Wie bei einige andere Kollegen auch, hat mein Windows Defender den

TrojanDownloader:JS/Jesdow.B!url

gemeldet. Betroffene Elemente:

HTML-Code:

containerfile: C:\Recovery\Customizations\USMT.PPKG

file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\Movie\PowerDVD Cinema\Customizations\Cyberlink\APREG.URL
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerProducer\APREG.url

Windows Defender konnte den angeblichen Trojaner nicht entfernen. Der Microsoft Security Scanner hat die gleichen Dateien als Bedrohung erkannt und angeblich entfernt, was ich durch einen erneuten Windows Defender Scan aber widerlegt habe. Ich habe nun bei Euch schon ein wenig gestöbert und zunächst die Produkte

CyberLink\Power*

deinstalliert. Dann habe ich MBAM laufen lassen. MBAM hat 3 andere potentiell Bedrohungen erkannt (?!) und in die Quaratäne verschoben.

HTML-Code:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 01.04.18
Scan-Zeit: 17:14
Protokolldatei: 531d9200-35bf-11e8-ab31-fc459620b447.json
Administrator: Nein

-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.4578
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 16299.334)
CPU: x64
Dateisystem: NTFS
Benutzer: LAPTOP-0KPKPFG4\Sven

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 374833
Erkannte Bedrohungen: 3
In die Quarantäne verschobene Bedrohungen: 3
Abgelaufene Zeit: 3 Min., 4 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, [7445], [463412],1.0.4578

Registrierungswert: 1
PUP.Optional.StartPage.ShrtCln, HKU\S-1-5-21-1763994110-688292668-2833402100-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|OpenOffice Updater, In Quarantäne, [3986], [460759],1.0.4578

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
PUP.Optional.StartPage.ShrtCln, C:\USERS\JOE\APPDATA\ROAMING\OPENOFFICE UPDATER\UPDATER.EXE, In Quarantäne, [3986], [460759],1.0.4578

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

ESET hat nach den vorherigen Aktionen weder den angeblichen Trojaner noch die 3 zusätzlichen Bedrohungen gefunden.

Die Ausgabe des Security Checks war

HTML-Code:

Results of screen317's Security Check version 1.009  
   x64 (UAC is enabled)  
 Internet Explorer 11  
[b][u]``````````````Antivirus/Firewall Check:``````````````[/u][/b][u][/u] 
Windows Defender   
 [size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size] 
[b][u]`````````Anti-malware/Other Utilities Check:`````````[/u][/b][u][/u] 
 [color=red][b]Java version 32-bit out of Date![/b][/color] 
[b][u]````````Process Check: objlist.exe by Laurent````````[/u][/b][u][/u]  
 Windows Defender MSMpEng.exe 
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamtray.exe  
 Windows Defender MSASCuiL.exe   
[b][u]`````````````````System Health check`````````````````[/u][/b][u][/u] 
 Total Fragmentation on Drive C:  % 
[b][u]````````````````````End of Log``````````````````````[/u][/b][u][/u] 

Ich lassen gerade einen weiteren Windows Defender Full Scan laufen. Das Ergebnis ergänze ich dann. Ich wollte hier vorab fragen, was es mit den 3 von MBAM gemeldeten potentiellen Bedrohungen auf sich hat.

Vorab herzlichen Dank und frohe Ostern!

Und hier nun das Ergebnis meines aktuellen Window Defender Full Scan. Der Defender meldet nachwievor einen TrojanDownloader:JS/Jesdow.B!url und verweist wie zu letzt auf die betroffenen Elemente

Code: Alles auswählenAufklappen

ATTFilter

containerfile: C:\Recovery\Customizations\USMT.PPKG

file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\Movie\PowerDVD Cinema\Customizations\Cyberlink\APREG.URL
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerProducer\APREG.url
         

Das Löschen der CyberLink\Power* Programmfamilie hat bei mir nichts bewirkt.

Für Euren Rat wäre ich dankbar.

Zitat:

Das Löschen der CyberLink\Power* Programmfamilie hat bei mir nichts bewirkt.

Das ist ja nun so Quatsch. Das Deinstallieren entfernt PowerDVD und damit auch die angemeckerten aber trotzdem ungefährlichen *.url Dateien - die nichts weiter als Verknüpfungen zu einer Internetseite sind.

Da müsstest du schon mal genauer schreiben was "nix bewirkt" eigentlich bedeuten soll.

Sorry wollte niemandem zu Nahe treten. "nix bewirkt" sollte nur bedeuten, dass der Windows Defender weiterhin einen Trojaner meldet. Ich verfolge parallel die folgende Diskussion

https://answers.microsoft.com/en-us/protect/forum/protect_scanner-protect_scanning-windows_10/trojandownloaderjsjesdowburl/7f1240f2-9db4-488b-a37d-583c7ef94df9

die für mich so klingt, als wenn sich ein neueres Signaturen Update des Windows Defender dazu entschlossen hat einen Trojaner zu entdecken wo aber keiner ist. Die Diskussion bestetigt nach meinem Empfinden nochmals Deine Aussage Cosinus. Wenn Du auch der Meinung bist, dass wir dieses Thema damit ruhen lassen können, könntest Du dann bitte noch einen Blick auf die 3 durch MBAM identifizieten Bedrohungen werfen und mir Hinweise geben was ich noch tun sollte.

Danke

Das Ding ist, dass die harmlosen Internetverknüpfungen dort gefunden werden --> file: C:\Recovery\Customizations\USMT.PPKG

Das ist eine Containerdatei. Vermutlich das Recoveryfile wenn man das Gerät in den Auslieferungszustand versetzen will. Dann isses klar, dass es "nix" bringt PowerDVD zu entfernen, weil die (harmlosen) Dateien im Containerfile gefunden werden. Eigentlich macht es keinen Sinn diese Datei zu scannen.

Die anderen Funde haben damit nichts zu tun - das sind Reste von (anderer) Junkware

OK Danke, dann können wir den Beitrag aus meiner Sicht schließen.

Nico Semsrott: Freude ist nur ein Mangel an Information