Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ Trojaner tarnt sich als Avast
Geschrieben von: Sandra 21.06.2018, 16:27
Hallo zusammen,
ich habe bei Chip ein Programm runtergeladen, und plötzlich taucht auf meinem Rechner Avast auf, das ich nie installiert habe. Ich nutze Kaspersky. Beim Versuch es zu deinstallieren bekam ich die Meldung, dass ich nicht die nötigen Rechte habe (natürlich bin ich Admin an meinem eigenen Rechner). Folgenden Hinweis habe ich bei meiner Recherche gefunden:
ZITAT
Viren und andere schädliche Dateien können sich als avastui.exe tarnen, z.B. TROJ_GEN.R03EC0VEI16 (entdeckt von TrendMicro), und TrojanSpy:Win32/Rebhip.F (entdeckt von Microsoft). Insbesondere, wenn sich die Datei in C:\Windows oder im C:\Windows\System32 Ordner befindet.
Nach Neustart lädt das Programm automatisch, obwohl es nicht im Autostart hinterlegt ist. Will ich auf die Systemdateien zugreifen, schließt sich der Ordner selbstständig. Ich bin also völlig entmachtet
Ich lasse Kaspersky gerade scannen, aber bisher ohne Erfolg. Wie werde ich es wieder los?
Danke und Grüße,
Sandra
Geschrieben von: Domino 21.06.2018, 17:14
Gib doch mal den link zum heruntergeladenen Programm.
Domino
Geschrieben von: Sandra 21.06.2018, 17:34
Bei diesem Download ist es passiert:
Achtung, nicht runterladen!!!!
http://www.chip.de/downloads/Free-Video-to-JPG-Converter_30220246.html
Anscheinend greift das Ding bereits mein System an. Ich kann gar keine Programme mehr über die Systemsteuerung deinstallieren. Bei Firefox wurde gerade nach einem Neustart meine Startseite geändert. Kaspersky hat etwas gefunden und gelöscht, aber das Problem ist unverändert. Die Datei fing mit dem Name not-a-virus... an.
Geschrieben von: Nyte 21.06.2018, 17:43
Hi Sandra,
ich würde vorschlagen, Du stellst Dein Problem/PC zur Bereinigung im https://www.trojaner-board.de/log-analyse-auswertung/ vor.
Bitte unbedingt die Logfiles aufbewahren. Werden gebraucht.
Viel Erfolg.
Geschrieben von: Rene-gad 21.06.2018, 20:15
Hallo Sandra
ZITAT(Sandra @ 21.06.2018, 18:34) 
Bei diesem Download ist es passiert:
...wobei ebd. den direkten Link zur Hersteller-Webseite gegeben ist
Der DL von Chip dürfte mittlerweile clean sein:
https://www.virustotal.com/#/url/fc63cc0414b278cd749209d3b3a6cf94abc04a89700284d78803b88746b41952/detection
Kann es sein, dass du noch zusätzlich ein Werbebanner angeklickt hast?
Geschrieben von: Sandra 21.06.2018, 21:04
Da sind zwar mehrere Werbebanner aufgepoppt, aber die habe ich eigentlich nur geschlossen 
Geschrieben von: Sandra 22.06.2018, 06:30
Das Trojaner-Board hat geholfen 
Geschrieben von: simracer 22.06.2018, 14:59
ZITAT(Sandra @ 21.06.2018, 18:34)
Bei diesem Download ist es passiert:
Achtung, nicht runterladen!!!!
http://www.chip.de/downloads/Free-Video-to-JPG-Converter_30220246.html
Anscheinend greift das Ding bereits mein System an. Ich kann gar keine Programme mehr über die Systemsteuerung deinstallieren. Bei Firefox wurde gerade nach einem Neustart meine Startseite geändert. Kaspersky hat etwas gefunden und gelöscht, aber das Problem ist unverändert. Die Datei fing mit dem Name not-a-virus... an.
Achtung, nicht runterladen!!!!
http://www.chip.de/downloads/Free-Video-to-JPG-Converter_30220246.html
Anscheinend greift das Ding bereits mein System an. Ich kann gar keine Programme mehr über die Systemsteuerung deinstallieren. Bei Firefox wurde gerade nach einem Neustart meine Startseite geändert. Kaspersky hat etwas gefunden und gelöscht, aber das Problem ist unverändert. Die Datei fing mit dem Name not-a-virus... an.
