Hallo M-K-D-B,

hier das gewünschte Log und eine Frage dazu: Ich hatte nun nicht meine Wechselmedien angesteckt bei den großen Suchlauf. Soll ich diese noch anstecken und dann einen benutzerdefinierten Scan über sie laufen lassen? Und werden bei solchen Scans auch USB-Empfänger gescannt?

Code: Alles auswählenAufklappen

ATTFilter

30.09.2023 11:46:35
Geprüfte Dateien: 1761216
Erkannte Dateien: 2
Gesäuberte Dateien: 2
Prüfdauer gesamt 04:49:41
Prüfstatus: Abgeschlossen
C:\Users\**NAME**\Downloads\Detection (1).exe	eine Variante von Win64/SystemRequirementsLab.A potenziell unerwünschte Anwendung	durch Löschen gesäubert

C:\Users\**NAME**\Downloads\Detection.exe	eine Variante von Win64/SystemRequirementsLab.A potenziell unerwünschte Anwendung	durch Löschen gesäubert
         

Zitat:

Zitat von Sniperwolf

hier das gewünschte Log und eine Frage dazu: Ich hatte nun nicht meine Wechselmedien angesteckt bei den großen Suchlauf. Soll ich diese noch anstecken und dann einen benutzerdefinierten Scan über sie laufen lassen? Und werden bei solchen Scans auch USB-Empfänger gescannt?

Ja, einen benutzerdefinierten Scan kannst du gerne noch anstoßen.
USB-Sticks sollte ESET auch scannen können.

Wechselmedien und Arbeitsspeicher (nochmal dazu) ebenfalls gescannt. Wenn ich die Frage nochmal aufgreifen dürfte, solche USB-Empfänger (also Geräte die daran angeschlossen werden, sei es mit Kabel oder für Funk) kann man aber da nicht auswählen, wie überprüft man den die?

Code: Alles auswählenAufklappen

ATTFilter

01.10.2023 09:46:19
Geprüfte Dateien: 25156
Erkannte Dateien: 0
Gesäuberte Dateien: 0
Prüfdauer gesamt: 00:03:58
Prüfstatus: Abgeschlossen
         

Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Zitat:

Zitat von Sniperwolf

Wechselmedien und Arbeitsspeicher (nochmal dazu) ebenfalls gescannt. Wenn ich die Frage nochmal aufgreifen dürfte, solche USB-Empfänger (also Geräte die daran angeschlossen werden, sei es mit Kabel oder für Funk) kann man aber da nicht auswählen, wie überprüft man den die?

Ich hätte gedacht, dass ESET auch externe Datenträger unterstützt.



Du könntest es noch mit EEK, KVRT oder MBAM probieren.





Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Zitat:

Zitat von M-K-D-B

Ich hätte gedacht, dass ESET auch externe Datenträger unterstützt.

Du könntest es noch mit EEK, KVRT oder MBAM probieren.

Also ich meinte nun nicht Wechselmedien (alias Datenträger) sondern eher z.B. Maus, Tastatur oder Kopfhörer, die Kabellos sind. Kann sich auf diesen USB-Empfangsstationen keine Malware einnisten?

Emsisoft Emergency Kit (EEK), Kaspersky Virus Removal Tool (KVRT) und Malwarebytes Anti-Malware (MBAM) nehme ich mal an.

Zitat:

Zitat von Sniperwolf

Also ich meinte nun nicht Wechselmedien (alias Datenträger) sondern eher z.B. Maus, Tastatur oder Kopfhörer, die Kabellos sind. Kann sich auf diesen USB-Empfangsstationen keine Malware einnisten?

Dort kann sich meines Wissens nach Malware nicht "einnisten".


Führe mal bitte SC wie beschrieben aus.

Leider kam der Feiertag dazwischen mit einigen Ereignissen. Ich wollte drauf hinweisen, dass VirusTotal vor 19 Tagen noch 2 Funde hatte, jetzt sind es aber nur noch ein Unbekannter AV.

https://www.virustotal.com/gui/file/fdd74864264d2ee8744b5d8db6cf488c4f4dac34ceb14bc7934c8b2106a02f52

Ich gehe daher von Falsch Positiv Ergebnisse aus.

Code: Alles auswählenAufklappen

ATTFilter

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 05.10.2023 16:03:54
Path starting: C:\Users\**NAME**\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: **NAME**
VersionXML: 10.71is-01.10.2023
___________________________________________________________________________

