PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gelöst avast! durch LiveCD-Scan beschädigt



kveisunir
02.11.11, 17:47
Hallo,
nachdem ich eine Meldung in einem Forum erhalten habe, es sei ein Fremdzugriff auf meinen Account (sicheres Passwort und keine Weitergabe) vorgefallen, bin ich etwas hysterisch geworden und hatte die idiotische Idee, mithilfe einer LiveCD von ComputerBild (http://www.computerbild.de/download/COMPUTER-BILD-Notfall-CD-3127466.html) nochmals einen Scan durchzuführen.
Unglücklicherweise hat die auf der CD installierte Antivirus-Software (Clamav) mir den Scan verweigert, wenn ich verdächtige Dateien in ein temporäres Verzeichnis schieben wollte, und damit erzwungen, dass automatisch sämtliche Infektionen gelöscht werden.

Scheinbar hat es dabei einige Dateien gelöscht, auf die ich nur ungern verzichte:
Unter anderem wurden Dateien von avast! entfernt...
Deshalb hab ich den Scan abgebrochen, das hat aber natürlich die verloren gegangenen Dateien nicht wiederhergestellt:

/media/sda1/ATI/Support/11-2_vista_win7_32-64_ccc_lang2/Packages/Apps/CIM/Win32/ATICatalystInstallManager.msi: PUA.Packed.Armadillo-1 FOUND
/media/sda1/ATI/Support/11-2_vista_win7_32-64_ccc_lang2/Packages/Apps/CIM/Win32/ATICatalystInstallManager.msi: Removed.
/media/sda1/ATI/Support/11-6_vista_win7_32-64_ccc_lang2/Packages/Apps/CIM/Win32/ATICatalystInstallManager.msi: PUA.Packed.Armadillo-1 FOUND
/media/sda1/ATI/Support/11-6_vista_win7_32-64_ccc_lang2/Packages/Apps/CIM/Win32/ATICatalystInstallManager.msi: Removed.
/media/sda1/PC/Installationen/Handy/20080918151418765_Samsung_USB_Driver_Installer.exe : PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Handy/20080918151418765_Samsung_USB_Driver_Installer.exe : Removed.
/media/sda1/PC/Installationen/PCSchutz/CCleaner/ccsetup300.exe: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/PCSchutz/CCleaner/ccsetup300.exe: Removed.
/media/sda1/PC/Installationen/PCSchutz/CCleaner/ccsetup304.exe: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/PCSchutz/CCleaner/ccsetup304.exe: Removed.
/media/sda1/PC/Installationen/PCSchutz/CureIt/cureit.exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/PCSchutz/CureIt/cureit.exe: Removed.
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch (2).exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch (2).exe: Removed.
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch (3).exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch (3).exe: Removed.
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch(2).exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch(2).exe: Removed.
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch.exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/PCSchutz/CureIt/launch.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/cygwin1.dll: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/cygwin1.dll: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/cygz.dll: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/cygz.dll: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/DXdump.exe: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/DXdump.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/ff2ogg.exe: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/ff2ogg.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/ffmpeg.exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/ffmpeg.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/mencoder/mencoder.exe: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/mencoder/mencoder.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/mencoder/mplayer.exe: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/mencoder/mplayer.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/Setup.exe: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/Setup.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/1stRun.exe: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/1stRun.