Keine Ahnung was du da gemacht hast, aber zum einem ist der Installer bei Chip.de sauber weil es nur dein Installer Manuelle Installation gibt und nicht die Version mit Chip Installer und zum anderen ist selbst der Installer bei DVD Video Soft sauber der bei mir nicht versucht hat, irgendwas mitzuinstallieren. Bei mir hat auch nicht beim Download oder der Installation Kaspersky Free in irgendeiner Form angeschlagen. Auch ein manueller Scan schenelle Überprüfung mit Kaspersky free zeigte nach Fertigstellung der Installation keinen Fund auf: http://www.directupload.net/file/d/5126/r35dlaog_jpg.htm Auch das scannen des Temp Verzeichnisses meines Benutzerkontos mit Kaspersky Free erbrachte keine Funde: http://www.directupload.net/file/d/5126/iuhena2i_jpg.htm Auch ein Bedrohungssuchlauf scan mit Malwarebytes Free mit neuesten Signaturen verlief ohne Funde:
ZITAT
Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 22.06.18
Scan-Zeit: 16:07
Protokolldatei: a296cb20-7625-11e8-a8d6-001e8cbefd26.json
Administrator: Ja
-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.5582
Lizenz: Kostenlos
-Systemdaten-
Betriebssystem: Windows 10 (Build 17134.112)
CPU: x64
Dateisystem: NTFS
Benutzer:
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 329911
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 7 Min., 4 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswert: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Datei: 0
(keine bösartigen Elemente erkannt)
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
(end)
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 22.06.18
Scan-Zeit: 16:07
Protokolldatei: a296cb20-7625-11e8-a8d6-001e8cbefd26.json
Administrator: Ja
-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.5582
Lizenz: Kostenlos
-Systemdaten-
Betriebssystem: Windows 10 (Build 17134.112)
CPU: x64
Dateisystem: NTFS
Benutzer:
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 329911
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 7 Min., 4 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswert: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Datei: 0
(keine bösartigen Elemente erkannt)
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
(end)
Und wenn du nun vielleicht denkst, ich hätte vielleicht das genannte Programm gar nicht installiert und mein Posting sei womöglich eine reine Behauptung, dann schau dir genau meine Softwareliste an: http://www.directupload.net/file/d/5126/n6dc7iee_jpg.htm siehst du dort das hellblau markierte Programm und dessen Installationsdatum?
Zum Schluß noch ein Scan mit Adwcleaner: ZITAT
# -------------------------------
# Malwarebytes AdwCleaner 7.2.0.0
# -------------------------------
# Build: 06-05-2018
# Database: 2018-06-22.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 06-22-2018
# Duration: 00:00:29
# OS: Windows 10 Pro
# Scanned: 41266
# Detected: 1
***** [ Services ] *****
No malicious folders found.
***** [ Folders ] *****
No malicious folders found.
***** [ Files ] *****
No malicious files found.
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious WMI found.
***** [ Shortcuts ] *****
No malicious shortcuts found.
***** [ Tasks ] *****
No malicious tasks found.
***** [ Registry ] *****
No malicious registry entries found.
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries found.
***** [ Chromium URLs ] *****
No malicious Chromium URLs found.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries found.
***** [ Firefox URLs ] *****
No malicious Firefox URLs found.
AdwCleaner[S00].txt - [1241 octets] - [24/04/2018 19:49:51]
AdwCleaner[S01].txt - [1466 octets] - [19/05/2018 15:58:30]
AdwCleaner[C01].txt - [1513 octets] - [19/05/2018 15:59:05]
AdwCleaner[S02].txt - [1424 octets] - [08/06/2018 20:27:01]
AdwCleaner[C02].txt - [1610 octets] - [08/06/2018 20:27:30]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S03].txt ##########
# Malwarebytes AdwCleaner 7.2.0.0
# -------------------------------
# Build: 06-05-2018
# Database: 2018-06-22.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 06-22-2018
# Duration: 00:00:29
# OS: Windows 10 Pro
# Scanned: 41266
# Detected: 1
***** [ Services ] *****
No malicious folders found.
***** [ Folders ] *****
No malicious folders found.
