Kontrollscans mit MBAM und RK

• Malwarebytes
• RogueKiller

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 05.08.22
Scan-Zeit: 15:51
Protokolldatei: b6d24752-14c5-11ed-bd03-84a93e1d66cb.json

-Softwaredaten-
Version: 4.5.12.204
Komponentenversion: 1.0.1725
Version des Aktualisierungspakets: 1.0.58215
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19043.1826)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-8L1NIOC\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 294690
Erkannte Bedrohungen: 4
In die Quarantäne verschobene Bedrohungen: 4
Abgelaufene Zeit: 7 Min., 10 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 4
PUP.Optional.MyFireSearch, C:\USERS\*****\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S8GIIQYR.DEFAULT\PREFS.JS, Ersetzt, 360, 914864, 1.0.58215, , ame, , D004D787AE874A9CC076CD4468532E3E, FDE341A0DF624694BCE0F0CCA78C4A307CD4A0F381735DA8D411F59D114D7462
PUP.Optional.MyFireSearch, C:\USERS\*****\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S8GIIQYR.DEFAULT\PREFS.JS, Ersetzt, 360, 914865, 1.0.58215, , ame, , D004D787AE874A9CC076CD4468532E3E, FDE341A0DF624694BCE0F0CCA78C4A307CD4A0F381735DA8D411F59D114D7462
PUP.Optional.MyFireSearch, C:\USERS\*****\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S8GIIQYR.DEFAULT\PREFS.JS, Ersetzt, 360, 914866, 1.0.58215, , ame, , D004D787AE874A9CC076CD4468532E3E, FDE341A0DF624694BCE0F0CCA78C4A307CD4A0F381735DA8D411F59D114D7462
PUP.Optional.MyFireSearch, C:\USERS\*****\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S8GIIQYR.DEFAULT\PREFS.JS, Ersetzt, 360, 914867, 1.0.58215, , ame, , D004D787AE874A9CC076CD4468532E3E, FDE341A0DF624694BCE0F0CCA78C4A307CD4A0F381735DA8D411F59D114D7462

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

RK:

Code: Alles auswählenAufklappen

ATTFilter

Program            : RogueKiller Anti-Malware
Version            : 15.5.3.0
x64                : Yes
Program Date       : Jun 13 2022
Location           : C:\Users\*****\Desktop\RogueKiller_portable64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19043) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : *****
User is Admin      : Yes
Date               : 2022/08/05 14:16:09
Type               : Removal
Aborted            : No
Scan Mode          : Standard
Duration           : 507
Found items        : 3
Total scanned      : 69405
Signatures Version : 20220801_083458
Truesight Driver   : Yes
Updates Count      : 2

************************* Warnings *************************

************************* Removal *************************
[PUP.WebCompanion|PUP.BundleInstaller (Potenziell bösartig)] DCIService -- %programfiles(x86)%\Lavasoft\Web Companion\Service\x64\DCIService.exe -> Gestoppt
  [+] scan_what       : 0
  [+] vendors         : PUP.WebCompanion|PUP.BundleInstaller
  [+] Name            : DCIService
  [+] value           : %programfiles(x86)%\Lavasoft\Web Companion\Service\x64\DCIService.exe
  [+] Type            : Service
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 0
  [+] status          : 3
  [+] status_str      : Gestoppt
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[PUP.WebCompanion|PUP.BundleInstaller (Potenziell bösartig)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DCIService -- [%programfiles(x86)%\Lavasoft\Web Companion\Service\x64\DCIService.exe] -> Gelöscht
  [+] scan_what       : 2
  [+] vendors         : PUP.WebCompanion|PUP.BundleInstaller
  [+] Name            : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DCIService
  [+] value           : [%programfiles(x86)%\Lavasoft\Web Companion\Service\x64\DCIService.exe]
  [+] Type            : Registry
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 1
  [+] status          : 3
  [+] status_str      : Gelöscht
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[PUM.SearchEngine (Potenziell bösartig)] default_search_provider_data.template_url_data.keyword -- yahoo search -> Gelöscht
  [+] scan_what       : 2
  [+] vendors         : PUM.SearchEngine
  [+] Name            : default_search_provider_data.template_url_data.keyword
  [+] value           : yahoo search
  [+] Type            : Browser
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 4
  [+] id              : 2
  [+] status          : 3
  [+] status_str      : Gelöscht
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
         

Also da war nur Junk. Mehr gibt es da nicht zu reinigen aus unsere Interpretation.

Sind wir also schon durch? Ich habe noch ein paar Fragen:

1.) Wie scanne und bereinige ich die USB-Sticks und die externe Festplatte, auf der die verdächtige SndVolume.exe erschien, sowie die anderen Partitionen? Kann ich bei den genannten Malware-Scannern gezielt ein bestimmtes Laufwerk scannen lassen oder immer nur die C-Partition?

2.) Wird der Computer meines Bekannten nicht gleich wieder infiziert, wenn ich einen infizierten Stick oder Platte anschließe?

3.) Was ist nun zu dieser verdächtigen Datei SndVolume.exe zu sagen, die auf der USB-Festplatte erschien, die zuvor am infizierten Rechner meines Bekannten war? War es tatsächlich ein Trojaner?

4.) Was mache ich jetzt mit meinem eigenen Computer, an dem ich die USB-Festplatte mit der exe-Datei dranhatte? Wurde er beim Anschließen der Festplatte automatisch infiziert oder hätte ich dazu die exe-Datei doppelklicken müssen? Soll ich auf ihm auch adwCleaner, MBAM und RK laufen lassen?

Nur weil du dir eingeredet hast, das da irgendwas sei, ist das noch lange nicht richtig. Was macht ihr das alle? Ihr habt einen Verdacht und der wird sofort als Faktum erklärt. Wenn du so eine Angst hast, meine Güte dann formatier einfach alle STicks.

Du siehst doch auch selbst in den Logs, dass wir im Prinzip nur deinen Rechner aufgeräumt haben. Wir waren doch fast nur damit beschäftigt, völlig unnötige Programme zu deinstallieren. adwCleaner und Malwarebytes hatten nur Junkware bzw Reste davon vertilgt. Glaubst du nicht auch, dass ich wesentlich mehr Maßnahmen veranlasst und noch mehr geschrieben hätte wenn die Gefahr, die du da so heraufbeschörst (PC wird sofrt infiziert wenn man nen Stick anschließt) wirklich so vorhanden wäre?

Meine Güte, lösche diese komische Datei und dann mach dir den Kopf dann mal wieder frei. Sich da so rein zu steigern bringt doch nichts, man sieht dann in alles was man nicht kennt irgendeinen Schädling.

Zitat:

Zitat von cosinus

Nur weil du dir eingeredet hast, das da irgendwas sei, ist das noch lange nicht richtig. [...]

Weil Deine Antwort mir nicht hilft, habe ich eigenmächtig die 3 Scanner erneut laufen lassen und RK hat Folgendes gefunden:




[Cloud.Generic (Bösartig)] (shortcut) DeepL auto-start.lnk

Typ: shortcut




Zitat aus dem Internet:

"Wenn Sie den USB-Stick mit einem solchen System verbinden, besteht die Gefahr, dass es infiziert wird. Die Dateien auf dem USB-Laufwerk werden versteckt und der Virus breitet sich dann auch auf die anderen Systeme aus. [...] Es ist bekannt, dass diese Schadsoftware täglich Systeme auf der ganzen Welt infiziert. Dies ist einer der Hauptgründe, warum USB- und andere Speichergeräte infiziert werden."

Quelle: recoverit.wondershare.de/flashdrive-recovery/usb-shortcut-virus-remover




RK (zweiter Durchlauf):

Code: Alles auswählenAufklappen

ATTFilter

Program            : RogueKiller Anti-Malware
Version            : 15.5.3.0
x64                : Yes
Program Date       : Jun 13 2022
Location           : C:\Users\*****\Desktop\RogueKiller_portable64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19043) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : *****
User is Admin      : Yes
Date               : 2022/08/06 13:19:35
Type               : Scan
Aborted            : No
Scan Mode          : Standard
Duration           : 775
Found items        : 1
Total scanned      : 69663
Signatures Version : 20220801_083458
Truesight Driver   : Yes
Updates Count      : 2

************************* Warnings *************************

************************* Updates *************************
VLC media player (64-bit), version 3.0.5
  [+] Available Version        : 3.0.17.4
  [+] Wow6432                  : No
  [+] Portable                 : No
  [+] update_location          : C:\Program Files\VideoLAN\VLC

Zoom (64-bit), version 5.4.6 (59296.1207)
  [+] Available Version        : 5.11.4
  [+] Size                     : 9,76 MB
  [+] Wow6432                  : No
  [+] Portable                 : No
  [+] update_location          : C:\Users\*****\AppData\Roaming\Zoom\bin


