Zum.Androm.1
 

Hallo,
seit einigen Tagen poppt mein Virusscanner (GData) die Meldung auf, dass in der Datei DropboxUninstaller.exe sich der Virus Zum.Androm.1 befindet. GData hat den Zugriff auf das Programm gesperrt, wopbei ich überhaupt nicht versucht hatte, Dropbox zu deinstallieren. Wenn ich GData die Anweisung geben will, die Datei zu deinstallieren bzw. in Quarantäne zu schicken, kommt der Hinweis, dass dann evtl. auch alle Archive nicht mehr zugänglich sind.
Meine Fragen:
Handelt es ich um einen Virus und könnte er gefährlich werden?
Wie kann ich ihn entfernen? Sollte ich evtl. Dropbox deinstallieren? Dann müsste ich aber wahrscheinlich auch die infizierte Datei Dropbox Uninstaller.exe zugreifen?!
Im Voraus vielen Dank für Eure Hilfe!

:hallo:

Mein Name ist Dennis und ich werde dir bei der Bereinigung helfen.

Bitte beachte, dass es ein paar Regeln gibt:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte, unterbreche deine Arbeit, poste die entstandenen Logs und schildere dieses so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools welche hier im Thread erwähnt werden
• Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen

Kann gut sein, dass das ein Fehlalarm ist. Wir schauen aber mal genauer rein :)

Wir benötigen für eine sinnvolle Analyse zuerst ein FRST-Log.

Schritt # 1: FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt # 2: Bitte Posten

• Die FRST.txt
• Die Addition.txt

Hallo Dennis,
erst einmal vielen Dank, dass Du mir hilfst.
Ich habe mir FRST vom angegebenen Link heruntergeladen und direkt aus der Downloadliste von Firefox gestartet. Ich bekam von meiner AntiViren-Software die Mitteilung, dass eine Datei erunt.exe als gefährliche Bedrohung angesehen wird und es wurde Löschung unter Quarantäne empfohlen. Was ich auch gemacht habe. Danach musste ich den Rechner neu starten und es wurden Updates eingespielt. Vielleicht war das auch nur eine zufällige Koinzidenz. Nach dem Neustarten habe ich FRST erneut gestartet und alles hat funktioniert.
Hier die FRST.txt:

Hallo Dennis,
hier ist die Addition.txt:
Hallo Dennis,
eine kleine Aktualisierung. Als ich heute Morgen mein Windows 10 hochfahren wollte, wurde das Booten (zum ersten Mal überhaupt) mit dem Hinweis abgebrochen, dass ein Fehler aufgetreten sei, der einen Neustart erforderlich macht. Mit dem Neustart klappte dann das Hochfahren problemlos. Leider habe ich mir die genaue Fehlermeldung nicht gemerkt, da sie zu schnell wieder ausgeblendet wurde.

Hi,

also das bei Dropbox ist ziemlich sicher ein Fehlalarm. Aber 1/2 Einträge seh ich, die man ruhig entfernen kann :)

Schritt # 1: AdwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt # 2: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt # 3: FRST

Und noch ein frisches FRST-Log bitte.



Schritt # 4: Bitte Posten

• Das Log von AdwCleaner
• Das Log von ESET
• Das frische FRST-Log

Hallo Dennis,
hier ist die log-Datei von AdwCleaner:
Hier haben wir die ESET-Datei:
Und schließlich ein neues FRST.txt:

Hi,

das ADW-Cleaner Log ist oben abgeschnitten.

Gibts noch Probleme?

Oh, da war ich wohl zu hektisch. Könnte der abgeschnitte Teil wichtig sein? Wie/wo bkomme ich evtl an das log File heran, ohne den Adw Cleaner erneut zu starten? Er hatte mehrere Stunden für den Check benötigt.
Ich kann aktuell noch nicht sagen, ob noch Probleme auftauchen, da ich den Rechner erst kurzfristig anhabe. Ich muss den morgigen Tag abwarten, wenn das Laptop wieder den ganzen Tag an ist.

Hi,

Stunden? :eek:

Das Log file liegt hier:

Hi Dennis,
vielen Dank für die schnelle Antwort. Es war wohl ESET, das so lange gerödelt hat.

Ich habe unter dem Pfad drei txt-Files gefunden:

Hi,

wenns keine Probleme mehr gibt, bleibt mir wohl nur dir noch frohe Wiehnachten und einen guten Rutsch zu wünschen! Falls doch noch welche auftauchen sollten, kannst natürlich immer gerne hier vorbeischauen :)


Falls du deine Passwörter nicht regelmäßig änderst - jetzt ist der Zeitpunkt dafür!

Schritt # 1: Entfernen unserer Tools

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Abschließend noch ein paar Tipps von mir:

Schritt # 2: Empfohlene Software

Habe immer ein aktuelles Antivirenprogramm deiner Wahl installiert und aktiviere die automatischen Updates (standardmäßig eingeschaltet).

Ich empfehle:

• http://filepony.de/icon/tiny/emsisoft_anti_malware.pngEmsisoft Anti-Malware. (-25% für TB-Mitglieder)
• http://i1366.photobucket.com/albums/...psdnaytr4t.pngMicrosoft Security Essentials (Ab Windows 8 Microsoft Defender)

Verwende nach Möglichkeit nicht den Internet Explorer, da dieser viele Sicherheitslücken enthält. Achte aber darauf, dass er immer up to date bleibt, weil viele Programme diesen zum Anzeigen von Websites benutzen.