***** [ Files ] *****
No malicious files found.
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious WMI found.
***** [ Shortcuts ] *****
No malicious shortcuts found.
***** [ Tasks ] *****
No malicious tasks found.
***** [ Registry ] *****
No malicious registry entries found.
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries found.
***** [ Chromium URLs ] *****
No malicious Chromium URLs found.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries found.
***** [ Firefox URLs ] *****
No malicious Firefox URLs found.
AdwCleaner[S00].txt - [1241 octets] - [24/04/2018 19:49:51]
AdwCleaner[S01].txt - [1466 octets] - [19/05/2018 15:58:30]
AdwCleaner[C01].txt - [1513 octets] - [19/05/2018 15:59:05]
AdwCleaner[S02].txt - [1424 octets] - [08/06/2018 20:27:01]
AdwCleaner[C02].txt - [1610 octets] - [08/06/2018 20:27:30]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S03].txt ##########
Ich glaube, du hast dir die Infektion anders eingefangen aber nicht durch den Download und Installation des genannten Programms. Benutzt du als zusätzlichen Schutz für deine Browser einen Werbeblocker wie zum beispiel uBlock Origin? und machst du regelmäßig Systembackups/images deines Systems?
Geschrieben von: KHL64 22.06.2018, 19:04
ZITAT(simracer @ 22.06.2018, 15:59)
Keine Ahnung was du da gemacht hast, aber zum einem ist der Installer bei Chip.de sauber weil es nur dein Installer Manuelle Installation gibt und nicht die Version mit Chip Installer und zum anderen ist selbst der Installer bei DVD Video Soft sauber der bei mir nicht versucht hat, irgendwas mitzuinstallieren. Bei mir hat auch nicht beim Download oder der Installation Kaspersky Free in irgendeiner Form angeschlagen. Auch ein manueller Scan schenelle Überprüfung mit Kaspersky free zeigte nach Fertigstellung der Installation keinen Fund auf: http://www.directupload.net/file/d/5126/r35dlaog_jpg.htm Auch das scannen des Temp Verzeichnisses meines Benutzerkontos mit Kaspersky Free erbrachte keine Funde: http://www.directupload.net/file/d/5126/iuhena2i_jpg.htm Auch ein Bedrohungssuchlauf scan mit Malwarebytes Free mit neuesten Signaturen verlief ohne Funde:
Und wenn du nun vielleicht denkst, ich hätte vielleicht das genannte Programm gar nicht installiert und mein Posting sei womöglich eine reine Behauptung, dann schau dir genau meine Softwareliste an: http://www.directupload.net/file/d/5126/n6dc7iee_jpg.htm siehst du dort das hellblau markierte Programm und dessen Installationsdatum? Zum Schluß noch ein Scan mit Adwcleaner:
Ich glaube, du hast dir die Infektion anders eingefangen aber nicht durch den Download und Installation des genannten Programms. Benutzt du als zusätzlichen Schutz für deine Browser einen Werbeblocker wie zum beispiel uBlock Origin? und machst du regelmäßig Systembackups/images deines Systems?
Und wenn du nun vielleicht denkst, ich hätte vielleicht das genannte Programm gar nicht installiert und mein Posting sei womöglich eine reine Behauptung, dann schau dir genau meine Softwareliste an: http://www.directupload.net/file/d/5126/n6dc7iee_jpg.htm siehst du dort das hellblau markierte Programm und dessen Installationsdatum?
Zum Schluß noch ein Scan mit Adwcleaner: Ich glaube, du hast dir die Infektion anders eingefangen aber nicht durch den Download und Installation des genannten Programms. Benutzt du als zusätzlichen Schutz für deine Browser einen Werbeblocker wie zum beispiel uBlock Origin? und machst du regelmäßig Systembackups/images deines Systems?
Beim AdwCleaner unter Detected steht eine 1,was findet er da?
KHL64
Geschrieben von: simracer 22.06.2018, 19:12
ZITAT(KHL64 @ 22.06.2018, 20:04)
Beim AdwCleaner unter Detected steht eine 1,was findet er da?
