Win10: Trojaner/Malware nach Chip Download + Befall der externen Festplatte
 

Mahlzeit zusammen,

vor wenigen Wochen habe ich mir einen neuen Laptop zugelegt und wollte gleich die Standardprogramme Freeware Programme installieren, welche ich auch auf dem alten Laptop hatte (VLC, TeraCopy, etc...).
Wie bei den meisten Downloads bin ich dabei bei Chip.de gelandet und ich war mir auch bewusst, dass oftmals Adware mit installiert wird. Aber auch, dass man dies umgehen kann, indem man nicht einfach nur alles "installiert", sondern manuell gewisse Häkchen deaktiviert (benutzerdefiniert).

Das habe ich bei den Programmen, bei denen es möglich war auch gemacht. Bei den restlichen konnte ich keine benutzerdefinierten Einstellungen finden, also habe ich dem Herausgeber vertraut...wohl ein fataler Fehler.

Anfangs wurde meine Startseite im Browser umgeändert und meine Suchanfragen in der Browserzeile wurden umgeleitet auf eine andere Suche (ich kenne leider den Namen nicht mehr). Daraufhin wurde ich hier im Forum fündig und habe ein paar Schritte hinsichtlich AdWare Cleaner und Malwarebytes durchgeführt, um diese zu entfernen (einige dieser Schädlinge sind in den "ältesten" Logs zu erkennen; Avira findet aber z.B. gar nichts).
Avira meldet sich lediglich immer dann, wenn ich mit MalWareBytes die betroffenen Dateien in die Quarantäne verschieben möchte mit folgender Info: "Veränderung an der Registry blockiert, bitte führen Sie eine vollständige Systemprüfung durch". inzwischen merke ich zumindest gefühlt keinen Befall mehr, allerdings will ich natürlich auf Nummer sicher gehen und euch Profis natürlich zu Rate ziehen.

Laut den Logs hatte ich folgende Funde:
Trojan.FlashKiller
Trojan.Agent.Trace
PUP.Optional.PriceFountain
PUP.Optional.DownloadSponsor


Inzwischen zeigen AdwCleaner und MalWarebytes auf meinem Laptop selbst keine Funde mehr an, allerdings zeigt MalWarebytes weiterhin auf der angeschlossenen NAS-Festplatte welche an (CrackTool.Agent.Keygen und CrackTool.Agent).
Vermutlich von irgendwelchen uralten Keygens, die noch auf der Festplatte schlummern (und ja, die eine komprimierte Datei heißt "penisse.rar"...ein Hoch auf die Kreativität auf Lanpartys ;-))

Ich habe die Dateien inzwischen schon mehrere Male in die Quarantäne verschoben und dort auch schon 1-2 mal wieder gelöscht, allerdings tauchen diese immer wieder dort auf.

Anbei habe ich mal die Logs aus MalWareBytes und FRST. FRST Log konnte ich leider nicht hier posten, da die max. Zeichenlänge überschritten wird, daher musste ich das Log als 7zip hochladen (sorry hierfür!).

Was muss ich tun, damit mein Laptop selbst komplett sauber ist und wie kann ich meine NAS von den Schädlingen befreien?

Danke im Voraus für eure Hilfe!

Viele Grüße
Flo aka enforcerflo

FRST 1.Teil

FRST 2.Teil:

FRST 3.Teil
Und hier noch das Addition Log:

letzte Malwarebytes Logs (beginnend mit dem neusten Log):

Danke schonmal für die Hinweise!

Habe die Dateien jetzt gelöscht und werde nochmals MalWareBytes drüberlaufen lassen. Sobald die Analyse durch ist, werde ich die Logs hier posten. Das wird aber vermutlich ein paar Stunden dauern.

Es geht nicht nur um die Cracks und Keygens selbst sondern auch etwaig installierte gecrackte und damit illegale Software. Die muss auch runter.

Hi Cosinus,

solche Software ist nicht installiert - ist alles lizenziert oder Freeware.

Viele Grüße
Flo aka enforcerflo

ok

+++ WICHTIGER HINWEIS +++

Während der Analyse und Bereinigung nimmst du KEINERLEI Änderungen auf eigene Faust vor, d.h. du installierst oder deinstallierst keine Software ohne Absprache.
Auch veränderst du keine Systemeinstellungen, solange wir deinen Fall bearbeiten. Änderungen, Installationen oder Deinstallationen machst du AUSSCHLIESSLICH nur auf Anweisung!
Es wird erforderlich sein, deinen Virenscanner zu deaktivieren und in bestimmten Fällen auch zu deinstallieren, damit vernünftig bereinigt werden kann. Dein System ist daher erst wenn wir hier fertig sind wieder für den alltäglichen Gebrauch wie surfen oder mailen von mir freigegeben.

Gelesen und verstanden?



Bitte Avira deinstallieren. Das Teil empfehlen wir schon seit Jahren aus mehreren Gründen nicht mehr. Ein Grund ist ne rel. hohe Fehlalarmquote, der zweite Hauptgrund ist, dass die immer noch mit ASK zusammenarbeiten (Avira Suchfunktion geht über ASK). Auch andere Freewareanbieter wie AVG, Avast oder Panda sprangen auf diesen Zug auf; so was ist bei Sicherheitssoftware einfach inakzeptabel. Vgl. Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog

Gib Bescheid wenn Avira weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

Nachdem die betroffenen Dateien nun manuell gelöscht wurden, findet auch mwb nichts mehr.
Das heißt aber vermutlich noch nicht sicher, dass mein System wieder sauber ist?

Zur Deinstallation von Avira hab ich noch eine Frage:
In dem Blog ist ja als einzige Alternative die Software von Emisoft selbst dargestellt.
Gibt es noch andere Alternativen, die empfohlen werden? Auch Freeware? Oder sollte man hier ein paar € investieren?

Empfehlungen gibt es wenn wir hier durch sind. Da wird auch von was anderem gesprochen als nur Emsi.

Avira ist deinstalliert: Gelesen und verstanden!

Und hier auch nochmal das Log von mwb nach dem Löschen der Keygens:

Anleitung bitte richtig lesen und das richtig Log posten, danke.