[SammelThread] Viren, Würmer & Trojaner

[wetterauer]

Hallo, Malwarebytes hatte heute bei einem Routinelauf einen Fund, woher auch immer:



Ich habs entfernen lassen und dann JRT und Adaware laufen lassen. Die hatten nix mehr zu meckern. Ich habe so gut wie nix dazu gefunden. Ist jetzt Alarm angesagt oder reicht das Entfernen aus der Registry? Danke euch.

@edit: Ist wohl harmlos: http://www.freefixer.com/library/file/BeSecure.exe-195013/

 

[Breaking Bones]

Heyho,
Avira hat wärend des Browsens bei mir angeschalgen:
Die Datei 'C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\a2l8qo2a.default-1456088293045\cache2\entries\1D4972C38E6E4CD6AD082AEDDDE2AD36FB453A6E'
enthält folgendes Muster 'HTML/AgentAX.A.87' [virus]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ddaf219.qua' verschoben!

googel rechere zu dem virus war ergebnislos, das avira verzeichnet lieferte auch keine weiteren informationen.
--interessant jedoch, nachdem die datei in quarantäne verschoben wurde, wurden gleich dazu DropboxNSISTools.dll Datein (mehrzahl) unter quarantäne gesetzt.

Lasse grade noch einen kompletten Systemscan via Avira laufen, und dannach das selbe mit Malwarebytes free.

hier die FRST.txt

[Edit : Daten nicht mehr relevant ]

Ergänzung (1. März 2016)

Gesammter System Scan Von Avira und Malwarebytes liefen ereignislos ab, glück im unglück gehabt?
Danke für die hilfe und wenn die Addition.txt noch benötigt wird kann ich die gerne auch noch hinzufügen, heute nacht hatte sie das zeichenlimit gesprengt. ^^

 

[IRON67]

Auch mit dem Log kann dir niemand definitiv grünes Licht geben. Ich hoffe, das ist dir klar. Der Fund im Browserchache spricht für eine frühe Entdeckung. Allerdings klafft in deinem System dank stark veraltetem Java-Plugin (8 U 45 - aktuell wäre 8 U 73/74) eine unnötige Lücke für Drive-by-Infektionen über den bloßen Aufruf entsprechend präparierter Webseiten.

 

[Breaking Bones]

lücke wird sofort gestopft habe zusätzlich wieder noscript installiert,... hatte das versäumt als ich FF vor ner woche neu installiert hatte >,<
gibts dinge die ich noch tun kann um zusätzliche sicherheiten / kontrollen durchzuführen ?
vielen dank für die antwort iron67, auch wenn sie leider nicht sehr beruhigend ist

Edit:
ich würde gerne nochmal nen kompletten system scan mit nem Virus scanner von CD machen während das system im abgesichertem modus ist, sollte ich die CD mit einem "sauberen" rechner brennen oder reicht es über meinen momentanen zu tun.

 

[IRON67]

Wenn Zweifel an der Vertrauenswürdigkeit des Systems bestehen, ist es natürlich nicht ratsam, mit ebendiesem eine CD zu brennen, mit der es gescannt werden soll.

 

[Breaking Bones]

das machts natürlich komplizierter, darüber hinnaus noch etwas das ich tun könnte um zumidnest ein gefühl der sicherheit wieder zu kreigen,... u.A alle pw's ändern sobald der scan abgeschlossen ist.

"Security is a state of mind." kommt mir grade immer wieder in den kopf und merke wie schlimm das grade die Wirklichkeit für mich ist xD

 

[IRON67]

Ja, Bruce Schneier lässt grüßen. Du kannst natürlich mit allerlei Scannern scannen und wenn die sich dann demokratisch per Mehrheitsbeschluss positiv in deinem Sinne geäußert haben, hast du dein gewünschtes Gefühl. Ob das allerdings die Realität widerspiegelt, ist eine ganz andere Frage. Das Problem ist hier, dass man als Außenstehender zu wenig über das System und seine Konfiguration weiß. Wäre mir das passiert, müsste ich mir deutlich weniger Sorgen machen, z.B. weil es bei mir gar kein Java gibt, dessen Plugin ggf. durch Malware missbraucht werden könnte.

