|
Windows 7: Rootkit durch Avast Internet Security blockiert und in Virus Container verschoben Hallo, wie dem Titel schon zu entnehmen ist, habe ich mir gestern offenbar ein Rootkit eingefangen. Ich habe dummerweise einen Link unter einem Youtube Video angeglickt, was man ja eigentlich nicht tun sollte, wenn man sich nicht vollkommen sicher ist, aber gut. Problematischerweise steckte hinter dem Link eine Datei welche sich im Downloadmanager (Firefox) zwecks Speicherung öffnete. Just in dem Moment schlug auch schon mein Virenscanner (Avast Internet Security - up to date) auf einen Rootkitfund an. Ich habe daraufhin natürlich ohne zu zögern den "Ziel - speichern" Dialog abgebrochen. Avast hingegen hat die Datei sofort in Quarantäne verschoben aus der ich Sie daraufhin komplett gelöscht habe (in der Hoffnung, dass es damit erledigt wäre). Zur Sicherheit habe ich, bei getrennter Internetverbindung, einen Startzeitscan mit höchstem Wirkungsgrad und Erkennung von PuP und Entpackung von Archiven durchgeführt, daraufhin einen Scan mit Malwarebytes Anti Malware und dann noch einmal eine Startzeitprüfung mit gleichen Einstellungen. Malwarebytes erkannte nichts, avast hingegen fand beim 1.Mal einen Virus und verschob diesen in Quarantäne, fand beim zweiten mal jedoch nichts. Diesen habe ich, wie beim ersten Mal auch, anschließend aus der Quarantäne gelöscht. Anschließend habe ich einen Scan mit Gmer versucht, welcher aber an einem Blue Screen scheiterte und anschließend einen Scan mit Eset Online, welcher 7 infizierte Dateien lieferte, wobei ich auch nach PuP suchte. Hierbei habe ich aber nichts entfernt, sondern lediglich einen Logfile erstellt. Anschließend habe ich noch die Schritte in eurem FAQ für neue Themen abgearbeitet. Ärgerlicherweise sind die Logfiles insgesamt zu umfangreich um sie hier zu posten, daher musste ich Sie in den Anhang packen. Hoffe es geht trotzdem. Ich bedank mich schonmal an dieser Stelle für jegliche Hilfe. |
Hi und :hallo: Logs bitte nicht anhängen, notfalls splitten und über mehrere Postings verteilt posten  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Gut mach ich, danke erstma für die schnelle Antwort. Also hier die Addition.txt Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 25-05-2014 02FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 25-05-2014 02--- --- --- --- --- --- hier der avast log: Code: 04/12/2014 13:08Code: ESETSmartInstaller@High as downloader log: |
Warum kommst du auf Rootkit? Oder waren das noch nicht alle Funde? |
Ich hab auf Verdacht den Gmer Log einfach geteilt: Code: GMER 2.1.19357 - hxxp://www.gmer.net |
Code: * 2 |
Ich seh da keine Rootkits. Bezugnehmen auf deine Überschrift: Zitat:
|
Naja das Ding is, Avast hatte gemeldet, dass ein Rootkit gefunden wurde, den dann in Quarantäne verschoben und aus der Quarantäne hab ich den dann gelöscht. Ein Log zu der Meldung hab ich leider nich gefunden. Ich hatte halt daraufhin wie oben beschrieben gescannt und dabei hat er diesen Win32:Adware-gen gefunden. Dann noch der Eset Scan bei dem halt die 7 infizierten Objekte gefunden wurden. Da dachte ich dass doch Rootkits irgendwo in meinem System ne Backdoor ausnutzen oder erzeugen um Schadsoftware für den Urheber nachzuladen oder irre ich? Daher dachte ich, dass zwar Avast nüscht mehr findet, ich aber immernoch nen Rootkit hab der fröhlich Viren nachlädt. Mach halt auch Bankgeschäfte über mein Laptop daher war ich verunsichert und Rootkits sollen ja schwer zu finden sein. Hoffe das war jetzt nicht zu konfus ^^ Wenn ich mich recht entsinne war der Rootkit übrigens im Temp Ordner von Firefox, falls dir das irgendwie bei meinem Kauderwelsch weiterhilft :) zu den Funden nochmal: Avast hatte halt einmal diesen Rootkit (ich weiß leider echt nich mehr wie der hieß) blockiert dann noch Win32:Adware-gen [Adw] bei der Startzeitprüfung Eset hatte die 7 Sachen hier bemängelt: Code: sh=6525F85F423A8ACB9DE261FCE7C1BFDCAF0651EC ft=1 fh=e751b5239200023c vn="Win32/Bundled.Toolbar.Google.D potenziell unsichere Anwendung" ac=I fn="C:\Downloads\ccsetup404.exe"Als ich nach der 2. Startzeitprüfung das netzwerkkabel wieder anschloss ploppte im selben moment die Meldung auf, dass die "Windows Media Network Sharing Service Configuration Application" (wmpnscfg.exe) nicht mehr funktionstüchtig sei. Ich dachte nich dass das was damit zu tun hat, bin aber nu echt kein Fachmann. verzeih bitte sollte, dass jetz ein nutzloser Doppelpost sein |
Zitat:
|
