IDP.Generic - Fehlalarm oder Bedrohung?
 

Hallo,

ich habe in letzter Zeit das Problem, dass mein Antivirenprogramm "Avast" häufiger eine Warnmeldung von sich gibt. Es handelt sich dabei um (mögliche) Bedrohungen, die entweder als IDP.Generic oder IDP.Alexa.53 bezeichnet werden. Immer sind es mir völlig unbekannte Dateien, die anscheinend im temporären Windows-Ordner abgespeichert sind.

Ich wollte die Dateien selber mal überprüfen lassen auf einer Seite namens virustotal.com. Das Problem war aber, dass ich die Datei gar nicht zur Überprüfung hochladen konnte, da in dem betroffenen Order, der als mögl. Bedrohung erkannt wurde, keine Dateien drin waren (s. Bild).

Wenn ich nach der Erkennung durch Avast einen Virenscan durchführe, ist der immer negativ. Es ist des Weiteren so, dass die Warnmeldungen anscheinend unabhängig von einem bestimmten Programm oder Vorgang erscheinen. Das letzte Mal war es sogar so, dass sie kurz nach Hochfahren des Laptops kam, obwohl ich noch gar nichts geöffnet hatte.

Handelt es sich um einen wirklichen Virus oder Trojaner? Oder könnte es auch ein Fehlalarm sein? Bin für jede Hilfe sehr dankbar!

Angehängte Bilder:
- Virus-Container von meinem Avast-Programm
- leerer Dateiordner der angeblichen Bedrohung

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Ob es sich um einen Fehlalarm oder um eine konkrete Bedrohung handelt, kann ich dir ohne weitere Informationen nicht sagen.

Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Sobald du die benötigten Logdateien gepostet hast, sehen wir weiter. :)

FRST.txt

Additions.txt

Einen (lesbaren) Log meines Antivirenprogramms konnte ich leider nicht hochladen. Habe die "log.dll"-Datei mit dem Text-Editor geöffnet, aber dabei kam leider nur Unleserliches raus, siehe angehängtes Bild:

Wie ich es geahnt habe... :D

Bevor wir mit der Bereinigung beginnen können, muss allerdings Avast und ggf. andere Software deinstalliert werden, da sie die Bereinigung stören oder infiziert wurden!
Der Windows Defender aktiviert sich danach automatisch, also kein Grund zur Sorge. ;)










Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
Google Chrome ist mit Malware infiziert und musst ebenfalls deinstalliert werden!

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • App Explorer
  • Avast Free Antivirus
  • Google Chrome
  • Trojan Remover
• Setze bei der Deinstallation von Google Chrome auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\ProgramData\ntuser.pol
C:\WINDOWS\system32\GroupPolicy\Machine
C:\WINDOWS\system32\GroupPolicy\GPT.ini
C:\WINDOWS\SysWOW64\GroupPolicy\Machine
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
DeleteKey: HKLM\SOFTWARE\Policies\Google
DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
Task: {4C1F9F49-81E6-494A-B7B5-B77B500A4C58} - System32\Tasks\ApplicationCompatibility(AxInstSV) => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> C:\WINDOWS\Installer\{1369D461-BC1E-43DE-BCF0-B1BB4DF0AC4D}\{31B6CBC2-2522-4D83-AEED-EEDEDB75F8D6} <==== ACHTUNG
Task: {F5C4FEB5-50B7-4368-AB82-14B127A674DE} - System32\Tasks\PrintWorkflow Windows-Remoteverwaltung NLA => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{60AC2356-2694-4AF8-96DD-3FFBF2898321}\{9EFC06C3-2481-43C0-894A-6E158F8A518E}" <==== ACHTUNG
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
FF HKLM\...\Firefox\Extensions: [{ECFD4BBE-D60C-4BAE-AB6B-8337166CB8E0}] - C:\WINDOWS\Installer\{EC5CFC6A-417A-4A0B-954E-7E3C194BDCDC}\{ECFD4BBE-D60C-4BAE-AB6B-8337166CB8E0}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{ECFD4BBE-D60C-4BAE-AB6B-8337166CB8E0}] - C:\WINDOWS\Installer\{EC5CFC6A-417A-4A0B-954E-7E3C194BDCDC}\{ECFD4BBE-D60C-4BAE-AB6B-8337166CB8E0}.xpi
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
EndBatch:
C:\Users\AllUserName\AppData\Local\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Google\Chrome
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Vielen lieben Dank für deine schnelle und verständliche Antwort!

1. Ich habe die von dir aufgeführten Programme deinstalliert.

2. Hier ist fixlog.txt-Datei:

3. Neue FRST.txt :

Neue Addition.txt :

Du hast leider zweimal die fixlist.txt gepostet.

Es fehlt noch die neue FRST.txt, dann können wir weitermachen. :)

Tschuldigung!

Neuer Versuch: Neue FRST.text :

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
AS: Avast Antivirus (Enabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
SearchScopes: HKU\S-1-5-21-3907774246-568581286-650812965-1002 -> DefaultScope {7BF201CF-CC2D-4806-ABE4-F5C804E1DDC8} URL =
SearchScopes: HKU\S-1-5-21-3907774246-568581286-650812965-1002 -> {7BF201CF-CC2D-4806-ABE4-F5C804E1DDC8} URL =
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3907774246-568581286-650812965-1002\...\webcompanion.com -> hxxp://webcompanion.com
C:\ProgramData\AVAST Software
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO FOR %%b IN ("%%a\{????????-????-????-????-????????????}") DO ( echo "%%b" )
FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO FOR %%b IN ("%%a\{????????-????-????-????-????????????}") DO ( echo "%%b" )
EndBatch:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Ok, bin gerade dabei. Kann dir gleich die Sachen posten.

fixlog.text :

MBAM.txt :

Logdatei von ADWCleaner :

Gibt es schon eine Diagnose? War also Schadsoftware auf meinem Rechner bzw. ist sogar immer noch?
---> EDIT: Ach so, das hatte ich überlesen. Anscheinend hat sich mein Rechner beim Herunterladen von "Audacity" infiziert. Wie schlimm ist das? Wurde dadurch z.B. schon Daten ausspioniert?

Es ist nicht viel über diese Malware bekannt, außer dass sie weitere Adware nachlädt. Aber wir konnten alles entfernen.

Du solltest besser auf deine Downloadquellen achten. Von Chip.de sollte man sich ebenso fern halten wie von audacity.de .
Mehr Tipps gibt es am Ende.

Wir führen noch eine letzte Kontrolle durch.






Schritt 1
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von EEK
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

EEK-LOG :

FRST

Addition


Vielen Dank schon mal für deine Hilfe und Tipps. Ich dachte immer Chip.de wäre vertrauenswürdig und dass die vorher selber eine Virenprüfung durchführen würden.
Soll ich mir dann eigentlich wieder Avast runterladen und installieren? Und kann ich die Diagnose-Programme, die ich jetzt im Verlauf installiert habe, wieder deinstallieren?