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/flvdec.spk: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/flvdec.spk: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/M2TS_ax.spk: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/M2TS_ax.spk: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/MKV_ax.spk: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/MKV_ax.spk: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/Movawin.spk: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/Movawin.spk: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/Rm8dmod.spk: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/Rm8dmod.spk: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/Smab.spk: PUA.Packed.PECompact-1 FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/spk/Smab.spk: Removed.
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/SUPER.exe: PUA.Packed.TeLock FOUND
/media/sda1/PC/Installationen/Sonstiges/eRightSoft/SUPER/SUPER.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/PC-Zeit/PCZeit.exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/Sonstiges/PC-Zeit/PCZeit.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/PC-Zeit/UnInstall.exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/Sonstiges/PC-Zeit/UnInstall.exe: Removed.
/media/sda1/PC/Installationen/Sonstiges/pczeit_v201.exe: PUA.Packed.ASPack FOUND
/media/sda1/PC/Installationen/Sonstiges/pczeit_v201.exe: Removed.
/media/sda1/PC/Installationen/SuperTalent Stick Reinstallation/RecoveryTool.rar: PUA.IRC-Client.mIRC-37 FOUND
/media/sda1/PC/Installationen/SuperTalent Stick Reinstallation/RecoveryTool.rar: Removed.
/media/sda1/Program Files/Alwil Software/Avast5/defs/11110102/aswBoot.dll: PUA.Crypt.ScriptCryptor FOUND
/media/sda1/Program Files/Alwil Software/Avast5/defs/11110102/aswBoot.dll: Removed.
/media/sda1/Program Files/Alwil Software/Avast5/defs/11110102/aswBoot64.dll: PUA.Crypt.ScriptCryptor FOUND
/media/sda1/Program Files/Alwil Software/Avast5/defs/11110102/aswBoot64.dll: Removed.
/media/sda1/Program Files/Alwil Software/Avast5/defs/11110102/aswEngin.dll: PUA.Crypt.ScriptCryptor FOUND
/media/sda1/Program Files/Alwil Software/Avast5/defs/11110102/aswEngin.dll: Removed.
/media/sda1/Program Files/Alwil Software/Avast5/Setup/vps_win64-2c1.vpx: PUA.Crypt.ScriptCryptor FOUND
/media/sda1/Program Files/Alwil Software/Avast5/Setup/vps_win64-2c1.vpx: Removed.
/media/sda1/Program Files (x86)/Adobe/Reader 10.0/Reader/plug_ins/Annotations/Stamps/DEU/Dynamic.pdf: PUA.Script.PDF.EmbeddedJavaScript FOUND
/media/sda1/Program Files (x86)/Adobe/Reader 10.0/Reader/plug_ins/Annotations/Stamps/DEU/Dynamic.pdf: Removed.
/media/sda1/Program Files (x86)/Adobe/Reader 10.0/Reader/plug_ins/Annotations/Stamps/ENU/Dynamic.pdf: PUA.Script.PDF.EmbeddedJavaScript FOUND
/media/sda1/Program Files (x86)/Adobe/Reader 10.0/Reader/plug_ins/Annotations/Stamps/ENU/Dynamic.pdf: Removed.
/media/sda1/Program Files (x86)/Alcohol Soft/Alcohol 120/Langs/AX_UA.dll: PUA.Packed.ASPack FOUND
/media/sda1/Program Files (x86)/Alcohol Soft/Alcohol 120/Langs/AX_UA.dll: Removed.
/media/sda1/Program Files (x86)/Moorhuhn Total/Moorhuhn Kart XXL/AnleitungMHK.exe: PUA.Packed.ASPack FOUND
/media/sda1/Program Files (x86)/Moorhuhn Total/Moorhuhn Kart XXL/AnleitungMHK.exe: Removed.


Ich habe dann gleich mithilfe des Datenrettungstools, das auf der CD mit drauf war, versucht die Dateien wiederherzustellen, was aber misslang, da das Tool weder alle Dateiendungen kannte noch eine Übersicht vor dem Wiederherstellen geben konnte.

Beim Systemneustart hat avast! gleich gemerkt, dass etwas an der Installation nicht mehr stimmt, und mir die "Reparieren"-Option angeboten. Trotzdem fehlt mir auch nach der Reperatur die folgende Datei von avast!: vps_win64-2c1.vpx

Gibt es eine Möglichkeit, diese neu herunterzuladen (bzw. wiederherzustellen), ohne die komplette Installation zu wiederholen? Sollte sich noch ein Virus auf dem Rechner befinden, wäre ich sonst ja mehr als nur unsicher, ob die Reinstallation wirklich erfolgreich war (Die Version des Programms ist 6.0.1289, das Betriebsystem Windows Vista x64).

