Hallo zusammen,

ich benutze seit einigen Jahren ein Laptop, das ich von einer ehemaligen
Arbeitskollegin 2012 (ohne Neuaufsetzen) damals übernommen habe. Das Laptop
nutze ich privat als auch geschäftlich (ist allerdings nur ein Kleinunternehmen
mit meinem Chef, seiner Frau und meiner Wenigkeit) - wichtige Daten liegen
zudem auf dem Server des Chefs oder auf dem Bürorechner, nicht primär
auf dem Laptop. Das Laptop macht aktuell keine (sichtbaren) Probleme.

Was mich etwas stutzig macht, ist, das im Windows TEMP Ordner nach
jedem Systemneustart seit einiger Zeit eine Datei angelegt wird namens

AT_seedxxxx.rnd (wobei anstelle der xxxx eine zufällige 4-stellige Nummer generiert wird).

In der Datei (sofern ich diese per Editor öffne) befindet sich ein sehr langer Satz mit
chinesischen Schriftzeichen und Sonderzeichen. Ich habe mal versuchsweise diesen
in den Google-Translator eingegeben und da kommt dann irgendwas von
"chinesischen Reiskuchen, Mandarinente etc." - es kann nicht ganz
übersetzt werden, vermutlich wegen einiger Sonder-, und Absatzzeichen im Text.

Die Datei kann ich zwar per Hand löschen, sie wird aber nach jedem Systemstart
mit neuer xxxx Nummer wieder angelegt.

Ansonsten verhält sich der Rechner scheinbar normal.
Kaspersky (lizenzierte Vollversion) Scan --> kein Befund
MBAM 3.x (lizenzierte Vollversion) Scan --> kein Befund
SuperAntiSpyware (Freeversion) Scan --> kein Befund
AdWareCleaner Scan --> kein Befund
Windows Defender Vollscan --> kein Befund

Frage: was legt diese chinesische Datei an und ist diese eventuell
Bestandteil eines Trojaners etc. ? Falls ja, gibt es Möglichkeiten
der Entfernung ?

Stehe für Rückfragen gerne zur Verfügung.
Gewünschte Scans anbei.

Danke & Gruss


Carsten.

die Logdateien sehen alle gut aus.

Ich weiß nicht, welches Programm diese Datei erstellt, aber schädlich ist die Datei bestimmt nicht.

Sonst läuft ja alles, oder?

Salü...

danke für die Rückinfo. Ja, ansonsten läuft soweit alles.
Ich hatte vor 1,5 Jahren mal ICQ auf dem Ding installiert, das hatte
eine Toolbar nachgezogen die dann eine nette AdWare namens Mail.ru
im Schlepptau hatte. Das wurde dann aber adhoc wieder deinstalliert und
mittels AdCleaner bereinigt. Seitdem war in der Richtung nichts mehr.

Letzte Woche war`s mal für einen Tag so, das er nach dem Hochfahren
zwar noch den Desktop eingeblendet hat, danach hing sich das Ding dann
jedes Mal auf, egal was ich auch angeklickt hab. Da hatte er am Abend
zuvor aber das Update von Malwarebytes 2.x auf 3.x durchgeführt...eventuell
hatte er sich dadurch festgefressen...hab es dann im abgesicherten Modus
gestarten, den MBAM Tray aus dem Autostart entfernt und dann lief auch
wieder alles. Hab dann MBAM nochmal komplett deinstalliert, MBAM Clean
drüberlaufen lassen und wieder neu die Version 3.x installiert.

Da fand der dann 1x beim Super AntiSpyWare den folgenden Eintrag:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/31/2017 at 06:35 PM

Application Version : 6.0.1236
Database Version : 13515

Scan type       : Complete Scan
Total Scan Time : 00:20:05

Operating System Information
Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 685
Memory threats detected   : 0
Registry items scanned    : 73326
Registry threats detected : 0
File items scanned        : 26692
File threats detected     : 1

Trojan.Windows/32
	C:\SYSTEM VOLUME INFORMATION\SYSTEMRESTORE\FRSTAGING\PROGRAM FILES (X86)\ MALWAREBYTES ANTI-MALWARE \CHAMELEON\WINDOWS\WINDOWS.EXE

============
 End of Log 
============
         

Das Ding hat er dann bereinigt und seitdem war nix mehr.
Ich lasse SAS, MBAM und KAS generell spätestens jeden 2. Tag drüber laufen.

Danke & Gruss


Carsten.

Servus,



bei dem Fund von SAS handelt es sich um einen Fehlalarm (false positive).









Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Cleanup:
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.





Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.




Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET

Microsoft Security Essentials (MSE) / Windows Defender (WD) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE/WD entschieden hast, brauchst du nicht extra MSE/WD zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.




Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.




Optional:
Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.

Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .




Abschließend noch ein paar grundsätzliche Bemerkungen:

• Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hiya,

erledigt - ganz herzlichen Dank für Deine schnelle
Unterstützung.

Case closed ;-)

Gruss


Carsten.

Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.