Sloan

Nach wipen und Neuinstallation Viren und Trojaner?

Recommended Posts

Guten Tag, 

Ich habe meine Festplatte mehrfach gewiped und ein nagelneues,im Saturn gekauftes Win 10 installiert. Ich habe Emsisoft Anti-Malware installiert und beim scan 5 hochgradige Funde gefunden.  Davon sind 4 angeblich Viren und 1 davon ein Trojaner. Ansonsten habe ich nichts weiteres installiert und keine weitere Hardware angeschlossen. Zusätzlich hatte ich gar keine InternetVerbindung.  

So lauten die Files:

Bthudtask.exe

Cttune.exe. exe

Dvdplay.exe

iexpress.exe(dies soll der Trojaner sein)

Proquota.exe

Werde aus der Sache echt nicht schlau, da es ja wirklich nirgendswo eine Möglichkeit gegeben hatte wie solche Objekte auf meinen PC gelangen könnten.

Share this post


Link to post
Share on other sites

Bitte stelle mal den Kompletten Scan oder Fundbericht hier rein, das ist Aussagekräftiger und zeigt uns außerdem die Fundorte an.

Share this post


Link to post
Share on other sites

Danke für die Antwort. Ich hätte jetzt gerade nur ein Screenshot vom Scan. Für mehr InformatIonen müsste ich morgen nochmal etwas hochladen, da ich nicht zu Hause bin.

Ich hoffe man kann damit schonmal etwas anfangen.lg

20170930_122729.jpg
Download Image

Share this post


Link to post
Share on other sites

Ach ja, ich habe noch vergessen zu erwähnen, dass Emsisoft Anti-Malware zur Zeit des Scans nicht aktuell war. Es waren noch keine Updates installiert da ich kein Internet hatte.

Share this post


Link to post
Share on other sites

OK habe ich mir fast gedacht, war wohl ein Falce positiv.

Die überprüften Dateinamen lauten aber anders und die Endung *.exes gibt's eigentlich nicht. Bitte stelle die erkannten Dateien aus der Qurantäne wieder her, bzw. kopiere diese zurück in das Quellverzeichnis, führe erneut einen Suchlauf aus und poste uns das Scanprotokoll, diese findest Du unter dem >Reiter --->Protokolle  >Unterreiter --->Scan

Share this post


Link to post
Share on other sites

In Quarantäne hatte ich die gar nicht verschoben und dort befindet sich auch nichts. Die Dateien, die ich auf Virustotal hochgeladen hatte, waren Dateien im SysWOW64 Ordner, der Ort der mir beim aller ersten Scan angezeigt wurde.

Share this post


Link to post
Share on other sites

Also da ich nach dem Update bei jedem Scan kein einziges verdächdiges Objekt finde und wie gesagt nichts in der Quarantäne finde, habe ich nur das alte Scanprotokoll finden können:

Emsisoft Anti-Malware - Version 10.0.0.5641
Letztes Update: N/A
Benutzerkonto:

Scaneinstellungen:

Scantyp: Malware-Scan
Objekte: Rootkits, Speicher, Traces, Dateien

Erkenne PUPs: An
Archive scannen: Aus
ADS-Scan: An
Dateierweiterungen: Aus
Advanced Caching: An
Direct Disk Access: Aus

Scan Beginn:    30.09.2017 12:19:37
C:\Windows\SysWOW64\bthudtask.exe      Gen:Variant.Strictor.58214 (B)
C:\Windows\SysWOW64\cttune.exe      Gen:Variant.Strictor.83319 (B)
C:\Windows\SysWOW64\dvdplay.exe      Gen:Variant.Strictor.47106 (B)
C:\Windows\SysWOW64\iexpress.exe      Gen:[email protected]!Tqpdi (B)
C:\Windows\SysWOW64\proquota.exe      Gen:Variant.Strictor.83393 (B)

Gescannt    69815
Gefunden    5

Scan Ende:    30.09.2017 12:21:00
Scanzeit:    0:01:23

 

Share this post


Link to post
Share on other sites
Zitat

Emsisoft Anti-Malware - Version 10.0.0.5641

Wo hast Du denn diese Version ausgegraben?

Bitte führe erneut einen Suchlauf durch und poste uns das Ergebnis, so wie oben, auch wenn nichts gefunden wird.

Share this post


Link to post
Share on other sites

Emsisoft Anti-Malware – Version 2017.8.0.7904
Letztes Update: 01.10.2017 20:27:45
Benutzerkonto: DESKTOP-EDH28E4\TongPo
Computer name: DESKTOP-EDH28E4
OS version: Windows 10x64

Scan-Einstellungen:

Scan-Methode: Malware-Scan
Objekte: Rootkits, Speicher, Traces, Dateien

Erkenne PUPs: An
Archive scannen: Aus
E-Mail-Archive scannen: Aus
ADS-Scan: An
Dateierweiterungen: Aus
Direkter Festplattenzugriff: Aus

Scan-Beginn:    01.10.2017 20:38:49
C:\Users\TongPo\AppData\Local\Temp\DMR\dmr_72.exe      Application.AdLoad (A) [283292]

Gescannt    73552
Gefunden    1

Scan-Ende:    01.10.2017 20:41:06
Scan-Zeit:    0:02:17

Share this post


Link to post
Share on other sites

Guten Tag,

 

Wie Ice Wolf bereits richtig erkannt hat, handelt es sich dabei um Fehlalarme. Die neueste Erkennung ist der ChipInstaller, weil dieser 'anbietet' weitere, meist unerwünschte, Programme zu installieren.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Das Problem ist hiermit eigentlich gelöst, da der Anwender "Sloan" eine sehr alte EAM Version eingesetzte.

Zitat

Scan-Beginn:    01.10.2017 20:38:49
C:\Users\TongPo\AppData\Local\Temp\DMR\dmr_72.exe      Application.AdLoad (A) [283292]

Da EAM die "dmr_72.exe" aus der TEMP entdeckt hat sollte nichts passiert sein, da EAM das Programm beim starten geblockt haben dürfte.

Share this post


Link to post
Share on other sites

Guten Tag,

 

Selbst wenn man das Programm zulässt und anschließend die entsprechenden Haken abwählt sollte eigentlich nichts passieren (das kann sich aber ändern). Die Gefahr ist immer dann am größten, wenn man durch den Installer durchklickt ohne zu kontrollieren was man gerade zustimmt.

 

Grüße

Kathrin

Share this post


Link to post
Share on other sites

Hi,

Das ist auch Teil der Verbesserung der Sicherheit bei Windows.. Heutzutage kommen nur noch sehr wenige Infektionen auf den Rechner ohne dass der User etwas anklickt, aufmacht oder die falsche Webseite besucht.. Da das aber immer auch mal aus Versehen passieren kann, sind wir da um auch das zu verhindern. :)

 

Grüße

Kathrin

Share this post


Link to post
Share on other sites

Guten Tag,

 

Die Ausführung von clipgrab wird von unserer Verhaltensanalyse blockiert. EAM 'bemerkt' dies also durchaus. Hinzukommt, erneut, dass es sich bei den 'Zusatzprogrammen' um ganz normale Programme handelt, die Sie über die Systemsteuerung wieder deinstallieren können, falls Sie dies nicht schon während der Installation abgewählt haben.

Falls Sie in Zukunft ähnliche Fragen habe, würde ich Sie bitten ein eigenes Thema zu erstellen um zu verhindern vom eigentlich Thema im Thread abzulenken.


Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.