Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 10: Trojan.Generic.20053438 in C:\Program Files\eXpert PDF 10\localization-service.dll (https://www.trojaner-board.de/183602-windows-10-trojan-generic-20053438-c-program-files-expert-pdf-10-localization-service-dll.html)

Nid01 19.12.2016 15:24
Windows 10: Trojan.Generic.20053438 in C:\Program Files\eXpert PDF 10\localization-service.dll
 
Ich sollte einen Laptop für eine Bekannte neu aufsetzen, da er langsamer wurde und Norton dauernd Meldungen ausspuckte. Die Daten vom Laptop sind von einem früheren Stand mit Acronis auf eine externe Festplatte gesichert worden. Nun hab ich nach dem Aufspielen des 700 GB Images auf den Laptop mit GData den Trojan.Generic.20053438 und andere Sachen gefunden.
Jetzt bräuchte ich Hilfe, um alle Schädlinge so sauber wie möglich los zu werden, damit ich alle wichtigen Daten sichern und Windows 10 nochmal neu installieren kann.

Zusätzlich hätte ich die Frage, ob der Trojaner sich zufällig in den Ordner von expert pdf 10 installiert hat oder ob die Firma diese Schadsoftware vertreibt.

Farbar's Recovery Scan Tool habe ich schon mal durchlaufen lassen, aber da die FRST.txt und Addition.txt sind nicht gerade kurz, darum werde ich die, sobald ich aufgefordert als .zip-Dateien hochladen.

GDATA fand folgende Sachen:
Code:
Startzeit        Art        Titel        Status
2016-12-18 21:08:26        G DATA Dateisystem Wächter        Junkware (PUP) gefunden        Läuft

Beim Öffnen der Datei "C:\Program Files (x86)\VLC Updater\vlc-updater.exe" wurde die Junkware (PUP) "Win32.Application.Gnilohb.A (Engine B)" entdeckt. Zugriff verweigert. (Engine A: AVA 25.9584, Engine B: GD 25.8413)

Startzeit        Art        Titel        Status
2016-12-18 21:39:04        Bereinigung während Neustart        vlc-updater.exe        Abgebrochen

Datei:        C:\Program Files (x86)\VLC Updater\vlc-updater.exe
Virus:       

Status:        0

Registry-Wert:        HKEY_USERS\S-1-5-21-3422348903-3453550657-1556291383-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: VLC Updater
Status:        In Quarantäne verschoben.

Startzeit        Art        Titel        Status
2016-12-18 21:46:19        Bereinigung während Neustart        System        Abgebrochen

Registry-Wert:        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer: NoActiveDesktop
Status:        In Quarantäne verschoben.

Registry-Wert:        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer: NoActiveDesktopChanges
Status:        In Quarantäne verschoben.

Registry-Wert:        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer: NoRecentDocsHistory
Status:        In Quarantäne verschoben.

Registry-Wert:        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\Shell\Open\Command: (Standard)
Status:        In Quarantäne verschoben.

Registry-Wert:        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\Shell\Open\Command: (Standard)
Status:        Wiederhergestellt.

Registry-Wert:        HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon: Shell
Status:        Wiederhergestellt.

Registry-Wert:        HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon: Shell
Status:        Wiederhergestellt.

Registry-Wert:        HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon: Shell
Status:        Wiederhergestellt.

Registry-Wert:        HKEY_USERS\S-1-5-21-3422348903-3453550657-1556291383-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer: NoInstrumentation
Status:        In Quarantäne verschoben.

Registry-Wert:        HKEY_USERS\S-1-5-21-3422348903-3453550657-1556291383-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon: Shell
Status:        Wiederhergestellt.

Registry-Wert:        HKEY_USERS\S-1-5-21-3422348903-3453550657-1556291383-1001_Classes\Software\Microsoft\Windows NT\CurrentVersion\Winlogon: Shell
Status:        Wiederhergestellt.

Startzeit        Art        Titel        Status
2016-12-18 22:07:00        Interaktiv        PConverter.0411ce1a28644be28eea85b116d57547.exe        Läuft

Die Datei wurde gelöscht.

Datei: C:\Users\*******\Downloads\PC und Programme\PConverter.0411ce1a28644be28eea85b116d57547.exe
Junkware (PUP): Win32.Adware.Mindspark.E (Engine B)
Engines: Engine A: AVA 25.9584, Engine B: GD 25.8413

Startzeit        Art        Titel        Status
2016-12-18 21:57:10        G DATA Dateisystem Wächter        Junkware (PUP) gefunden        Läuft

Beim Öffnen der Datei "C:\Users\*******\Downloads\PC und Programme\PConverter.0411ce1a28644be28eea85b116d57547.exe" wurde die Junkware (PUP) "Win32.Adware.Mindspark.E (Engine B)" entdeckt. Zugriff verweigert. (Engine A: AVA 25.9584, Engine B: GD 25.8413)

Startzeit        Art        Titel        Status
2016-12-19 06:38:49        G DATA Dateisystem Wächter        Virenfund        Läuft

Beim Öffnen der Datei "C:\Program Files\eXpert PDF 10\localization-service.dll" wurde der Virus "Trojan.Generic.20053438 (Engine A)" entdeckt. Zugriff verweigert. (Engine A: AVA 25.9612, Engine B: GD 25.8423)

Startzeit        Art        Titel        Status
2016-12-19 06:40:26        Leerlauf-Scan        localization-service.dll        Abgebrochen

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Program Files\eXpert PDF 10\localization-service.dll
Virus: Trojan.Generic.20053438 (Engine A)
Engines: Engine A: AVA 25.9611, Engine B: GD 25.8420
Der Leerlauf-Scan wird fortgesetzt.

Startzeit        Art        Titel        Status
2016-12-19 06:40:36        Leerlauf-Scan        TooltabExtension.dll        Abgebrochen

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Users\*******\AppData\Local\FromDocToPDFTooltab\TooltabExtension.dll
Junkware (PUP): Win32.Adware.Mindspark.E (Engine B)
Engines: Engine A: AVA 25.9612, Engine B: GD 25.8423
Der Leerlauf-Scan wird fortgesetzt.

Startzeit        Art        Titel        Status
2016-12-19 06:40:41        Leerlauf-Scan        TooltabExtension.dll        Abgebrochen

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Users\*******\AppData\Local\OnlineMapFinderTooltab\TooltabExtension.dll
Junkware (PUP): Win32.Adware.Mindspark.E (Engine B)
Engines: Engine A: AVA 25.9612, Engine B: GD 25.8423
Der Leerlauf-Scan wird fortgesetzt.
Ich danke im Voraus für jede Hilfe.

cosinus 20.12.2016 10:52
Die Lösung ist ganz einfach. Sicher nur reine Datendateien und nix weiter.
Es macht wenig bis keinen Sinn alles aus den Programmordnern wie C:\Program Files (x86) oder C:\Program Files mitzuschleppen, da Programme auf einem neu installierten Windows normalerweise eh neu installiert werden müssen.

Da du ein Image schon hast kannst du ganz einfach nochmal alles plätten, Windows manuell neu installieren, Acronis nachinstallieren und dann aus dem letzten Image alle benötigten Ordner wiederherstellen. Aber halt eben nix aus den Programmordnern bzw nur dann wenn es unbedingt sein muss.

Nid01 26.12.2016 22:20
Wie erklärt habe ich Windows 10 neu installiert und nur Dokumente, Downloads, etc. aus dem Image rausgeholt. System und persönliche Daten werden in Zukunft getrennt gesichert.
Ich danke für die kurze Anleitung. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131