Alternativ kannst du verwenden:

• http://filepony.de/icon/tiny/firefox.pngMozilla Firefox
• http://filepony.de/icon/tiny/google_chrome.pngGoogle Chrome

Dazu sind folgende Add-ons empfehlenswert:

http://i1366.photobucket.com/albums/...psgqd3flcy.pnguBlock Origin (Chrome) --> Blockiert Werbung. Werbung kann sehr nervig sein, aber auch auf schädliche Links verweisen. uBlock ist effizienter als der Konkurrent AdblockPlus.
http://filepony.de/icon/tiny/ghostery_chrome.pngGhostery --> Blockiert Tracker und Cookies, welche dich im Internet nachverfolgen können. Stelle jedoch bei der Installation sicher, dass du Ghostrank nicht zustimmst.

Du kannst auch http://filepony.de/icon/tiny/malware...ti_exploit.pngMalwarebytes Anti-Exploit verwenden, um aktuelle Sicherheitslücken zu stopfen.

Halte immer deine Plug-ins und Software aktuell, vor allem:

• Deinen Browser
• http://filepony.de/icon/tiny/flashplayer_firefox.pngFlash Player
• http://filepony.de/icon/tiny/jre_64.pngJava
• http://filepony.de/icon/tiny/adobe_reader.pngPDF Reader

Du kannst diese komfortabel regelmäßig hiermit überprüfen:

PluginCheck
Filehippo App Manager



Schritt # 3: Tipps um eine Neuinfektion zu vermeiden

Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal wie FilePony.de. Von Downloadern wie die von Chip, Softonic und Sourceforge raten wir ab: CHIP-Installer - was ist das? - Anleitungen

Auch versuchen sich immer mehr Programme durch Installationsroutinen auf den PC "durchzumogeln". Das klappt ganz gut, weil viele Anwender sich diese nicht genau durchlesen und schnell durchklicken. Manchmal steht auch in den Lizenzvereinbarungen, dass ein Programm, was eigentlich als Freeware angepriesen wird, nur genutzt werden kann, wenn man sich bestimmte Toolbars oder andere Programme mitinstallieren lässt.
Da hilft es nur aufmerksam zu sein.

Ein Tool, welches dich dabei gut unterstützen kann, ist: http://filepony.de/icon/tiny/unchecky.pngUnchecky. Dieses überwacht im Hintergrund Installationsprozesse und hakt automatisch nervige Adwarekomponenten wie Toolbars ab. Falls man etwas übersieht, warnt noch ein Pop-up, bevor man fortfahren kann.

Wir raten von jeglichen Optimizern, Cleanern, SpeedUps und Ähnlichem ab, da diese Softwareprodukte meist keinen Performancegewinn bringen. Du kannst jedoch regelmäßig deinen PC mit der windowsinternen Datenträgerbereinigung behandeln.

Überprüfe regelmäßig (mind. 1x pro Monat) deinen PC mit http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET.

Falls du dir unsicher bist, ob ein Download wirklich sauber ist, kannst du immer https://www.virustotal.com/ zurate ziehen.



Schritt # 4: Unterstütze uns!

Wenn du uns mit einer kleinen Spende unterstützen möchtest, so kannst du dies hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html :party:

Es reicht aber auch schon ein simples :dankeschoen: hier, wenn du mit uns zufrieden warst. :)

http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png unsere Facebook-Seite!

Bitte gib mir bescheid, wenn du das alles gelesen hast und alles klar ist, damit ich dieses Thema aus meinen Abos löschen kann.

Danke!
 

Hallo Dennis,
recht herzlichen Dank für Deine Hilfe. Gerne Spende ich etwas für den guten Service. In der Tat ist der Fehler mit Dropbox bisher nicht mehr aufgetreten.

Nur noch 2 Fragen:
Ihr empfiehlt als Browser den Firefox, den ich auch zur Zeit benutze. Allerdings verbraucht er mir inzwischen zu viel Rechnerkapazitäten und ab Windows 10 bzw. Firefox Version 41 habe ich häufig Probleme mit Java. Daher überlege ich mir, den neuen Microsoft Edge zu verwenden. Wie sind bei ihm bisher die Sicherheitsüberlegungen?
Beim Start vonDelFix hat mein Virenscanner ein Programm "erunt.exe", das von DelFix gestartet wurde, als potentielle Bedrohung angesehen bzw. Delfix selber. Der Scan konnte nur zu Ende ausgeführt werden, indem ich die Freigabe für die Programme erteilt habe. Ich hofe, dass war kein Fehler?
Besten Dank

Hi,

Bei Java solltest du dir wirklich überlegen, ob du das noch brauchst. Praktisch alle Anwendungen funktionieren mittlerweile auch ohne.

Zu MS Edge kann ich leider nicht so viel sagen, aber das was ich bis jetzt gesehen und getestet habe, gefällt. Es sind aber noch keine Addons verfügbar, was für mich persönlich ein No-Go ist und somit ein asführliches Testen unmöglich macht.

ERUNT ist wohl das beste Programm für Registry-Backups, weshalb es auch von unseren mächtigsten Tools (wie FRST oder ComboFix) verwendet wird. Um diese Effektivität gewährleisten zu können, muss ein ziemlich tiefer Systemeingriff gemacht werden, weshalb AVs das gerne melden. :)

Hi Dennis,
leider habe ich eine für mich wichtige Anwendung, die definitiv ohne Java nicht läuft. Trotzdem noch einmal vielen Dank!

Gerne :)