Avast meldet Bedroliche Datei: "JS:Downloader-DEF [Trj]"

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Avast meldet Bedroliche Datei: "JS:Downloader-DEF [Trj]"

    Guten Tag zusammen,

    Ich hatte heute morgen gegen 2 Uhr von Avast ein Pop up bekommen, da stand drin, es wäre eine bedroliche Datei gefunden worden (o.ä.) Und es wurde eine Datei aus C:\Users\Robert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0Y0UTMP4 in den Virus Container verschoben, der Name der Datei war 150249000[1].js , laut Virencontainer war die letzte Änderung am 12.08.2017 00:35:41 , die Treansferzeit war am 12.08.2017 02:35:43. Und der Virus war JS:Downloader-DEF [Trj].

    So das war gerstern Nacht/ heute Morgen, als Vorwort, ich hatte Vorgestern Morgen, einen Blueesceen sehr kurz nach dem Start (ich habe gerade Steam und Firefox gestartet, und denke nich das die komplett gestartet waren), und hatte dannnach einige kleineren Problem (Steam, was sich automatisch anmelden sollte musste ich manuell anmelden, ein spiel ist laut Steam nicht mehr installiert obwohl die Ordner -und deren inhalte, so weit ich weiß- noch an der richtigen Stelle auf der Festplatte sind. Und beim starten von Spielen werden mir EULAs angezeigt als würde ich das spiel zum ersten mal auf diesem Computer starten -was nicht der Fall ist.) Diese Probleme schiebe ich aber auf den Bluesceen da Steam während dessen noch am Starten war nach dem Hochfahren. Danach ist Vorgestern nichts mehr passiert.

    Gestern Nacht kam dann die Meldung bzgl. der Bedrohlichen Datei. Ich habe unmittelbar dannnach den Virenscanner durch laufen lassen, der hat nicht gefunden und ich bin ins Bett gegangen. Eben, vor etwa 2 Stunden beim Start des PCs wurde mir das BIOS angezeigt, nach dem ich beim Start die Meldung hatte, "Overcklocking failed" (o.ä.), an und für sich kenne ich diese Meldung, die tritt recht häufig auf, ich erwähne es aber sicherheitshalber auch. Nach dem Hochfahren habe ich nichts gemacht, die Autostart programme (Skype ect.) starteten wie gewohnt, und ich habe weder den Browser, noch weitere Programme gestartet, da ich zuerst einen vollständigen Viensuchlauf von Avast habe druchlaufen lassen. Nach etwa 1 1/2 Stunden meldete dieser keine Funde.

    Das war vor etwa 30 Minuten -jetzt wo ich das schreibe. Damit bin ich jetzt hier, ich traue mich momentan nicht mich in mein Postfach einzuloggen, oder in Steam -oder irgenteinen anderen Dienst- und bin mir daher nicht sicher ob irgentein Angriff stattgefunden hat, gestern und vorgestern gab es jedoch keine Anzeichen dafür, dass irgenteiner meiner Account betroffen wäre, und hoffe daher das es sich bei der bedrohlichen Datei um ein False-Positiv handelt und garnichts passiert ist. Ich werde jetzt aber schon mal den "Ich glaube ich habe mir einen Virus eingefangen - was muss ich tun?" Post durch gehen und gegebenenfalls anfügen.

    Edit: Algemein noch: Ich bin der einzige Nutzer des Comupters, und es handelt sich um einen Windows 7 64-bit der etwa 6 Jahre alt ist (ich halte den Bluescreen für ein Zeichn des hohen Alters des PCs, auch wenn das nur eine Gefühl sache ist)

    Mfg
  • WhoCrashed ist fertig, und ich werde den Text als Spoiler einfügen.

    Edit: Eine Frage; wenn ich die Idee eines Rootscan richtig verstehe, müssten doch vorher fast alle Programme 'gekillt' werden, um dabei nichts zu verstecken. Sollte ich den PC dann jetzt nach dem Scan neustarten, für den Fall das Programme wie Avast auch betroffen waren.