 

[wetterauer]

Hallo, ich benötige mal eure Hilfe bezüglich einer möglichen Infektion. Heute ist mir beim stöbern der Ordner boost_interprocess aufgefallen. Er war leer. Im Netz wird auf einen Kelihos-Schädling verwiesen. Ich habe die letzten Tage auffällig viele Mails mit schädlichen Anhängen bekommen, die Avast aber sofort angemahnt hat. Ich habe keine davon geöffnet und alle gelöscht.

Folgendes habe ich gemacht:

Scan mit Adaware, Malwarebytes, JRT und Trojanremover. Alle negativ!
In der Registry nach Kelihos gesucht, auch negativ. Im Task-Manager sind keine unbekannten Prozesse aktiv.

Es existieren auch Fundstellen, die den Ordner als Überbleibsel von harmlosen Programmen definieren. Bei vielen Infizierten waren auch Dateien darin enthalten.

Könnte es ein Überbleibsel der Spammails sein? Sollte ich lieber neu aufsetzen?

Danke euch schon mal.

 

[IRON67]

Tja, dieser Ordner kann sowohl ein harmloses als auch bedenkliches Indiz sein, wie du selbst schon herausgefunden hast. Welche Variante es bei dir ist, kann man ohne eine wirklich sehr eingehende Untersuchung deines Systems nicht mal ansatzweise sagen. Ein simpler Scan mit ein paar AV-Tools ist so aussagefähig wie dein Kaffeesatz.

Du verrätst ja nicht mal, welche Eigenschaften hinsichtlich des Erstellungsdatums des Ordners dir angezeigt werden.

 

[wetterauer]

Sorry, das hatte ich noch nicht so oft. Der Ordner war vom 18.01.2016. Mehr habe ich nicht mehr, da ich ihn gelöscht habe.

 

[IRON67]

Dann bleibt dir nur noch, in deiner Liste installierter Programme nachzuschauen, ob da eines an diesem Tag oder am Tag davor installiert wurde und zu hoffen, dass es dann an diesem legitimen Programm lag.

 

[wetterauer]

In dem Zeitraum habe ich nichts in der Liste. Das macht es natürlich nicht besser. Ich habe mal nach anderen Dateien gesucht in dem Zeitraum, da war nix auffälliges dabei. Danke Dir erstmal.

@Entwarnung:

Ich habe nochmal in einer Backupdatei geschaut, der Ordner wurde am 18.01.2015 erstellt! Daraufhin habe ich nach Dateien gesucht. Ich hatte da Navigonfresh installiert. Also habe ich das nocmal installiert und siehe da, der leere Ordner war wieder da. Scheint also reproduzierbar und ist in meinem Fall wohl harmlos. Aber wieder was gelernt ;-)

 

[DerToast]

Hallo zusammen

Ein Bekannter von mir hat sich bei mir gemledet, dass sein Internet so langsam geht (ich hab ihm den PC gebaut). Da er via WLAN ins Netz geht, habe ich zuerst seine Verbindung geprüft und festgestellt, dass das WLAN gute Signalstärke hat, er aber über ein VPN Netzwerk verbunden ist. Das Netzwerk heisst "Intenret" (kein Vertipper!) und wenn man es deaktiviert klappt wieder alles 1a.

Jetzt muss ich entscheiden lösche ich nur das VPN wieder und fertig oder gibt es einen Virus, Trojaner, Malware die sowas installieren (und die ich dann auch noch entfernen müsste)? Da ich bei google dazu nichts gefunden habe, ausser einer Malware die aber andere Symptome zeigt, wollte ich mal hier nachfragen, ob jemand von euch schonmal sowas gehört hat oder eine andere Idee hat woher das sein könnte?
Ich kann ausschliessen, dass einer der regulären PC Nutzer das VPN angelegt hat, da die nichtmal wussten das es sowas gibt

Danke und Gruss

 

[Cin-Hoo]

Hallo!