In dem Ordner sind bestimmt 20 Logs mit lauter kryyptischen Zeichen. Hab jetz aus dem EventLog (schien mir am sinnvollsten) mal alles seit dem 26.05 rauskopiert Code: 26.05.2014 02:23:47 Maj 6 Min 1 GetVersionEx 6.1 Stored 6.1Welche Logdateien könnten denn noch hilfreich sein Enthalten sind: aswAR.log (27.05), aswAR1.log (8.04), aswBoot.log(28.05), Autorenewal.log (24.05), autosandbox.log (19.04), Avast Browser cleanup.log (27.05), avastium.log (27.05), Chest.log (28.05), EventLog.log (28.05), FilterEngine.log (28.05), Firewall.log (27.05), GrimeFigther.log (28.05), HtmlRemoteContent.log (28.05), Mail.log (28.05), PushPin.log (9.05), Resident.log (28.05), SecureLine.log (28.05), selfdef.log (27.05), softwarehealth.log (28.05), SpamEngine.log (28.05), StreamFilter.log (28.05), UITracking.log (28.05), usntr.log (28.05) Hab in alle mal reingeguckt aber nicht wirklich was gerafft. |
Bevor wir hier unzählige Postings haben um das richtige Log zu finden: ausnahmsweise alle darin enthaltenen Log-Dateien in eine Datei zippen und im nächsten Beitrag als Anhang posten. |
Oh mein Gott sorry. Ich hab jetzt den ganzen Tag auf eine Antwort gewartet, die schon lange da war. Ich hab gar nicht mitgekrigt, dass die auf der nächsten Seite stand. Entschuldige bitte tausendmal. Zu den Logfiles muss ich sagen, dass sich 3 nicht packen ließen, weil gerade verwendet. Hab dann deren Inhalt 1 zu 1 in Textdateien kopiert. (avastium.txt, selfdef.txt und softwarehealth.txt) |
Auch damit komm ich nicht weiter. Seh da keinen Zusammenhang mit einem Rootkit. Du hast wenn überhaupt nur Adware/Junkware drauf Adware/Junkware/Toolbars entfernen 1. Schritt: adwCleaner Downloade Dir bitte  AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Also hier AdwCleaner: Code: # AdwCleaner v3.211 - Bericht erstellt am 28/05/2014 um 22:34:36Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 25-05-2014 02--- --- --- |
Okay, dann bitte Kontrollscans mit MBAM bitte: Downloade Dir bitte  Malwarebytes Anti-Malware
|
So dann hier also die Antwort: Code: Malwarebytes Anti-Malware |
Bis auf ein wenig Adware keine Funde. Rechner wieder ok? |
Erstmal herzlichsten Dank für die Mühe, die du dir mit mir gemacht hast. Es scheint ja bald so, dass avast den rootkit zuverlässig blockiert und vernichtet hatte bevor Schlimmeres passieren konnte richtig? Das wir dabei nebenbei noch gleich Adware entfernt haben ist natürlich ein angenehmer Nebeneffekt. Irgendein auffälliges Verhalten konnte ich an meinem Rechner jetzt auch nicht fesstellen. Bleibt mir also nur noch die Frage, wie den unter Fachleuten generell so die Meinung zur Schutzwirkung von Avast I.S. ist und ob man trotz integriertem Malwarescanner (in avast) malwarebytes verwenden sollte. Nochmal danke für die schnelle und zuverlässige Hilfe auch bei später Stunde :applaus: Hab doch noch was aufm Herzen. Und zwar hab ich jetz grad mal noch ein hijackthis logfile auswerten lassen und dabei meinte er dass diese datei "C:\Programme und Spiele\Avast Free Antivirus\AvastUI.exe" /nogui" den gleichen Programm und Dateinamen hat und das dies schädlich sei. Könnte es also sein das sich in avasst selbst ein virus eingenistet hat. oO Oder seh ich nur gespenster und hjt is einfach nich die beste referenz. |
Zitat:
|
Ok also meinst du, dass ist ein Fehlalarm sprich Hijackthis krigts nich gebacken oder so? Dann bin ich ja beruhigt :). Herzlichsten Dank nochmal |
Finger weg von Hijackthis!!! => Bitte keine HijackThis Logfiles posten - Trojaner-Board |
Gut danke. Dann lass ich jetzt die FInger davon. Machs gut:applaus: |
TFC - Temp File Cleaner Lade dir  TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ist aber nur optional. Um Usertracking zu verhindern kann man gut die Firefox-Erweiterung Ghostery verwenden. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Wofür ist jetzt dieses TFC? Also bei Firefox nutze ich bisher Ghostery, Noscript, AdblockPlus (ja ich weiß is nich so doll), BetterPrivacy, Webutation und Avast online security |
Steht doch da => Temp File Cleaner TFC leert alle Temp-Ordner. Das macht man so zum Abschluss. |
Achso und jetzt fällt mir aus gegebenen Anlass auch noch eine andere Frage ein. Und zwar häufen sich bei mir in letzter Zeit die Spammails in meinem Hauptemailpostfach. Ich lösch die halt einfach (sprich alles was ich nich zuordnen kann und alles was im Spamordner von vornherein landet) aber kann man irgendwas machen damit man die nich mehr in solchen mengen bekommt. Letztendlich denk ich mal wird das ja aussichtslos sein, nehm ich an dazu is der Spamordner ja da richtig :dummguck: |
Spam hat so nichts mit Malware zu tun. Leg dir halte ne zweite Emailadresse zu die du nicht jedem Hans und Franz gibst. Ist zwar auch keine Garantie aber das minimiert das Spamaufkommen doch erheblich. Kurz gesagt: Kategorisiere E-Mail-Adressen zB in privat, wichtig und zB eine ganz unwichtige die du nur für Registrierungen verwendest Dann wären wir durch! :daumenhoc Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen. Helfen kann dir dabei delfix: Die Reihenfolge ist hier entscheidend.
Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board