    Spoiler anzeigen






    System Information (local)



    Computer name:
    BASE
    Windows version: Windows 7 Service Pack 1, 6.1, build: 7601
    Windows
    dir: C:\Windows
    Hardware: ASUSTeK Computer INC., P8P67 EVO
    CPU:
    GenuineIntel Intel(R) Core(TM) i7-2600K CPU @ 3.40GHz Intel586, level: 6
    8
    logical processors, active mask: 255
    RAM: 17155547136 bytes
    total








    Crash Dump Analysis



    Crash dump
    directory: C:\Windows\Minidump


    Crash dumps are enabled on your
    computer.


    On
    Thu 10.08.2017 11:50:07 your computer crashed
    crash dump file:
    C:\Windows\Minidump\081017-8392-01.dmp
    This was probably caused by the
    following module: ntoskrnl.exe (nt+0x6F980)
    Bugcheck code: 0x109
    (0xA3A039D89E4865D0, 0xB3B7465EF0C534F6, 0xFFFFF800030B6C80, 0x1)
    Error:
    CRITICAL_STRUCTURE_CORRUPTION
    file path:
    C:\Windows\system32\ntoskrnl.exe
    product: Microsoft® Windows® Operating System
    company: Microsoft Corporation
    description: NT Kernel &
    System
    Bug check description: This indicates that the kernel has detected
    critical kernel code or data corruption.
    This might be a case of memory
    corruption. More often memory corruption happens because of software errors in
    buggy drivers, not because of faulty RAM modules.
    The crash took place in
    the Windows kernel. Possibly this problem is caused by another driver that
    cannot be identified at this time.




    On Thu 18.05.2017 21:37:13 your computer
    crashed
    crash dump file: C:\Windows\Minidump\051817-7332-01.dmp
    This
    was probably caused by the following module: ntoskrnl.exe (nt+0x6F4C0)
    Bugcheck code: 0xA (0x0,
    0x2, 0x0, 0xFFFFF8000309DFF4)
    Error: IRQL_NOT_LESS_OR_EQUAL
    file path:
    C:\Windows\system32\ntoskrnl.exe
    product: Microsoft® Windows® Operating System
    company: Microsoft Corporation
    description: NT Kernel &
    System
    Bug check description: This indicates that Microsoft Windows or a
    kernel-mode driver accessed paged memory at DISPATCH_LEVEL or above.
    This
    appears to be a typical software driver bug and is not likely to be caused by a
    hardware problem.
    The crash took place in the Windows kernel. Possibly this
    problem is caused by another driver that cannot be identified at this time.




    On
    Thu 04.05.2017 08:03:01 your computer crashed
    crash dump file:
    C:\Windows\Minidump\050417-8845-01.dmp
    This was probably caused by the
    following module: hal.dll
    (0xFFFFF800030635D0)
    Bugcheck code: 0xA (0x0, 0x2, 0x1,
    0xFFFFF800030635D0)
    Error: IRQL_NOT_LESS_OR_EQUAL
    file path:
    C:\Windows\system32\hal.dll
    product: Microsoft® Windows® Operating System
    company: Microsoft Corporation
    description: Hardware
    Abstraction Layer DLL
    Bug check description: This indicates that Microsoft
    Windows or a kernel-mode driver accessed paged memory at DISPATCH_LEVEL or
    above.
    This appears to be a typical software driver bug and is not likely to
    be caused by a hardware problem.
    The crash took place in a standard
    Microsoft module. Your system configuration may be incorrect. Possibly this
    problem is caused by another driver on your system that cannot be identified at
    this time.




    On Sun 16.04.2017 05:32:29 your computer
    crashed
    crash dump file: C:\Windows\Minidump\041617-7378-01.dmp
    This
    was probably caused by the following module: ntoskrnl.exe (nt+0x6F440)
    Bugcheck code: 0x109
    (0xA3A039D89E4A3AEC, 0xB3B7465EF0C70A42, 0xFFFFF800030B6890, 0x1)
    Error:
    CRITICAL_STRUCTURE_CORRUPTION
    file path:
    C:\Windows\system32\ntoskrnl.exe
    product: Microsoft® Windows® Operating System
    company: Microsoft Corporation
    description: NT Kernel &
    System
    Bug check description: This indicates that the kernel has detected
    critical kernel code or data corruption.
    This might be a case of memory
    corruption. More often memory corruption happens because of software errors in
    buggy drivers, not because of faulty RAM modules.
    The crash took place in
    the Windows kernel. Possibly this problem is caused by another driver that
    cannot be identified at this time.