Und besteht tatsächlich die Option, dass die Dateien infiziert waren, oder war das nur eine Fake-Meldung?

All meine Hoffungen liegen in euch! Falls ich relevante Informationen vergessen haben sollte, gebt bitte Bescheid!

Grüße
kveisunir

Catweezel
02.11.11, 19:29
keine Panik !
bitte zuerst noch mal eine zweite Meinung einholen mit MBAM
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
(http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html)
Wenn alles OK ist (!), Avast mit dem Uninstalltool entfernen und neu installieren.
siehe hier
http://forum.avadas.de/threads/2222-avast!-4-5-FAQ-Knowledgebase?p=17355&viewfull=1#post17355

(http://forum.avadas.de/threads/2222-avast!-4-5-FAQ-Knowledgebase?p=17355&viewfull=1#post17355)Hiermit kann dann eine Startzeitprüfung ausgeführt werden.

kveisunir
03.11.11, 22:03
Hallo,
danke für die flotte Antwort!

MBAM hat folgende Datei gefunden:

c:\PC\installationen\PCSchutz\WCASSU54.exe (Rogue.Installer) -> No action taken.
Die Datei ist/sollte eine Installationsdatei für das Programm WinCleaner AntiSpyware sein.

Verbirgt sich dahinter etwas gefährlicheres (und was sollte ich dann unternehmen?) oder kann ich den Rechner als sauber ansehen und wie oben beschrieben avast! neuinstallieren?

Grüße
kveisunir

Catweezel
04.11.11, 07:11
hast du WinCleaner AntiSpyware bei dir installiert ? Schmeiß' das Ding runter.
Dort ist ein Echtzeitschutz vorhanden, der mit Avast in Gehege kommen kann. Avast deckt eigentlich alles ab... da brauchst du kein weiteren Wächter
Dann so weiter machen, wie beschrieben.

kveisunir
04.11.11, 18:17
Nein, das Programm ist nicht bei mir installiert.

Hintergrund ist, dass ich wegen einer lahmen Internetverbindung alle Installationsdateien, die ich mir runtergeladen habe, abgespeichert habe.
Die Anwendung ist jetzt jedenfalls unter Quarantäne und ich habe wie von der Deinstallationsanleitung vorgeschlagen, mit dem Tool im Abgesicherten Modus erstmal avast! 5 deinstalliert und danach avast! 6, was aber scheinbar schon bei der vorherigen Deinstallation mitgelöscht wurde.

Dann habe ich mit CCleaner die Schlüssel von avast! gelöscht und das Programm neuinstalliert. Komischerweise war avast! direkt nach der Installation nicht aktiv, und der "Reparieren"-Button hat auch nicht weitergeholfen.

Nach einem Neustart in den normalen Modus läuft das Programm aber wieder tadellos und ist auch up to date.

Zur Startzeitprüfung habe ich noch folgende Frage: Welcher Wirkungsgrad ist in diesem Fall empfehlenswert?

Danke nochmal für die bisherige Hilfe!

Grüße
kveisunir

Alfred E. Neumann
04.11.11, 18:51
Zur Startzeitprüfung habe ich noch folgende Frage: Welcher Wirkungsgrad ist in diesem Fall empfehlenswert?


