Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows 10: TrojanDownloader:JS/Jesdow.B!url (https://www.trojaner-board.de/189568-windows-10-trojandownloader-js-jesdow-b-url.html)

SvenW 01.04.2018 20:16

Windows 10: TrojanDownloader:JS/Jesdow.B!url
 
Wie bei einige andere Kollegen auch, hat mein Windows Defender den

TrojanDownloader:JS/Jesdow.B!url

gemeldet. Betroffene Elemente:
HTML-Code:

containerfile: C:\Recovery\Customizations\USMT.PPKG

file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\Movie\PowerDVD Cinema\Customizations\Cyberlink\APREG.URL
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerProducer\APREG.url

Windows Defender konnte den angeblichen Trojaner nicht entfernen. Der Microsoft Security Scanner hat die gleichen Dateien als Bedrohung erkannt und angeblich entfernt, was ich durch einen erneuten Windows Defender Scan aber widerlegt habe. Ich habe nun bei Euch schon ein wenig gestöbert und zunächst die Produkte

CyberLink\Power*

deinstalliert. Dann habe ich MBAM laufen lassen. MBAM hat 3 andere potentiell Bedrohungen erkannt (?!) und in die Quaratäne verschoben.

HTML-Code:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 01.04.18
Scan-Zeit: 17:14
Protokolldatei: 531d9200-35bf-11e8-ab31-fc459620b447.json
Administrator: Nein

-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.4578
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 16299.334)
CPU: x64
Dateisystem: NTFS
Benutzer: LAPTOP-0KPKPFG4\Sven

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 374833
Erkannte Bedrohungen: 3
In die Quarantäne verschobene Bedrohungen: 3
Abgelaufene Zeit: 3 Min., 4 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, [7445], [463412],1.0.4578

Registrierungswert: 1
PUP.Optional.StartPage.ShrtCln, HKU\S-1-5-21-1763994110-688292668-2833402100-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|OpenOffice Updater, In Quarantäne, [3986], [460759],1.0.4578

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 1
PUP.Optional.StartPage.ShrtCln, C:\USERS\JOE\APPDATA\ROAMING\OPENOFFICE UPDATER\UPDATER.EXE, In Quarantäne, [3986], [460759],1.0.4578

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

ESET hat nach den vorherigen Aktionen weder den angeblichen Trojaner noch die 3 zusätzlichen Bedrohungen gefunden.

Die Ausgabe des Security Checks war

HTML-Code:

Results of screen317's Security Check version 1.009 
  x64 (UAC is enabled) 
 Internet Explorer 11 
[b][u]``````````````Antivirus/Firewall Check:``````````````[/u][/b][u][/u]
Windows Defender 
 [size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size]
[b][u]`````````Anti-malware/Other Utilities Check:`````````[/u][/b][u][/u]
 [color=red][b]Java version 32-bit out of Date![/b][/color]
[b][u]````````Process Check: objlist.exe by Laurent````````[/u][/b][u][/u] 
 Windows Defender MSMpEng.exe
 Malwarebytes Anti-Malware mbamservice.exe 
 Malwarebytes Anti-Malware mbamtray.exe 
 Windows Defender MSASCuiL.exe 
[b][u]`````````````````System Health check`````````````````[/u][/b][u][/u]
 Total Fragmentation on Drive C:  %
[b][u]````````````````````End of Log``````````````````````[/u][/b][u][/u]

Ich lassen gerade einen weiteren Windows Defender Full Scan laufen. Das Ergebnis ergänze ich dann. Ich wollte hier vorab fragen, was es mit den 3 von MBAM gemeldeten potentiellen Bedrohungen auf sich hat.

Vorab herzlichen Dank und frohe Ostern!

Und hier nun das Ergebnis meines aktuellen Window Defender Full Scan. Der Defender meldet nachwievor einen TrojanDownloader:JS/Jesdow.B!url und verweist wie zu letzt auf die betroffenen Elemente

Code:

containerfile: C:\Recovery\Customizations\USMT.PPKG

file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\Power2Go8\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD Create\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\APREG.url
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerDVD12\Movie\PowerDVD Cinema\Customizations\Cyberlink\APREG.URL
file: C:\Recovery\Customizations\USMT.PPKG->\ICB\0\MachineSpecific\File\C$\Program Files (x86)\CyberLink\PowerProducer\APREG.url

Das Löschen der CyberLink\Power* Programmfamilie hat bei mir nichts bewirkt.

Für Euren Rat wäre ich dankbar.

cosinus 01.04.2018 22:46

Zitat:

Das Löschen der CyberLink\Power* Programmfamilie hat bei mir nichts bewirkt.
Das ist ja nun so Quatsch. Das Deinstallieren entfernt PowerDVD und damit auch die angemeckerten aber trotzdem ungefährlichen *.url Dateien - die nichts weiter als Verknüpfungen zu einer Internetseite sind.

Da müsstest du schon mal genauer schreiben was "nix bewirkt" eigentlich bedeuten soll.

SvenW 02.04.2018 16:02

Sorry wollte niemandem zu Nahe treten. "nix bewirkt" sollte nur bedeuten, dass der Windows Defender weiterhin einen Trojaner meldet. Ich verfolge parallel die folgende Diskussion

https://answers.microsoft.com/en-us/protect/forum/protect_scanner-protect_scanning-windows_10/trojandownloaderjsjesdowburl/7f1240f2-9db4-488b-a37d-583c7ef94df9

die für mich so klingt, als wenn sich ein neueres Signaturen Update des Windows Defender dazu entschlossen hat einen Trojaner zu entdecken wo aber keiner ist. Die Diskussion bestetigt nach meinem Empfinden nochmals Deine Aussage Cosinus. Wenn Du auch der Meinung bist, dass wir dieses Thema damit ruhen lassen können, könntest Du dann bitte noch einen Blick auf die 3 durch MBAM identifizieten Bedrohungen werfen und mir Hinweise geben was ich noch tun sollte.

Danke

cosinus 03.04.2018 09:23

Das Ding ist, dass die harmlosen Internetverknüpfungen dort gefunden werden --> file: C:\Recovery\Customizations\USMT.PPKG

Das ist eine Containerdatei. Vermutlich das Recoveryfile wenn man das Gerät in den Auslieferungszustand versetzen will. Dann isses klar, dass es "nix" bringt PowerDVD zu entfernen, weil die (harmlosen) Dateien im Containerfile gefunden werden. Eigentlich macht es keinen Sinn diese Datei zu scannen.

Die anderen Funde haben damit nichts zu tun - das sind Reste von (anderer) Junkware

SvenW 03.04.2018 17:34

OK Danke, dann können wir den Beitrag aus meiner Sicht schließen.

Nico Semsrott: Freude ist nur ein Mangel an Information:taenzer:


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131