch alles am System gemacht wurde.
 
Ist es sicher, wenn man die Sachen die man sichern will einfach auf eine externe Festplatte verschiebt, oder besteht dann die Gefahr, dass sich evtl. Schadsoftware auch auf die Festplatte und später auf das neu aufgesetzte Windows kopiert?
Zum Vergrößern anklicken....
Überprüf die sachen mit 2 verschiedenen OnDemand Scannern und wenn die als clean angezeigt werden, verwende sie wieder auf der neuen Windows Installation.
Wenn das System ein mal infiziert ist, dann hilft meist nur noch die Neuinstallation. Man kann nie wissen, was nicht noch alles am System gemacht wurde.
Zum Vergrößern anklicken....
Es sei denn.......man hätte vorgesorgt in Form von regelmässigen Systembackups, dann müsste man Windows nicht neu aufspielen.
 
Wenn du die Datei nur heruntergeladen hast und nicht das Setup mit den ganzen Zusatzztools abgeschloßen hast, ohne diese abzuwählen, dann dürfte nichts passiert sein. Lies dir bitte die Beschreibungen auf VirusTotal noch mal genauer durch:

-
not-a-virus
Zum Vergrößern anklicken....
-
BundleApp
Zum Vergrößern anklicken....
-
Downware
Zum Vergrößern anklicken....

Wenn du sicher fühlen möchtest, setz halt neu auf oder kontaktier emlyn d. und poste deine Frst Logs noch mit dazu:
https://www.computerbase.de/forum/threads/erste-h-lfe-bei-malwareverdacht-infektion-vor-dem-posten-beachten.741157/

edit: temp-Dateien kannst du sowieso immer löschen, z.B. mit der Datenträgerbereinigung (http://windows.microsoft.com/de-de/windows/delete-files-using-disk-cleanup) und den Registry Eintrag kann man entfernen, muss man aber nicht.
 
Zuletzt bearbeitet:
Randy, ich finde es auch übertrieben deswegen Windows neu aufsetzen zu wollen. Aber wenn er sich dann besser fühlt und es sich von Chibi88 so bestätigen lässt, dann soll er es halt machen und Windows neu aufsetzen.
 
Windows über USB Drive an einem 3.0 Port ist innerhalb von 10 Minuten installiert (SSD).

Das schlimmste sind halt die Updates, die man machen muss. Die verschlingen die meiste Zeit.
 
Chibi88 schrieb:
Windows über USB Drive an einem 3.0 Port ist innerhalb von 10 Minuten installiert (SSD).

Das schlimmste sind halt die Updates, die man machen muss. Die verschlingen die meiste Zeit.
Zum Vergrößern anklicken....

Und Programme installieren und alles einrichten, etc.
 
Also wenn man die materie mal kennt und weiss wo der unterschied zwischen ad , malware und viren, trojanern , rootkits ist - geht es einen wenns mal passiert natürlich nicht so pralle. ich stimme der meinung überein das man wegen adware (unerwünschte programme) sein windows nicht neu aufsetzen muss. meist reichen hier 2,3 klicks bei google um zu wissen was man genau hat und ob es potenzielle echte gefahren beinhaltet. natürlich spricht auch nichts gegen eine neu installation am ende ist das eine frage des zeitaufwandes

merke dir dennoch für die zukunft das "downloader" aller art die als direkt download der gewünschten datei getarnt sind zu 95% adware enthalten - die nicht immer schlimm sein muss es aber sein kann. bei solchen dingen reicht im normal fall eine normale bereinigung des systems und eine überprüfung durch einen adware scanner aus

bei trojanern sieht das anders aus hier empfielt sich in 99% aller fälle eine neuinstallation des systems und eine genaue überprüfung etwaiger datein die übernommen werden sollen , gerade in temp. ordnern muss hier unbedigingt aller gelöscht und bereinigt werden bevor daten in das neue system übernommen werden.

das worst case ist meist das sogennante rootkit. diese verstecken sich dermaßen gut das eine manuelle bereinigung mittels scannern ect unmöglich sicher zu bewerkstelligen ist, solltest du also je einen virus befund haben der mit rootkit gekennzeichnet ist muss das system dringenst und schnell neu aufgesetzt werden um sensible daten zu schützen , in dem fall würde ich auch sofort die gesammte internetverbindung und die verbindung zum netzwerk unterbrechen bis neu installiert wurde

greetz
 
das log könnt ihr schon lesen oder ?
C:\Users\S*****\AppData\Local\Temp\n5805\s5805.exe löschen
und wenn du mit regedit klar kommst bzw du da kein neuland betrittst:
HKU\S-1-5-21-1131073044-2630394251-1894250159-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Softonic löschen.
HKU müsste für HKEY_USERS stehen

ansonsten nochmal die autostart pfade überprüfen. am einfachsten per msconfig, am besten mit externen tools - sysinternal suite z.b.
ah obwohl - ist win8, glaub da konnte man autostart's direkt im taskmanager einsehen - hab leider noch win7 :-/
 
@Chibi88

Die Zeit kann man aber gewaltig abkürzen wenn man sich ein Updatepack holt, dann ist auch so was innerhalb kurzer Zeit erledigt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz