Icewolf

Test EAM Erkennungsleistung

Recommended Posts

Hallo, ich habe auf einem XP_SP3 Testsystem drei verschiedene Varianten installiert um die Leistungsfähigkeit von Emsisoft zu testen. Bei Testbeginn war kein AV-Programm installiert. Die Drei Dateien wurden erstmals vor einigen Wochen zu Virustotal.com eingesendet, siehe die folgenden VT Scanergebnisse.

 

Zeitgleich habe ich diese Dateien auch zu Emsisoft eingesendet. Eure Reaktion darauf war immer sehr schnell und lag meistens zwischen drei und vier Stunden bis diese erkannt wurden. Das ist eine Gute Leistung. Die gefälschte Telekom Rechnung *pdf.exe hat sich nach der Ausführung von selbst gelöscht um hier eine Infektion zu verschleiern. Diese habe ich anschließend aber wieder auf den Desktop kopiert damit man die Ausgeführten Dateien erkennt.
 
Ziel dieses Tests war es, ein infiziertes System zu erkennen! Die Testkandidaten waren dieses mal: Emsisoft EEK, Malwarebytes Free, AVG Free.
 
VT Analysen:
 
https://www.virustotal.com/de/file/0b577f76b08c5267eb5f2f8596127a28a6eaf5ff2089cff6be0b689f31850124/analysis/1416430742/
 
https://www.virustotal.com/de/file/b3913d567ca228ac32cd35b5d6245393d2b2c1d1c40a60edc55ea7a521f96694/analysis/1416430919/
 
https://www.virustotal.com/de/file/d55b41fafe89162f7896d3e520e3d74a81f50d64680d5ecc590aca345ba4c66d/analysis/1416431196/

 

 

Die Scan Ergebnisse befinden sich unten in der Anlage

 

 

1. Scan mit EEK:
 
Der Scan wurde als Detail und als Eigener Scan mit gleichem Ergebnis durchgeführt. Dabei wurde jeweils lediglich nur die Installations EXE erkannt, sonst keine Funde das System gilt hier als clean!  
Hier bedarf es meines erachtens einer Erklärung, da euch die Malware schon einige Zeit bekannt war und auch mit der Bedrohung "hoch" eingestuft wurde. Möglicherweise laufen einige infizierte Systeme mit EAM als clean, obwohl hier eine Infektion vorliegt! Leute, dass darf nach drei Wochen, nach bekannt werden der Malware, einfach nicht sein! Dazu hätte ich wirklich mal gerne eine Erklärung.

 

 

2. Scan mit Malwarebytes

 

Der Scan wurde als Benutzerdefinierter Suchlauf gestartet und es wurde eine bedrohliche Infektion erkannt.

 

 

3. Scan mit AVG 2015 Free
 
Der Scan wurde als Systemscan gestartet und es wurde eine bedrohliche Infektion erkannt. Gleiche Funde wie MBAM.

 

 

 
 
 

Addition1911.txt

FRST1911.txt

a2scan_141119-221049.txt

MBAM-Scan.txt

Share this post


Link to post
Share on other sites

Hier bedarf es meines erachtens einer Erklärung, da euch die Malware schon einige Zeit bekannt war und auch mit der Bedrohung "hoch" eingestuft wurde. Möglicherweise laufen einige infizierte Systeme mit EAM als clean, obwohl hier eine Infektion vorliegt! Leute, dass darf nach drei Wochen, nach bekannt werden der Malware, einfach nicht sein! Dazu hätte ich wirklich mal gerne eine Erklärung.

Laut dem Log war der Filter fuer Dateierweiterungen aktiv, der im Normalfall eigentlich aus ist. Der Filter inkludiert keine .tmp Dateien, weshalb der Grossteil entsprechend nicht gefunden wurde.

Share this post


Link to post
Share on other sites

Hallo,

 

ich muss mal eben nachfragen:

 

Ist mit "Filter für Dateierweiterungen" in Emsisoft Anti-Malware der Haken bei "Schutz -> Dateiwächter -> Nur bestimmte Endungen scannen" gemeint? Der ist nämlich standardmäßig gesetzt (zumindest bei jeder Installation, die ich bisher vorgenommen habe). Ist es besser, den Haken bei "Nur bestimmte Endungen scannen" zu entfernen und ist bei gesetztem Haken die Schutzwirkung des Programms mitunter eingeschränkt? :huh:

 

Da ich den bestmöglichen Schutz haben möchte und mit ein paar - ggf. - zusätzlichen/erweiterten Meldungen des Programms leben könnte, bin ich für einen Hinweis dankbar.

Share this post


Link to post
Share on other sites

Damit ist die Option bei der Erstellung eigener Scans gemeint. Wenn man dort sagt, dass *.tmp Dateien nicht gescannt werden sollen, dann werden sie auch nicht gescannt und folglich dann auch nichts gefunden.

Share this post


Link to post
Share on other sites

Vielen Dank für die blitzschnelle Antwort!

 

Bei mir ist unter den Scan-Optionen bei den Eigenen Scans kein Haken bei "Filter für Dateitypen" gesetzt (im Dateitypenfilter ist .tmp ja nicht inkludiert). So dürften dann also auch tmp-Dateien gescannt werden. Eine Beschränkung auf bestimmte Dateitypen findet mangels Filter ja nicht statt. :) Und beim Detail Scan sowieso, oder?!

Share this post


Link to post
Share on other sites

OK, ich werde den Suchlauf nachher nochmal mit deaktivierter "Dateierweiterungen scannen" durchführen und das Logfile posten.

 

Es ging aber hauptsächlich um diese Einträge und die hätte EEK finden müssen, ZBot Trojaner, Passwortstehler

 

HKU\S-1-5-21-1202660629-776561741-1801674531-1004\...\Run: [Windows] => F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Microsoft\fuast.exe [840089 2014-11-19] (Piriform Ltd)
HKU\S-1-5-21-1202660629-776561741-1801674531-1004\...\Run: [hcbqhfbi.exe] => F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities\hcbqhfbi.exe [180292 2008-04-14] ()

() F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oziqemegewypyvuh

 

Share this post


Link to post
Share on other sites

Klar wurde der eine Eintrag gefunden, da ich diese Datei "hcbqhfbi.exe"  Vorgestern über die GUI zur Analyse eingesendet hatte. Gestern wurde sie in der Quarantäne jedenfalls noch nicht erkannt.

Share this post


Link to post
Share on other sites

Nein zurück, die "hcbqhfbi.exe" wird hier lokal immer noch nicht erkannt! Im Detail Scan das gleiche Ergebnis. Die habe ich gerade auch zu VT hochgeladen >>>  Ergebnis

 

Die rdp7.exe hatte ich gestern zu euch eingesendet und die wird nun erkannt in Verbindung mit "fuast.exe"
 

Das aktuelle EEK LogFile befindet in der Anlage.

a2scan_141120-20112014.txt

Share this post


Link to post
Share on other sites

Die Datei war bei den vorerst genannten nicht dabei. Sie sollte zwischenzeitlich aber ebenfalls korrekt erkannt und entfernt werden. Generell ist die Uebermittlung via Quarantaene im uebrigen nicht der effizienteste Weg uns Malware zukommen zu lassen. Effizienter ist der Versand via Email oder sie hier im Malware Submission Forum zu posten. Leute schicken derart viel Muell via Quarantaene ein, dass Samples die ueber die Quarantaene eingesandt werden nahezu immer stark verzoegert bearbeitet werden.

Share this post


Link to post
Share on other sites

In Ordnung, dann werde ich neue Malware künftig über dieses Forum einsenden.

 

Meine Reklamation bleibt aber dennoch unbeantwortet. Wie kann es sein, dass EAM nach drei Wochen, nach dem die neue Malware Emsisoft bekannt war, nicht in der Lage ist ein nachweislich infiziertes System zu erkennen? Und dann noch ein ZBot! Das darf einfach nicht sein!

Share this post


Link to post
Share on other sites

Das einzig unerkannte Sample beim Versuch Deine Ergebnisse zu replizieren war das letzte, welches zum ersten Mal gestern auf VirusTotal gesehen wurde. Keines der von Dir angesprochenen Samples ist ueberhaupt 3 Wochen alt. Das aelteste ist dieses hier:

https://www.virustotal.com/de/file/b3913d567ca228ac32cd35b5d6245393d2b2c1d1c40a60edc55ea7a521f96694/analysis/

Das Sample wurde 2014-11-07 12:11:19 UTC, also vor 2 Wochen, das erste mal auf VT hochgeladen. Einige Stunden spaeter wurde es dann auch von uns erkannt:

UC3DltH.png

Ich hab keinen Grund an Deinen Ergebnissen zu zweifeln, aber ich kann sie zumindest nicht nachvollziehen mit den Daten die Du mir genannt hast. Das wahrscheinlichste ist, dass Du Dich evtl. mit den Samples vertan hast oder unsere Testsysteme unterschiedliche Sekundaerinfektionen aufweisen.

Share this post


Link to post
Share on other sites

Die Payment.pdf.exe ( Trojan-Ransom.Win32.Agent (A) ) hatte ich euch am 07.11.2014 in den Abendstunden über die GUI eingesendet, sind seither 14 Tage vergangen, und die "2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe" über die ich hier berichte auch über die GUI am 12.11.2014 in den Nachmittagsstunden hier VT Analyse >>> Ergebnis. Um ca. 20:30h wurde sie hier auf meinem Rechner als "Trojan.Dropper.XEN (B)" erkannt, später dann als "Trojan.Win32.Emotet (A)" und aktuell als "Trojan.GenericKD.1974635 (B)". Sind wahrscheinlich verschiedene Bezeichnungen da ich die einmal als ZIP und als *.exe eingesendet hatte.

 

Am 18.11.2014 habe ich erstmals die beiden Schadprogramme installiert und den Test gestartet und gestern wiederholt.

 

Ok sorry, es sind seit der Einsendung zu euch nur 9 Tage vergangen, aber trotzdem ist es zu lange und ändert nichts daran das ein infiziertes System mit der gefälschten Telekom Rechnung nicht ansatzweise erkannt wurde.

 

Ich kann dir gerne diese Malware per E-Mail zukommen lassen, dann kannst Du das auf einer Testmühle selbst nachstellen.

 

Also, ich werden neue Malware jetzt verstärkt mit EEK testen, bei Nichterkennung über das Forum einsenden und nach der Erkennung direkt einen Suchlauf starten und jeweils einen Tag später bis die Installierte Malware gefunden wird. Zusätzlich werde ich bei Nichterkennung die Malware starten und die Verhaltensanalyse mit EAM testen ob diese anschlägt.

 

Ich muss an dieser Stelle aber auch erwähnen das wir in einem versteckten Bereich in unseren Forum Links zu Malware Downloads bereit stellen um diese runterladen zu können, zum testen. EAM hat bisher jeden Host mit der Hinweis auf einen Malwarehost blockiert, dass ist hier mal positiv zu erwähnen ist. Die dennoch geladene Malware wurde dann aber nicht erkannt. Mann muss auch weiterhin erwähnen, dass das runterladen einer solchen Malware nicht so einfach ist, da schon von Windows 7 mit dem Hinweis eines unsicher Download diesen blockiert! Um einen derartigen Download aufs Desktop zu bekommen muss man schon alle Sicherheitshinweise ignorieren. Die telekom.pdf.exe habe ich aber per E-Mail bekommen.

 

Also an alle Mittleser. Diese Vorgehensweise ist keinesfalls zu empfehlen, außer man weiß genau was man tut!

 

Ich werde euch auf den laufenden halten.

Share this post


Link to post
Share on other sites

Generell sind Dateinamen extrem verwirrend. Ich wuerde Dich bitten Samples bitte in Form von Hashes zu addressieren, da diese eindeutig sind. Deine komplette letzte Antwort ist zumindest fuer mich nicht nachvollziehbar, weil ich keine Moeglichkeit habe nachzuschauen welche Dateien hinter den Namen stecken und ich entsprechend auch in keinem unserer Backend Systeme nachsehen kann, was mit den Dateien wann passiert ist.

Als Hilfe kann ich Dir Hashtab empfehlen. Das ist gratis fuer Privatnutzer und erlaubt Dir diverse Hashes direkt in den Dateieigenschaften nachzuschauen. Ist fuer mich im Umgang mit Malwaresamples absolut unabdingbar geworden :).

Share this post


Link to post
Share on other sites

Ich verstehe zwar nicht was daran so schwer zu verstehen ist, dass Emsisoft hier kläglich versagt hat. Die "hcbqhfbi.exe" wird jetzt nur gefunden da ich sie gestern explizit eingesendet hatte. In diesen Fall ist es eine sehr schlechte Erkennungsleistung, da muss einfach mehr von euch kommen. Nur die Erkennung des Samples ist einfach zu wenig!!! Nehmt ihr die Samples eigentlich nicht auseinander bzw. schaut was die Malware überhaupt macht und wo sie sich einschreibt? Das ist doch wichtig damit ein infiziertes System überhaupt erkannt und bereinigt werden kann. Dafür wurde der Passwort Stealer (rdp7.exe) "fuast.exe: Trojan-Spy.Win32.Agent (A)" gefunden, wenigstens etwas.

 

Malwarebytes hat noch einen Reg.-Eintrag gefunden dafür den Passwort Stealer nicht, das ist auch schlecht.

 

Und mit den Hashtab muss ich mal schauen wann ich mich damit beschäftigen kann.

 

So, auf zum nächsten Test, Mit freundlichem Gruß

a2scan_141121-21112014.txt

MBAM-Scan.txt

FRST.txt

Share this post


Link to post
Share on other sites

Ich glaube Du hast eine falsche Vorstellung davon wie unsere Cleaning Engine ueberhaupt funktioniert. Wir muessen den Registry Key nicht erkennen, nur die Datei. Alle Referenzen auf die Datei werden dann automatisch entfernt. Pack auf Deinem Test System einfach einmal eine beliebige Datei die einen Autostart Eintrag hat manuell in Quarantaene und schau Dir danach die Autostart Eintraege nochmal an.

Share this post


Link to post
Share on other sites

Als Kunde ist es mir ziemlich egal wie ein Antivirus Programm funktioniert, ich muss es vertrauen in diesem haben, es muss neue Malware möglichst schnell erkennen und am besten noch das System bereinigen können. Und wenn eine Bereinigung nicht möglich ist das es den Anwender an ein Hilfestelle verweist. Mir geht es hier einfach nur ums Prinzip, dass das Sample zwar bekannt war, aber eine Infektion mit diesem nicht erkannt wurde und das kann man einfach nicht schön reden. Mit der Beseitigung dieser Funde ist das System doch noch lange nicht sauber, oder wie soll ich das versehen? Mir wäre es lieb wenn der User schrauber (Thomas Schröder) sich hier auch mal einklinkt und etwas dazu schreibt. Seine Meinung wär sicher interessant bzw. interessiert mich auch.

 

 

Share this post


Link to post
Share on other sites

Mir geht es hier einfach nur ums Prinzip, dass das Sample zwar bekannt war, aber eine Infektion mit diesem nicht erkannt wurde und das kann man einfach nicht schön reden.

Das kann ich in keinem meiner Tests nachvollziehen mit den von Dir genannten Samples. Es macht auch technisch keinen Sinn, denn sobald die Datei einmal erkannt ist, ist es egal wohin sie sich selbst kopiert. Sie bleibt erkannt, vorrausgesetzt der gewaehlte Scan beinhaltet den neuen Ort.

Share this post


Link to post
Share on other sites

Also nochmal zum Verständnis der Reihe nach:

 

1. ich habe per E-Mail drei verschiedene Anhänge bekommen, siehe Post #1 = VT Analyse. Zu dieser Zeit wurden diese Samples von EAM auf meinem OS1 mit Windows7 nicht erkannt.

2. sofort habe ich die Anhänge auf den Desktop kopiert und in EAM Quarantäne genommen und zu euch über die GUI eingesendet.

3. Diese wurden jeweils ca. 4 Stunden später nach der Einsendung in der EAM Quarantäne erkannt.

4. ein Paar Tage später habe ich diese Samples auf nen Stick kopiert und anschließend auf meinem XP Testsystem installiert, also 3 Schaddateien. Dazu hatte ich AVG deaktiviert!

5. anschließend habe ich das System, wie in Post #1 beschreiben, in dieser Reihenfolge mit EEK gescannt.

6. Ergebnis: siehe Post #1

7. Ich habe mich mit dieser Feststellung an dieses Forum gewendet, siehe Post #1

8. gestern habe ich die gleiche Prozedur ohne installierten AV-Programm durchgeführt um hier eine Störung zu vermeiden. Ergebnis siehe Post #15

9. Die Samples waren ja bekannt aber auf dem bereits infizierten Testsystem wurde nach dem Scan durch EEK keine Infektion erkannt (Post #1), erst als ich die "hcbqhfbi.exe" zu euch eingesendet hatte (Post #15).

 

Das ist nicht an den Haaren herbeigezogen sondern das Ergebnis eines Tests! Ich habe wahrheitsgemäße Angaben gemacht und auch sonst nichts hinzugedichtet.

 

Außerdem verdient ein Produkt nicht nur Lob und Lorbeeren, sondern vielmehr sollte man konstruktive Kritik ernst nehmen. Denn nur mit Kritik kann man ein Produkt perfektionieren. Ich bitte dieses einmal zu überdenken.

Share this post


Link to post
Share on other sites

Das ist nicht an den Haaren herbeigezogen sondern das Ergebnis eines Tests! Ich habe wahrheitsgemäße Angaben gemacht und auch sonst nichts hinzugedichtet.

Ich hab bereits klar gemacht das es keinen Grund gibt an Deinen Ergebnissen zu zweifeln. Ich hab nur gesagt, dass ich nicht in der Lage bin sie nachzuvollziehen. Ich hab das ganze jetzt nochmal wiederholt und aufgezeichnet:

https://www.youtube.com/watch?v=tABsPvgLg4g

Waere nett wenn Du durch schauen koenntest, ob bei mir irgendetwas anders ablaeuft als bei Dir.

Share this post


Link to post
Share on other sites

Hallo Fabian, vielen Dank für deinen Einsatz! Ich glaube die Prozedur exakt wie in Post #15 beschrieben abgelaufen ist (a2scan_141121-21112014.txt). Ich kann das in diesem Video nicht genau erkennen, da es zu verschwommen ist. Kannst Du das Logfile mal Online stellen damit ich das besser erkennen kann?

Share this post


Link to post
Share on other sites

Sorry ich schlafe nicht aufn Baum, ich erkenne da überhaupt nichts, auch nicht in HD, da ich nur eine DSL 768 Leitung habe. Bitte mal das Logfile einstellen.

Share this post


Link to post
Share on other sites

Emsisoft Emergency Kit - Version 9.0

Last update: 11/22/2014 9:02:33 AM

User account: MALU-8518623FCE\Administrator

Scan settings:

Scan type: Full Scan

Objects: Rootkits, Memory, Traces, C:\

Detect PUPs: On

Scan archives: On

ADS Scan: On

File extension filter: Off

Advanced caching: On

Direct disk access: Off

Scan start: 11/22/2014 9:18:08 AM

C:\Documents and Settings\Administrator\Application Data\Microsoft\fuast.exe detected: Trojan-Spy.Win32.Agent (A)

C:\Documents and Settings\Administrator\Application Data\Identities\apnxlkpp.exe detected: Trojan.GenericKD.1974635 (B)

C:\Documents and Settings\Administrator\Application Data\Microsoft\fuast.exe detected: Trojan-Spy.Win32.Agent (A)

C:\Documents and Settings\Administrator\Desktop\Samples\b3913d567ca228ac32cd35b5d6245393d2b2c1d1c40a60edc55ea7a521f96694.exe detected: Trojan-Ransom.Win32.Agent (A)

C:\Documents and Settings\Administrator\Desktop\Samples\d55b41fafe89162f7896d3e520e3d74a81f50d64680d5ecc590aca345ba4c66d.exe detected: Trojan-Spy.Win32.Agent (A)

C:\WINDOWS\exydunik.exe detected: Trojan-Ransom.Win32.Agent (A)

Scanned 69854

Found 6

Scan end: 11/22/2014 9:22:22 AM

Scan time: 0:04:14

C:\WINDOWS\exydunik.exe Quarantined Trojan-Ransom.Win32.Agent (A)

C:\Documents and Settings\Administrator\Desktop\Samples\d55b41fafe89162f7896d3e520e3d74a81f50d64680d5ecc590aca345ba4c66d.exe Quarantined Trojan-Spy.Win32.Agent (A)

C:\Documents and Settings\Administrator\Desktop\Samples\b3913d567ca228ac32cd35b5d6245393d2b2c1d1c40a60edc55ea7a521f96694.exe Quarantined Trojan-Ransom.Win32.Agent (A)

C:\Documents and Settings\Administrator\Application Data\Identities\apnxlkpp.exe Quarantined Trojan.GenericKD.1974635 (B)

Quarantined 4

Share this post


Link to post
Share on other sites

So, jetzt ist es wahrscheinlich passiert auf meinem OS1! Meine bessere Hälfte hat vorhin eine 1&1 Rechnung, die per E-Mail kam, auf den Desktop geladen, Sie hat mich gerufen und ich habe die ZIP Datei in die avast! Quarantäne genommen, es wurde Malware erkannt. Das gleiche habe ich mit EAM gemacht, die Datei war auch schon in der Quarantäne, dann ist der Windows Explorer abgestürzt und es befanden sich plötzlich zwei *.tmp Dateien auf dem Desktop! Nun läuft der Rechner nicht mehr richtig und ist möglicherweise infiziert. Ich bin nicht mal dazu gekommen die Datei zu euch einzusenden. Also jetzt bin ich richtig sauer! Ich habe ein FRST angefertigt, Malwarebytes Free hat die beiden *.tmp als Malware erkannt. Der avast! Scan läuft noch.

Share this post


Link to post
Share on other sites

Das ist das Sample >>> https://www.virustotal.com/de/file/0dd2c369816a22c313067349a91f96770702abb0324b57445ee1e2dc535b3765/analysis/1416765029/

 

Die Benutzerkontensteuerung hat nicht angeschlagen!

EAM Verhaltensanalyse hat nichts gemeldet!

Beim öffnen von EAM kommt jetzt die Benutzerkontensteuerung und will das Kennwort haben ??? Das war noch nie so.

Share this post


Link to post
Share on other sites

Die Datei ist bereits seit einigen Stunden via Signaturen abgedeckt. Davor wurde sie ebenfalls via Behavior Blocker (Default Settings) erkannt:

 

3aVfaKm.png

 

Der UAC Prompt wuerde bedeuten, dass der EAM Service nicht installiert ist. Dann naemlich versucht EAM den Service neu zu installieren, was Admin Rechte erfordert. Wuerde definitiv empfehlen einen Thread in unserem Malware Removal Forum zu eroeffnen, damit sich einer unserer Leute die Situation genauer ansehen kann.

Share this post


Link to post
Share on other sites

Hallo Fabian, nach dem zurücksetzen des Systems und einer kleinen Bereinigung läuft mein Rechner wieder wie vorher. Es war wohl keine Systemweite Infektion vorhanden. Aus Sicherheitsaspekten werde ich das System aber bei Gelegenheit trotzdem neu aufsetzen. Ich konnte das oben beschriebene Zenario auch nicht mehr nachstellen, keine Ahnung was da abgelaufen war, ist mir wirklich schleierhaft. Beinahe wäre mein System Opfer meiner eigenen Warnung geworden :blink:. Ich belasse das jetzt erst mal so. (Ich habe dir bereits einiges per PN berichtet).

 

Ich möchte aber nochmals an den Scanbericht aus Post #24 anknüpfen. Da sind aber auch andere Funde drin die in meinen Scan nicht erscheinen, z.B.: apnxlkpp.exe, exydunik.exe. Vielleicht schon wieder eine andere Variante?

 

Na ja, ist jetzt auch egal. Ich kann und will EAM jedenfalls nicht aufgeben. Ich werde in Zukunft noch vorsichtiger sein müssen damit sich das nicht wiederholt.

 

Und sorry für meine forsche Ausdrucksweise. 

 

mit freundlichen Gruß

Share this post


Link to post
Share on other sites

Hallo Fabian, ich habe hier schon wieder so ein aggressives Samples. EAM macht hier keinen mucks. Die Zip Datei lässt ich auf dem Desktop Speichern, aber beim Versuch den Inhalt auf den Desktop zu entpacken oder zu kopieren, stürzt Windows 7 ab, da ich euch wie immer das Samples zusenden wollte. Das funktioniert ja nun nicht. Es geht um diese Malware: >>> https://www.virustotal.com/de/file/2bf0d131027ce114664b7f9ec31768be9af18ec102fdc7a364ba3a11f5ff3d1e/analysis/1417634661/

 

Der Rechner fror auch nach jeden jedem Neustart ein. Ein anschließender Scan mit Malwarebytes Free brachte Funde im folgenden Verzeichnis, ohne das die Datei ausgeführt wurde: >>> C:\Users\Benutzer\AppData\Local\Temp\auftrag9226.scr und einer xxx.tmp Datei. Und mehrfach im Verzeichnis: C:\Windows\Temp\xxx.tmp

 

Nach dem entfernen der Funde läuft der Rechner wieder.

 

Außerdem ließ sich der Papierkorb mit O&O nicht bereinigen. Erst durch manuelles löschendes der Inhalte des $Recycle.Bin gab es keine Blockierungen mehr.

Share this post


Link to post
Share on other sites

Ich wollte mir grade das File genauer ansehen, allerdings ist das Archiv verschluesselt. Ohne Passwort komm ich entsprechend nicht an die Datei heran. Die Dateien im Temp Ordner koennen uebrigens von Deinem Entpacktool stammen. Diverse Tools entpacken Dateien zuerst in einem temporaeren Verzeichnis und verschieben sie dann in den eigentlichen Zielordner.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.