************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************

************************* Registry *************************

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************
[Cloud.Generic (Bösartig)] (shortcut) DeepL auto-start.lnk -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DeepL auto-start.lnk => C:\Users\*****\AppData\Roaming\0install.net\DESKTO~1\stubs\1EAE01~1\AUTO-S~1.EXE -> Gefunden

************************* Web Browsers *************************

************************* Antirootkit *************************
         

RK (dritter Durchlauf nach Reinigung und Neustart des Computers):

Code: Alles auswählenAufklappen

ATTFilter

Program            : RogueKiller Anti-Malware
 Version            : 15.5.3.0
x64                : Yes
Program Date       : Jun 13 2022
Location           : C:\Users\*****\Desktop\RogueKiller_portable64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19043) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : *****
User is Admin      : Yes
Date               : 2022/08/06 14:38:38
Type               : Scan
Aborted            : No
Scan Mode          : Standard
Duration           : 656
Found items        : 0
Total scanned      : 69553
Signatures Version : 20220801_083458
Truesight Driver   : Yes
Updates Count      : 1

************************* Warnings *************************

************************* Updates *************************
Zoom (64-bit), version 5.4.6 (59296.1207)
  [+] Available Version        : 5.11.4
  [+] Size                     : 9,76 MB
  [+] Wow6432                  : No
  [+] Portable                 : No
  [+] update_location          : C:\Users\*****\AppData\Roaming\Zoom\bin


************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************

************************* Registry *************************

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************

************************* Web Browsers *************************

************************* Antirootkit *************************
         

Meine Güte, das sind doch nur irgendwlche Überbleibsel. Bitte mal die Kirche im Dorf lassen. Was genau hast du jetzt noch konkret für Probleme?

Alle Probleme sind gelöst.

Da von Dir leider wenig Information kommt, erkläre ich selber, was hier passiert ist:



Ich hatte von Anfang an recht mit meinem Verdacht. Der Computer meines Bekannten ist beim Surfen mit einem USB-Shortcut-Trojaner infiziert worden. Dieser hat sich verbreitet, indem er sich als harmlos wirken sollende SndVolume.exe auf eine externe USB-Festplatte kopiert hat.

Als ich die Festplatte an meinen Computer anschloss, wurde dieser jedoch nicht infiziert, weil ich dazu die exe-Datei hätte doppelklicken müssen. Hätte ich das getan, wäre mein Computer ebenfalls infiziert worden und der Trojaner hätte sich als exe-Datei auf weitere USB-Datenträger verbreitet.

Ich habe meinen Computer und alle USB-Datenträger gescannt und es wurde nichts gefunden. Mit der Entfernung des Shortcut-Trojaners durch den RogueKiller ist die Angelegenheit auf dem Computer meines Bekannten ebenfalls erledigt.

Ich habe mir die Vollversion des RogueKiller gekauft und er hat auf einer älteren externen USB-Festplatte meines Bekannten 2 weitere Shortcut-Trojaner gefunden, die mein Bekannter sich damals noch mit seinem alten Computer eingefangen hatte. Auch diese exe-Dateien hatten einen irreführenden Namen, um sich zu tarnen.



Ich habe noch Fragen zur RogueKiller-Vollversion, weil sie offenbar Kommunikationsschwierigkeiten mit dem Microsoft Defender hat, aber dazu eröffne ich im passenden Unterforum ein eigenes Thema.


Ich danke Dir für Deine Hilfe, cosinus, und wünsche Dir alles Gute.

Das Problem ist, dass du immer noch feste an eine Infektion glaubst, weil das deine erste Erklärung ist und diese nicht aufgeben willst. Und deine Unwissenheit dazu führt dass jeglicher Fund dich weiterhin das glauben lässt obwohl du selbst null Ahung hast was ein Dateiname in dieser Richtung bedeutet.

Zitat:

Auch diese exe-Dateien hatten einen irreführenden Namen, um sich zu tarnen.

Dann hast du einen ganz schädlichen Virus wohl auch noch gekauft. Das FBI wird dir morgen die Tür eintreten.

Einverstanden. Wir fangen nochmal von vorne an. Ich gebe meine erste Erklärung auf und befolge deine Anweisungen.

Ich habe den RogueKiller erneut laufen lassen. Sowohl auf dem Computer meines Bekannten als auch auf meinem eigenen wurde das Element Tr.Gen im Ordner >C >Windows >%systemroot% >Migration gefunden.

Was soll ich jetzt machen?

Was bitte soll man mit so einer Angabe anfangen?
Meinst du die Logfiles sind aus Spaß da? Die hast du doch vorher auch die ganze Zeit gepostet.