Da die Avast Hilfe nicht alle Fragen abdeckt, empfehle ich die mal Auggies Anleitung. http://forum.avadas.de/download/installation_und_einstellung_von_avast_6.pdf

kveisunir
05.11.11, 11:46
Ich habe nach Lektüre des Links die Startzeitprüfung mit mittlerem Wirkungsgrad durchgeführt. Das Ergebnis entspricht in etwa dem, was mir vorher wegen eines anderen Problems schonmal ausgewertet (http://forum.avadas.de/threads/3160-USB-Stick-autorun.inf-und-jwgkvsq.vmx-infiziert?p=28943&viewfull=1#post28943) wurde:

11/04/2011 22:30
Scan aller lokalen Laufwerke

Datei C:\PC\Installationen\Sonstiges\Windows Mail\PasswordViewer\mailpv.zip|>mailpv.exe ist infiziert von Win32:PSWtool-K [PUP]
Datei C:\PC\Installationen\Spiele\Oblivion\Nehrim\Nehrim Install_1.0.0.0_DE(2).exe|>{app}\Data\Video\OblivionIntro.bik Fehler 42145 {Installationsarchiv ist beschädigt.}
Datei C:\Users\Robin\Documents\Alcohol 120%\Allods.mdf|>data\Packs\SFX_Music.pak|>SFX\Music\Music_Zone.fsb Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Users\Robin\Downloads\autoit-v3-setup.exe.part|>$INSTDIR\AutoItX\AutoItX.chm|>$FIftiMain Fehler 42136 {CHM-Archiv ist beschädigt.}
Anzahl durchsuchter Ordner: 59184
Anzahl der geprüften Dateien: 1581278
Anzahl infizierter Dateien: 1

Es scheint also, als wäre mein Rechner nicht infiziert.

Kann ich damit von einem False Positive beim LiveCD-Scan ausgehen und muss nicht mehr befürchten, dass ein Keylogger oder andere Malware Infos von meinem Rechner an Dritte weitergibt?

Und zuletzt ist mir auch noch aufgefallen, dass scheinbar doch nicht alle Rückstände meiner alten avast!-Version entfernt werden konnten. Im Verzeichnis C:\ProgramData befindet sich noch der Ordner "Alwil Software" mit avast! 5-Dateien. Kann ich diesen einfach löschen oder soll ich das oben empfohlene Tool nochmal auf diesen Pfad ausführen?

Grüße
kveisunir

Adama
05.11.11, 13:49
Hallo,

führe einfach das Uninstall Tool nochmal aus und entferne die verbliebenen Überreste per Hand. Ansonsten ist bei dem Ergebnis oben nichts dabei, was auf eine Infektion schliessen lässt.

kveisunir
08.11.11, 19:39
Hallo,
das Uninstall Tool hat leider die neue Installation geschädigt, deshalb habe ich avast! nochmals neu aufgesetzt und so wie es ausschaut läuft es auch super.

Danke für eure Hilfe!

Zuletzt hätte ich noch eine Frage: Habt ihr sowas wie eine Blacklist von Programmherstellern?
Ich habe nämlich auf mehreren Websites die Aussage gehört, erightsofts "Super" hätte Spyware onboard. avast! findet da jedoch nichts, und die Installationsdatei ist zu groß (ca. 39 MB), um sie mit einem Onlinescanner wie von virustotal o.ä. zu prüfen.

Grüße
kveisunir

TerraX
09.11.11, 00:11
Hallo,

ne Blacklist habe ich gerade leider nicht zur Hand, aber bei metascan kannst du bis zu 40MB online überprüfen.
http://www.metascan-online.com/
Ist zwar ein wenig Off Topic...., aber ein kleiner Tipp am Rande.
Hatte das Programm "Super" auch schon mal getestet, ist mir ein wenig zu aufgebläht......;)
Es kommt auch immer darauf an, was du konvertieren möchtest.
Für CD´s kann ich dir Audiograbber empfehlen, für DVD´s, bzw. Filme kann ich dir den 3GP Converter empfehlen, den mußt du nicht mal installieren.