    On Wed 05.04.2017 11:55:02 your computer
    crashed
    crash dump file: C:\Windows\Minidump\040517-7488-01.dmp
    This
    was probably caused by the following module: ntoskrnl.exe (nt+0x6F440)
    Bugcheck code: 0x109
    (0xA3A039D89E4A3660, 0xB3B7465EF0C705B6, 0xFFFFF8000313AB54, 0x1)
    Error:
    CRITICAL_STRUCTURE_CORRUPTION
    file path:
    C:\Windows\system32\ntoskrnl.exe
    product: Microsoft® Windows® Operating System
    company: Microsoft Corporation
    description: NT Kernel &
    System
    Bug check description: This indicates that the kernel has detected
    critical kernel code or data corruption.
    This might be a case of memory
    corruption. More often memory corruption happens because of software errors in
    buggy drivers, not because of faulty RAM modules.
    The crash took place in
    the Windows kernel. Possibly this problem is caused by another driver that
    cannot be identified at this time.









    Conclusion



    50 crash dumps
    have been found and analyzed. Only 5 are included in this report. No offending
    third party drivers have been found. Connsider using WhoCrashed Professional
    which offers more detailed analysis using symbol resolution. Also configuring
    your system to produce a full memory dump may help you.



    Read the
    topic general suggestions for troubleshooting system crashes for
    more information.


    Note that it's not always possible to state with
    certainty whether a reported driver is responsible for crashing your system or
    that the root cause is in another module. Nonetheless it's suggested you look
    for updates for the products that these drivers belong to and regularly visit
    Windows update or enable automatic updates for Windows. In case a piece of
    malfunctioning hardware is causing trouble, a search with Google on the bug
    check errors together with the model name and brand of your computer may help
    you investigate this further.



  • Für den letzten Bluescreen könnte dein VIrenscanner verantwortlich sein. Ganz sicher bin ich mir da aber nicht.
    Der Fund hat im Cache des IEs stattgefunden. Der Guard von Avast hat die Datei gefunden und geblockt.
    Das was auf dem System gelandet ist, ist unwahrscheinlich (aufgrund des Fundortes).
    Was hast du zu dem Zeitpunkt genutzt? Wo hast du gesurft?
    Hast du da Skype genutzt? (Der Fund war am 12.08.2017 um 2:35 Uhr.)

    Du scheinst nach dem Fund Eset ausgeführt zu haben.
    Das LOG von dem Scan befindet sich unter C:\Programme (x86)\ESET\ESET Online Scanner\log.txt.
    Das hätte ich noch gerne.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

  • Danke für die Antwort,

    Skype ist immer an, ja, habe ich aber nicht aktiv genutzt (also war nichts am schreiben oder lesen ect.) Als das Popup von Avast wegen der Datei kam, war ich im Guardian am lesen, im hinter grund lief Twitch und Musik über Youtube. Ich habe gennerell immer recht viele Tabs offen (selbst jetzt), da waren sicher auch andere im hintergrund gelagen. Ich war aber gestern den ganzen Abend auf keiner Seite, die ich nicht regelmäßig besuche.

    ESET ich weiß nicht was das ist, und ich bin mir sicher das ich da keinen Test ausgeführt habe.
    Respektive, ich bin gerade das Programm verzeichniss (in der Systemsteuerung) durchgegangen, da stand ESET wurde am 8.3.17 installiert wurde, und ich gehe davon aus das war von dir. (Ich hatte Anfang März ein größeres Probelm weswegen ich mich hier im Forum anmeldete, und da hattest du -wie auch einige andere- mir schon geholfen, dabei installiertest du/ich/PPFS dieses Programm.
    [ Ich vermute, dass ich einen Virus habe und mein Steamaccount gehackt wurde ]
    Das war die Anleitung, falls das hilft.
    Wieso und ob der einen Scan ausgeführt hat weiß ich nicht, ich wusste nicht mal mehr das das installiert war -das ist in dem Stress den ich da hatte wohl komplett unter gegangen. Ich denke das das log von dem Zwischenfall im März war, werde das Log aber als anhang anfügen.
    Dateien
    • log.txt