Vor über einer Stunde besuchte ich das bplaced.net Forum, um zu schauen, ob es schon Informationen zur Let's Encrypt-Implementierung gibt. Danach schaute ich mich dort mal aus Spaß noch etwas um und ging aus reiner Neugierde, worum es da wohl gehen mag, in diesen Thread >>HIER<<. Dort kam dann nach ein paar Sekunden die avast!-Meldung Bedrohung erkannt hoch. Da ich diese erst ganz verwundert anschaute, verpasste ich es, alle Einzelmeldungen durchzublättern, aber dafür gibt es ja glücklicherweise die Protokolldateien.

Hier der entsprechende Ausschnitt aus dem WebShield-Protokoll:

*
* Avast Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Dienstag, 17. Mai 2016 16:55:27
*

17.05.2016 17:21:04	https://www.bplaced.net/gfx/bplaced.png [L] URL:Mal (0)
17.05.2016 17:21:04	https://www.bplaced.net/gfx/bplaced.png [L] URL:Mal (0)
17.05.2016 17:21:04	https://www.bplaced.net/gfx/bplaced.png [L] URL:Mal (0)
17.05.2016 17:21:04	https://www.bplaced.net/gfx/bplaced.png [L] URL:Mal (0)
17.05.2016 17:21:04	https://www.bplaced.net/gfx/bplaced.png [L] URL:Mal (0)
17.05.2016 17:21:04	https://www.bplaced.net/gfx/bplaced.png [L] URL:Mal (0)

*
* Schutz beendet: Dienstag, 17. Mai 2016 17:22:57
* Laufzeit war 27 Minute(n), 27 Sekunde(n)
*

Als ich den Thread eben noch mal betrat, um die genaue URL kopieren zu können, kam wieder die gleiche avast!-Meldung. Beide verwiesen als Ursprungsprozess logischerweise auf den Dateipfad der Mozilla Firefox-Hauptanwendung.

Verwendete Software:
Microsoft Windows Sie7en Ultimate 64-bit (Stand: Patchday Mai 2016)
Mozilla Firefox 46.0.1 in der nativen 64-bit-Version
avast! Free Antivirus in der aktuellsten Programmversion mit Virendefinitionsdatenbank 20160517-2

Kann das wirklich eine bösartige Datei sein? Muss ich mir deshalb Sorgen, um die Sicherheit meines Systems machen? Kurz nach der Meldung musste ich vom PC weg und fuhr ihn deswegen herunter (die Zeit, zu der es im Protokoll heißt Schutz beendet, passt also).

Gruß von Cin-Hoo

 

[purzelbär]

Kann das wirklich eine bösartige Datei sein? Muss ich mir deshalb Sorgen, um die Sicherheit meines Systems machen? Kurz nach der Meldung musste ich vom PC weg und fuhr ihn deswegen herunter (die Zeit, zu der es im Protokoll heißt Schutz beendet, passt also).

Sorgen musst du dir da keine machen weil ja der Avast Webschutz in dem Moment geschützt hatob es ein False Positive ist oder ob da wirklich etwas infiziert ist vor das der Avast Webschutz schützt weiß ich nicht. Kannst das ja mal in einem der Avast Foren vortragen falls du dort angemeldet bist.

 

[Republic21]

Hey Leute, jedes mal wenn ich auf Gamestar.de gehe (und auch nur da), wird automatisch ein Download einer einzigen Datei mit dem Namen "Download" gestartet. Habe mal javascript auf der Seite deaktiviert und jetzt wird nix mehr geladen. Norton, Malwarbytes etc. melden bei der Datei nichts. Hat einer von euch eine ahnung was das sein kann?

 

[Kronos60]

Also ich habe mal die Seite aufgerufen bei mir passiert gar nichts.

 

[Invers]

Hey,

ich benutzte Avast! Jetzt habe ich schon länger eine Datei im Container. Ich habe sie dort erneut prüfen lassen und es erscheint "Kein Virus".

Was soll ich jetzt tun?

Datei s. Bild



Grüße

 

[purzelbär]

Die Datei im Container endgültig löschen, das war eh eine Datei die bereits in deinem Papierkorb war als Avast die als Infizierung erkannte und in den Container verschob.

 

[Invers]

Die Datei im Container endgültig löschen, das war eh eine Datei die bereits in deinem Papierkorb war als Avast die als Infizierung erkannte und in den Container verschob.

Viele dank!