Adama
09.11.11, 08:22
Hallo,

die Installationsdatei zu prüfen ist auch nicht immer sinnvoll, da viele Installer ihre Daten komprimieren (das auch teilweise mit nicht immer gängigen Algorithmen) und/oder auch verschlüsseln. Beim Installieren sollte avast! allerdings Spyware melden/entfernen, wenn diese wirklich unter die Kategorie fällt. Allerdings würde ich auch eine Alternative nutzen, wenn schon Zweifel von Anfang an bestehen.

Bei uns gab es auch mal ein Thema zu dem Programm, allerdings ist es nicht sehr aufschlussreich, was deine Frage angeht: http://forum.avadas.de/threads/1008-Virenmeldung-quot-mota113.exe-quot-und-quot-Rm7dmod.spk-quot

kveisunir
11.11.11, 17:55
Hallo,
danke für eure Hilfe und Hinweise!
Ich habe die Installationsanwendung bei Metascan durchsuchen lassen, das Ergebnis ist dabei folgendes:








avast! Pro Antivirus
110578ms
2011-11-06
-


AVG scan engine
1860ms
2011-11-05
-


BullGuard Internet Security
61125ms
2011-11-06
-


CA scan engine
16ms
2011-11-04
-


ClamWin scan engine
31ms
2011-11-05
-


Emsisoft Anti-Malware
60969ms
2011-11-07
-


ESET scan engine
23422ms
2011-11-06
Win32/OpenCandy application


F-PROT Antivirus for Windows
55922ms
2011-11-06
-


F-Secure Anti-Virus
60750ms
2011-11-07
-


K7 engine
9203ms
2011-11-06
-


Kingsoft Internet Security 9 P...
29750ms
2011-11-07
-


McAfee VirusScan Enterprise
3625ms
2011-11-05
-


Norman scan engine
110ms
2011-11-05
-


Quick Heal scan engine
110ms
2011-11-06
-


Sophos Anti-Virus
0ms
2011-11-06
Failed to scan


Sunbelt scan engine
31ms
2011-11-06
-


Symantec Scan Engine
1110ms
2011-11-06
-


VirusBuster scan engine
141ms
2011-11-05
-


Final Result
Infected (5.6% detection rate)





Lässt sich OpenCandy evtl. aus dem Programm entfernen?
Soweit ich das überblicken kann, verspricht der Hersteller die Sauberkeit seines Produkts:

Q.033 After or during the installion of SUPER © my Anti-vir, Anti-adware, Anti-spyware, Anti-malware warned me of a
serious security threat. Why is that?

A. SUPER © is 100% clean of any malicious code. Check the NORTON Safeweb report. (https://safeweb.norton.com/report/show?name=erightsoft.net)
We have counted 23 specialized download sites proposing SUPER © for download as a safe 100% clean package.

When you encounter a false detection, it is mostly heuristic, meaning that the anti-vir wasn't able to
parse and recognize the written code, so the file was flaged "suspicious, heuristic or gen (generic)" by default.
Damit sollte es ja nicht illegitim sein, mögliche Malware zu entfernen, oder?


Ich habe mir aber auf jeden Fall die anderen genannten Konvertierungsprogramme notiert und werde sie testen.

Daher nochmals vielen Dank und ein schönes Wochenende!
kveisunir

Adama
11.11.11, 18:16
Hallo,

OpenCandy ist keine Malware, auch wenn es gerne mal als "möglicherweise unerwünschte Anwendung erkannt wird". Hier findest du eine ganz nette Beschreibung: http://www.primopdf.com/de/opencandy.aspx

(http://www.primopdf.com/de/opencandy.aspx)Ich würde mir daher nicht zu viele Gedanken machen. Für mich sieht soweit alles in Ordnung aus.

kveisunir
14.11.11, 19:22
Hallo, dann danke ich euch allen nochmal für eure Hilfe!!

Grüße
kveisunir

Adama
14.11.11, 20:38
Hallo,

kein Problem. Nachdem dann erstmal alle Fragen beantwortet wurde, schliesse ich das Thema als "Gelöst".