Windows 10(6.3.19045) (x64) Core Release: 2009 Lang: German(0407)
Installation date OS: 23.08.2020 13:17:49
LicenseStatus: Windows(R), Core edition The machine is permanently activated.
LicenseStatus: Office 16, Office16O365ProPlusR_Grace edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
SystemDrive: C: FS: [NTFS] Capacity: [216.4 Gb] Used: [141.4 Gb] Free: [75 Gb]
------------------------------- [ Windows ] -------------------------------
User Account Control enabled (Level 4)
Automatically download and schedule installation
Sicherheitscenter (wscsvc) - The service is running
Remoteregistrierung (RemoteRegistry) - The service has stopped
SSDP-Suche (SSDPSRV) - The service is running
Remotedesktopdienste (TermService) - The service has stopped
Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (enabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - The service is running
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (disabled and up to date)
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft 365 Apps for Enterprise - de-de v.16.0.16827.20130 [+]
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112
Steam v.2.10.91.91
Epic Games Launcher v.1.2.17.0
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.189.0910.0001
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-Bit) v.6.11.0 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Microsoft App Update for Microsoft.SkypeApp_2014.402.1024.4106_neutral_~_kzf8qxf38zg5c (x64) v.1.0.0.0 Warning! Download Update
Discord v.0.0.309 Warning! Download Update
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.18
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat (64-bit) v.23.006.20320
Adobe Creative Cloud v.6.0.0.571 [+]
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 102.0.4880.90 v.102.0.4880.90 [+]
Google Chrome v.117.0.5938.150 [+]
Microsoft Edge v.117.0.2045.47
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23080.2006-0\MsMpEng.exe v.4.18.23080.2006
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23080.2006-0\NisSrv.exe v.4.18.23080.2006
Microsoft Defender Antivirus-Dienst (WinDefend) - The service is running
Microsoft Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service is running
----------------------------- [ End of Log ] ------------------------------
         

Ganz verstehen tun ich das nun nicht. Skype wird in der Übersicht im Programm als Aktuell anzeigt (2023 Version), Discord mach auch immer mal wieder Updates. Seltsam...

WinRaR und Discord bitte manuell updaten, falls möglich.





Schritt 1
Überprüfe dein System auf fehlende Windows Updates.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
• Wähle alle angebotenen Kumulativen Updates bzw. Funktionsupdates aus, downloade und installiere sie.
• Starte den Rechner zum Abschluss neu.
• Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.

Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Schritt 1: Windows Updates
Vollständig ausgeführt. Alle Updates installiert. Ich bin aber etwas verwundert, weil ja automatisch ausgewählt war.

Schritt 2: Entfernung der verwendeten Tools
FRST Logs hab ich bereits entfernt, SecruityCheck ebenfalls. Nur der OnlineScanner ist noch drauf, welchen ich wohl drauf lassen würde um mal einmal in Monat zu scannen, falls das empfehlenswert ist. Muss ich dann noch das Tool ausführen?

Offene Fragen:
Frage 1a: Fehlender Schutzverlauf
Wie bereits in einen Beitrag vorher erwähnt, ist mir aufgefallen, dass in der Log Addition.txt unter Windows Defender, dort zwei Ereignisse nicht aufgelistet sind, die "Zugriff auf geschützten Speicher blockiert" heißen.

Einmal vom 08.08.2023, Blockierte App oder Prozess: WinSAT.exe
Geschützter Ordner: \Device\CdRom0

Einmal vom 29.07.2023, Blockierte App oder Prozess: SrTasks.exe
Geschützter Ordner: \Device\HarddiskVolume4

Da solche Ereignisse aber in den Logs von anderen auftauchen, und der Zeitraum eigentlich mit den abgebildeten Log reingehören würde, find ich es seltsam das sie nicht drin stehen. Ist so was normal?

Frage 1b: Fehlender Schutzverlauf
Des Weiteren wo kann ich den sehen, wann der letzte Scan war? Ich hatte irgendwie in Erinnerung, dass es im Schutzverlauf angezeigt wird, der aber auf einmal sehr leer ist und kaum noch Einträge drin hat.

Frage 2: Wechsel des Konto zur Absicherung
Kann ich mein Konto mit Administrator-Rechten Problem los diese entziehen und ein daraus ein Arbeitskonto machen? Sprich es in einen Standardkonto verwandeln, wenn ich vorher noch ein neues Adminkonto machen würde. ohne das es zu Probleme kommt?

Frage 3: SecurityCheck Log
Im Log von SecurityCheck gibt es den Eintrag "AntiSpyware_WMI" mit den Eintrag "Windows Defender (disabled and up to date)", ist das ein Problem und wenn ja, wie hebe ich das? Weil im Sicherheitsüberblick ist alles mit einen Grünen Häkchen versehen gewesen und noch versehen.

Gruß,
Sniperwolf

P.S.: Bitte Thread nicht schließen nach einer Antwort, falls ich dazu noch Rückfragen auf die Antwort haben sollte thx

Zitat:

Zitat von Sniperwolf

Schritt 2: Entfernung der verwendeten Tools
FRST Logs hab ich bereits entfernt, SecruityCheck ebenfalls. Nur der OnlineScanner ist noch drauf, welchen ich wohl drauf lassen würde um mal einmal in Monat zu scannen, falls das empfehlenswert ist. Muss ich dann noch das Tool ausführen?

KmRm entfernt den ESET Online Scanner auch.