      (3,36 kB, 3 mal heruntergeladen, zuletzt: )
  • Ok, tut mir leid, aber das versteh ich nicht. Was bedeutet, das muss von Skype gekommen sein, wie muss ich mir das Vorstellen, Skype kann doch keine Dateien auf mein System kopieren?

    Edit: Ich habe die Frage erst jetzt gesehen. Ja ich nutzt Firefox, ich habe Internet Explorer seit Jahren nicht mehr benutzt.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Rapunzel2017 ()

  • Das muss von einer Anwendung kommen, die den Cache des InternetExploters nutzt und mit normalen Userrechten läuft (ohne weitere Einschränkungen durch den Mandatory Integrity Level) - da bleibt eigentlich nur Skype übrig.
    In Skype wird (soweit ich weiß) Werbung eingeblendet. So etwas kann mit einer "Werbung" auf das System kommen. Das Fenster von Skype musst du dabei gar nicht unbedingt sehen.
    Zum Verteilen von Trojanern wird oft Werbeplatz angemietet.
    Wir werden Eset zur Sicherheit noch einmal ausführen. Der wurde noch nicht ausgeführt - ich war nur etwas verwirrt durch eine Meldung in der Ereignisanzeige.
    Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPFS_T
    2. CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs
    3. WRITE_BATCH->Dim EnglishText, GermanText, VoiceName
    4. WRITE_BATCH->EnglishText = "Information from PPF-Scan. "
    5. WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan wants to load files from the internet! "
    6. WRITE_BATCH->EnglishText = EnglishText + "Pleace dont turn off internet connection! "
    7. WRITE_BATCH->GermanText = "Information vom PPFScanner! "
    8. WRITE_BATCH->GermanText = GermanText + "Der PPFScanner wird nun Dateien aus dem Internet herunterladen! "
    9. WRITE_BATCH->GermanText = GermanText + "Bitte unterbrechen sie die Internetverbindung nicht, bis der Vorgang abgeschlossen ist! "
    10. WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice")
    11. WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0)
    12. WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription
    13. WRITE_BATCH->VoiceName = ucase(VoiceName)
    14. WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then
    15. WRITE_BATCH-> SAPI.Speak GermanText
    16. WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then
    17. WRITE_BATCH-> SAPI.Speak GermanText
    18. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then
    19. WRITE_BATCH-> SAPI.Speak EnglishText
    20. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then
    21. WRITE_BATCH-> SAPI.Speak EnglishText
    22. WRITE_BATCH->End If
    23. START_SHELL->%SystemRoot%\system32\cmd.exe
    24. EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B
    25. CLOSE_SHELL->
    26. CREATE_FOLDER->C:\PPF_Scan2
    27. SLEEP->10000
    28. DOWNLOAD->http://download.eset.com/special/eos/esetsmartinstaller_deu.exe>C:\PPFS_T\ESInstall.exe
    29. CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs
    30. WRITE_BATCH->Dim EnglishText, GermanText, VoiceName
    31. WRITE_BATCH->EnglishText = "Information from PPF-Scan. "
    32. WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan is executing an anti-virus scanner "
    33. WRITE_BATCH->EnglishText = EnglishText + "and will set options in the anti-virus scanner! "
    34. WRITE_BATCH->EnglishText = EnglishText + "Pleace don't touch the mouse and don't execute any program while the virus-scanner is running. "
    35. WRITE_BATCH->GermanText = "Information vom PPFScanner! "
    36. WRITE_BATCH->GermanText = GermanText + "Der PPFScanner führt jetzt ein Antivirenprogramm aus "
    37. WRITE_BATCH->GermanText = GermanText + "und wird automatisch Optionen im Antivirenprogramm setzen! "