KHL64
KHL64
Das hier:
ZITAT
***** [ Services ] *****
Deleted DsSvc
Deleted DsSvc
hab es beheben lassen, aber wenn man googelt, deutet das auf ein eventuelles False Positive von Adwcleaner hin: https://www.microsofttranslator.com/bv.aspx?dl=de&lp=EN_DE&mkt=de-DE&ref=SERP&refd=www.bing.com&r=true&a=https%3A%2F%2Fforums.malwarebytes.com%2Ftopic%2F201938-false-positive-dssvc%2F
Geschrieben von: KHL64 22.06.2018, 19:19
ZITAT(simracer @ 22.06.2018, 20:12)
Das hier:
hab es beheben lassen, aber wenn man googelt, deutet das auf ein eventuelles False Positive von adwcleaner hin.
hab es beheben lassen, aber wenn man googelt, deutet das auf ein eventuelles False Positive von adwcleaner hin.
Genau das fand er bei mir auch vorne stand irgendwas mit Adware Elex....,habe es auch beheben lassen.KAV fand nichts.
KHL64
Geschrieben von: simracer 22.06.2018, 19:25
ZITAT(KHL64 @ 22.06.2018, 20:19)
Genau das fand er bei mir auch vorne stand irgendwas mit Adware Elex....,habe es auch beheben lassen.KAV fand nichts.
KHL64
KHL64
Dann sind wir schon 3 User, denn Astor27 hats auch "erwischt": https://www.pc-sicherheit.net/viewtopic.php?f=29&t=13320&p=121897#p121897
Geschrieben von: KHL64 22.06.2018, 19:34
ZITAT(simracer @ 22.06.2018, 20:25)
Dann sind wir schon 3 User, denn Astor27 hats auch "erwischt": https://www.pc-sicherheit.net/viewtopic.php?f=29&t=13320&p=121897#p121897
Einzige was ich gemacht habe ist heute Opera update,dabei viel mir auf das die Lesezeichenleiste nach dem Update voll war mit Werbesites.
Diese löschte ich wieder weg und behielt meine die ich sonst auch habe.
KHL64
Geschrieben von: KHL64 22.06.2018, 19:44
ZITAT(KHL64 @ 22.06.2018, 20:34)
Einzige was ich gemacht habe ist heute Opera update,dabei viel mir auf das die Lesezeichenleiste nach dem Update voll war mit Werbesites.
Diese löschte ich wieder weg und behielt meine die ich sonst auch habe.
KHL64
Diese löschte ich wieder weg und behielt meine die ich sonst auch habe.
KHL64
Nach der Bereinigung läuft alles normal soweit ich das bis jetzt sehe.
Geschrieben von: simracer 22.06.2018, 19:47
Bei mir auch so weit ich das einschätzen/beurteilen kann.
Geschrieben von: KHL64 22.06.2018, 19:53
ZITAT(simracer @ 22.06.2018, 20:47)
Bei mir auch so weit ich das einschätzen/beurteilen kann.
hier gibt es auch noch was dazu: https://www.drwindows.de/windows-10-desktop/130548-dssvl-dienst-gebraucht.html
Geschrieben von: KHL64 22.06.2018, 20:50
So habe wiederhergestellt,der DsSvc Dienst ist unter den Diensten auch wieder vorhanden.
Es könnte ja False Positiv sein,immerhin war das ja schon mal so bei dem Audyssey Ordner
und der gehörte ja zu Realtek.
Wenn ich nun Scanne findet er nichts,eigenartig.
KHL64
Geschrieben von: KHL64 22.06.2018, 21:02
ZITAT(KHL64 @ 22.06.2018, 21:50)
So habe wiederhergestellt,der DsSvc Dienst ist unter den Diensten auch wieder vorhanden.
Es könnte ja False Positiv sein,immerhin war das ja schon mal so bei dem Audyssey Ordner
und der gehörte ja zu Realtek.
Wenn ich nun Scanne findet er nichts.Laut deren Forum:
Hello,
Sorry for the delay, it has been fixed.
You can use the quarantine to restore it.
KHL64
Es könnte ja False Positiv sein,immerhin war das ja schon mal so bei dem Audyssey Ordner
und der gehörte ja zu Realtek.
Wenn ich nun Scanne findet er nichts.Laut deren Forum:
Hello,
Sorry for the delay, it has been fixed.
You can use the quarantine to restore it.
KHL64
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)