Zitat:

Zitat von Sniperwolf

Offene Fragen:
Frage 1a: Fehlender Schutzverlauf
Wie bereits in einen Beitrag vorher erwähnt, ist mir aufgefallen, dass in der Log Addition.txt unter Windows Defender, dort zwei Ereignisse nicht aufgelistet sind, die "Zugriff auf geschützten Speicher blockiert" heißen.

Einmal vom 08.08.2023, Blockierte App oder Prozess: WinSAT.exe
Geschützter Ordner: \Device\CdRom0

Einmal vom 29.07.2023, Blockierte App oder Prozess: SrTasks.exe
Geschützter Ordner: \Device\HarddiskVolume4

Da solche Ereignisse aber in den Logs von anderen auftauchen, und der Zeitraum eigentlich mit den abgebildeten Log reingehören würde, find ich es seltsam das sie nicht drin stehen. Ist so was normal?

FRST listet nur Ereignisse des letzten Monats auf, die genannten Daten sind älter.

Zitat:

Zitat von Sniperwolf

Frage 1b: Fehlender Schutzverlauf
Des Weiteren wo kann ich den sehen, wann der letzte Scan war? Ich hatte irgendwie in Erinnerung, dass es im Schutzverlauf angezeigt wird, der aber auf einmal sehr leer ist und kaum noch Einträge drin hat.

Schau doch in der Ereignisanzeige unter
Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender
nach.

Zitat:

Zitat von Sniperwolf

Frage 2: Wechsel des Konto zur Absicherung
Kann ich mein Konto mit Administrator-Rechten Problem los diese entziehen und ein daraus ein Arbeitskonto machen? Sprich es in einen Standardkonto verwandeln, wenn ich vorher noch ein neues Adminkonto machen würde. ohne das es zu Probleme kommt?

Das sollte möglich sein.

Zitat:

Zitat von Sniperwolf

Frage 3: SecurityCheck Log
Im Log von SecurityCheck gibt es den Eintrag "AntiSpyware_WMI" mit den Eintrag "Windows Defender (disabled and up to date)", ist das ein Problem und wenn ja, wie hebe ich das? Weil im Sicherheitsüberblick ist alles mit einen Grünen Häkchen versehen gewesen und noch versehen.

Ja, der WMI Eintrag wird in FRST auch so angezeigt.
Das ist aber ein bekannter Fehler, kein Grund zur Sorge.

Das Sicherheitscenter ist ausschlaggebend. Es passt also alles.

Zitat:

Zitat von M-K-D-B

KmRm entfernt den ESET Online Scanner auch.

Da ich diesen gerne als zweiten (nicht Echtzeit) Scanner behalten würde, um monatlich damit einmal nachzuschauen, würde ich dann KmRm nicht ausführen. FRST und SecruityCheck hab ich ja per Hand gelöscht (die Exe und Log Dateien). Das dürfte doch ausreichen dann, oder?

Und ist ESET als Nicht-Echtzeit Scanner zu empfehlen oder eher Malware Byte? Oder beide?

Zitat:

Zitat von M-K-D-B

FRST listet nur Ereignisse des letzten Monats auf, die genannten Daten sind älter.

Ah, okay dann bin ich beruhigt. Danke für die Erklärung.

Zitat:

Zitat von M-K-D-B

Schau doch in der Ereignisanzeige unter
Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender
nach.

Hab ich, etwas verwirrend, aber komm da zu recht. Da kann man auch nichts kaputt machen, wie es mir scheint.

Zitat:

Zitat von M-K-D-B

Das sollte möglich sein.

War es auch. Damit wären die Sachen aus den Maßnahmen zur Absicherung abgeschlossen.

Zitat:

Zitat von M-K-D-B

Ja, der WMI Eintrag wird in FRST auch so angezeigt.
Das ist aber ein bekannter Fehler, kein Grund zur Sorge.

Das Sicherheitscenter ist ausschlaggebend. Es passt also alles.

Das beruhigt mich ungemein. So lange dort alles Grün ist, ist alles fein

Und nochmals vielen vielen Dank für deine Geduld, dein professionelles Auftreten und deine Empathie!

Gruß,
Sniperwolf

Zitat:

Zitat von Sniperwolf

Da ich diesen gerne als zweiten (nicht Echtzeit) Scanner behalten würde, um monatlich damit einmal nachzuschauen, würde ich dann KmRm nicht ausführen. FRST und SecruityCheck hab ich ja per Hand gelöscht (die Exe und Log Dateien). Das dürfte doch ausreichen dann, oder?

Und ist ESET als Nicht-Echtzeit Scanner zu empfehlen oder eher Malware Byte? Oder beide?

Wenn du alle "Reste" von FRST und SecurityCheck entfernen möchtest, musst du die entsprechenden Ordner unter C:\ löschen.
Oder du führst, wie erwähnt, KpRm aus.

Zitat:

Zitat von Sniperwolf

Und nochmals vielen vielen Dank für deine Geduld, dein professionelles Auftreten und deine Empathie!

Sehr gerne.
Alles Gute!






Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.