Postes du jetzt noch das Log mit dem letzten Fund? Mit der letzten unkonkreten Angabe kann nämlich niemand was anfangen.

Ich bin zurzeit beschäftigt und kann erst morgen abend die Logs posten.

Naja ich will dir ja nicht die Zeit stehlen...
Und du brauchst auch nicht "die" Logfiles zu posten, sondern einfach nur die letzte Angabe zum Fund richtig also das Log vom RK. Denn mit so einem Unsinn

Zitat:

wurde das Element Tr.Gen im Ordner >C >Windows >%systemroot% >Migration gefunden.

kann niemand was anfangen.

Zitat:

Zitat von cosinus

[...] Das FBI wird dir morgen die Tür eintreten.

Nach wie vor kommt von dir keine sachliche oder weiterführende Information. Aus deinen Aussagen konnte ich bisher lediglich ableiten, dass der Malware-Befall nicht so schlimm war, wie ich ursprünglich befürchtet hatte.


Computer 1:

Code: Alles auswählenAufklappen

ATTFilter

Program            : RogueKiller Anti-Malware
Version            : 15.5.3.0
x64                : Yes
Program Date       : Jun 13 2022
Location           : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : Yes
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19043) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : *****
User is Admin      : Yes
Date               : 2022/08/08 10:19:27
Type               : Scan
Aborted            : No
Scan Mode          : Standard
Duration           : 1078
Found items        : 1
Total scanned      : 70440
Signatures Version : 20220808_080425
Truesight Driver   : Yes
Updates Count      : 0
Arguments          : -minimize

************************* Warnings *************************

************************* Updates *************************

************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************

************************* Registry *************************

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************
[Tr.Gen (Bösartig)] (folder) Migration -- C:\Windows\Migration -> Gefunden

************************* Web Browsers *************************

************************* Antirootkit *************************
         

Computer 2:

Code: Alles auswählenAufklappen

ATTFilter

Program            : RogueKiller Anti-Malware
Version            : 15.5.3.0
x64                : Yes
Program Date       : Jun 13 2022
Location           : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : Yes
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19044) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : *****
User is Admin      : Yes
Date               : 2022/08/08 23:43:02
Type               : Scan
Aborted            : No
Scan Mode          : Standard
Duration           : 2810
Found items        : 1
Total scanned      : 99126
Signatures Version : 20220808_080425
Truesight Driver   : Yes
Updates Count      : 2
Arguments          : -minimize

************************* Warnings *************************
(18:25277) C:\ProgramData\MA Lighting Technologies\grandma\gma2_V_3.9.60\library, LONG_FOLDER_SCAN
  [+] path    : C:\ProgramData\MA Lighting Technologies\grandma\gma2_V_3.9.60\library
  [+] message : LONG_FOLDER_SCAN
  [+] int1    : 18
  [+] int2    : 25277

(21:26) C:\ProgramData\MA Lighting Technologies\grandma\gma2_V_3.9.60, LONG_FOLDER_SCAN
  [+] path    : C:\ProgramData\MA Lighting Technologies\grandma\gma2_V_3.9.60
  [+] message : LONG_FOLDER_SCAN
  [+] int1    : 21
  [+] int2    : 26

(24:0) C:\ProgramData\MA Lighting Technologies\grandma, LONG_FOLDER_SCAN
  [+] path    : C:\ProgramData\MA Lighting Technologies\grandma
  [+] message : LONG_FOLDER_SCAN
  [+] int1    : 24
  [+] int2    : 0

(24:0) C:\ProgramData\MA Lighting Technologies, LONG_FOLDER_SCAN
  [+] path    : C:\ProgramData\MA Lighting Technologies
  [+] message : LONG_FOLDER_SCAN
  [+] int1    : 24
  [+] int2    : 0


************************* Updates *************************
iTunes (64-bit), version 12.11.0.26
  [+] Available Version        : 12.12.4.1
  [+] Size                     : 963 MB
  [+] Wow6432                  : No
  [+] Portable                 : No
  [+] update_location          : C:\Program Files\iTunes\

kdenlive (32-bit), version 22.04.1
  [+] Available Version        : 22.04.3
  [+] Size                     : 93,1 MB
  [+] Wow6432                  : Yes
  [+] Portable                 : No


************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************

************************* Registry *************************

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************
[Tr.Gen (Bösartig)] (folder) Migration -- C:\Windows\Migration -> Gefunden

************************* Web Browsers *************************

************************* Antirootkit *************************