Einen schönen Sonntag-Mittag allerseits,

ich habe vor kurzem wieder den Eset-Onlinescanner über mein System drübergallopieren lassen, wobei er anscheinend eine Variante von oben genannter Adware gefunden hat:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\xxxxxx\AppData\Local\Temp\is-QLCVP.tmp\prsetup.exe	Variante von Win32/Adware.Agent.NOH Anwendung
         

MalwareBytes Anti-Malware

Code: Alles auswählenAufklappen

ATTFilter

www.malwarebytes.org

Suchlaufdatum: 14.11.2015
Suchlaufzeit: 13:08
Protokolldatei: 2015_11_14_scan.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2015.11.14.02
Rootkit-Datenbank: v2015.11.13.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Promor

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 339139
Abgelaufene Zeit: 40 Min., 55 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

und das EmsisoftEmergency-Kit

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Emergency Kit - Version 10.0
Letztes Update: 14.11.2015 11:47:15
Benutzerkonto: Promor-PC\Promor

Scan-Einstellungen:

Scan-Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, E:\

PUPs-Erkennung: An
Archiv-Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: An

Scan-Beginn:	14.11.2015 11:50:04

Gescannt:	101735
Gefunden	0

Scan-Ende:	14.11.2015 12:19:26
Scan-Zeit:	0:29:22
         

haben nichts angezeigt.

AdwareCleaner brachte dieses Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v4.110 - Bericht erstellt 15/11/2015 um 11:46:27
# Aktualisiert 05/02/2015 von Xplode
# Datenbank : 2015-11-13.3 [Server]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (x64)
# Benutzername : Promor - PROMOR-PC
# Gestarted von : C:\Users\Promor\Documents\Taskleiste Desktop\Security\adwcleaner_4.110.exe
# Option : Suchlauf

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Datei Gefunden : C:\Users\Promor\AppData\Roaming\8pecxstudios\Cyberfox\Profiles\d8daa2e56f.Profile_Buddy\user.js
Datei Gefunden : C:\Users\Promor\AppData\Roaming\Mozilla\Firefox\Profiles\5100464c38.Profile_Buddy\user.js
Datei Gefunden : C:\Users\Promor\AppData\Roaming\Mozilla\Firefox\Profiles\h2jqwauk.default-1409145912818\user.js

***** [ Geplante Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : [x64] HKCU\Software\OCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53BB7213-AC5D-4437-968B-46EA40684B6C}_is1
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}

***** [ Internetbrowser ] *****

-\\ Internet Explorer v0.0.0.0


-\\ Mozilla Firefox v


-\\ Cyberfox v

*************************

AdwCleaner[R5].txt - [1876 Bytes] - [11/02/2015 17:07:02]
AdwCleaner[R6].txt - [1903 Bytes] - [27/05/2015 13:36:43]
AdwCleaner[R7].txt - [2029 Bytes] - [14/11/2015 14:32:00]
AdwCleaner[R8].txt - [1758 Bytes] - [15/11/2015 11:46:27]

########## EOF - C:\AdwCleaner\AdwCleaner[R8].txt - [1817 Bytes] ##########
         

Habe die betroffene Datei auch mal über virustotal.com scannen und analysieren lassen, wobei rauskam, dass diese mit PainttoolSAI in Verbindung steht (hab ich vor ewiger Zeit mal installiert).


Hat Eset da etwas überreagiert oder war der Alarm berechtigt?

Mit freundlichen Grüßen,
Promor

Zitat:

Zitat von Promor

Hat Eset da etwas überreagiert oder war der Alarm berechtigt?

ESET hat nicht überreagiert.
Da war wohl was beim Installer dabei. ...Temp\is-QLCVP.tmp\prsetup.exe

Ist aber wie erkennbar in den temporären Dateien und Adware. Also irrelevant im Kontext mit aktiver Malware.

ergo geht von dieser Datei bisher keine Bedrohung aus?

Zitat:

Zitat von Promor

ergo geht von dieser Datei bisher keine Bedrohung aus?

Bedrohung im Sinne von was?

Malware scan of prsetup.exe (PaintTool SAI ) e78c3f8713bea84f0c150de348d94903f1c2709a - herdProtect

Im Sinne davon, dass diese Datei als Einfallstor für weitere unerwünschte Schadsoftware bzw. Sicherheitsrisiken fungiert.

Nö, ist halt Adware-Kram. Löschen und gut is...

Alles klar, dann werd ich das Teil mal von der Festplatte entfernen.

Vielen Dank für die schnelle Hilfe, noch einen schönen Abend und einen guten Start in die neue Woche.

mfg,
Promor

Gleichfalls.