    38. WRITE_BATCH->GermanText = GermanText + "Bitte berühren sie nicht die Maus und starten sie keine Programme, "
    39. WRITE_BATCH->GermanText = GermanText + "bis der Vorgang abgeschlossen ist! "
    40. WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice")
    41. WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0)
    42. WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription
    43. WRITE_BATCH->VoiceName = ucase(VoiceName)
    44. WRITE_BATCH->For i = 1 to 3
    45. WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then
    46. WRITE_BATCH-> SAPI.Speak GermanText
    47. WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then
    48. WRITE_BATCH-> SAPI.Speak GermanText
    49. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then
    50. WRITE_BATCH-> SAPI.Speak EnglishText
    51. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then
    52. WRITE_BATCH-> SAPI.Speak EnglishText
    53. WRITE_BATCH->End If
    54. WRITE_BATCH->Next
    55. START_SHELL->%SystemRoot%\system32\cmd.exe
    56. EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B
    57. CLOSE_SHELL->
    58. SLEEP->20000
    59. CREATE_BATCH_FILE->C:\PPFS_T\Test.BAT
    60. SET_PRIVILEGE->SeBackupPrivilege>0
    61. EXECUTE->C:\PPFS_T\ESInstall.exe
    62. SET_PRIVILEGE->SeBackupPrivilege>1
    63. WAIT_FOR_WINDOW->Nutzungsbedingungen
    64. ->ESInstall.exe
    65. CLICK_WINDOW->JA, ich bin mit den Nutzungsbedingungen einverstanden
    66. ->ESInstall.exe
    67. ->8
    68. ->8
    69. CLICK_WINDOW->Start
    70. ->ESInstall.exe
    71. ->8
    72. ->8
    73. WAIT_FOR_PROCESS->OnlineScannerApp.exe
    74. SLEEP->1000
    75. CLICK_WINDOW->Erkennung von eventuell unerwünschten Anwendungen aktivieren
    76. ->OnlineScannerApp.exe
    77. ->8
    78. ->8
    79. CLICK_WINDOW->Erweiterte Einstellungen
    80. ->OnlineScannerApp.exe
    81. ->8
    82. ->8
    83. CLICK_WINDOW->Archive prüfen
    84. ->OnlineScannerApp.exe
    85. ->8
    86. ->8
    87. CLICK_WINDOW->Auf potenziell unsichere Anwendungen prüfen
    88. ->OnlineScannerApp.exe
    89. ->8
    90. ->8
    91. CLICK_WINDOW->Start
    92. ->OnlineScannerApp.exe
    93. ->8
    94. ->8
    95. WAIT_FOR_WINDOW->Fertig stellen
    96. ->OnlineScannerApp.exe
    97. ACTIVATE_WINDOW->Eset Online Scanner
    98. ->OnlineScannerApp.exe
    99. CLICK_WINDOW->Fertig stellen
    100. ->OnlineScannerApp.exe
    101. ->8
    102. ->8
    103. SLEEP->3000
    104. KILL_PROCESS->OnlineScannerApp.exe
    105. CREATE_BATCH_FILE->C:\PPFS_T\LOG.BAT
    106. WRITE_BATCH->COPY "%PROGRAMFILES%\ESET\ESET Online Scanner\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A
    107. WRITE_BATCH->COPY "%PROGRAMFILES(X86)%\ESET\ESET Online Scanner\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A
    108. OPEN->C:\PPFS_T\LOG.BAT
    109. OPEN->C:\PPF_Scan2
    110. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Der Eset Onlinescanner (Virenscanner) wird sich selbst herunterladen, starten und selbst die Einstellungen setzen. Finger weg vom Rechner, bis der Scan von Eset gestartet wurde!
    • Der Scan wird einige Stunden dauern. Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.


    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Ok, bevor ich das mache, sollte ich da ESET deinstallieren? EDIT: Ich habe den Ordner PPFS_T schon der wurde bei dem Kernelmode RootKitScan angelegft, wenn ich die Zeiten richtig einschätze (heute 16 Uhr etwa als ich PPFS startet), sollte ich den Ordner dann vorher löschen?

    Und ja Skype zeigt Werbung an, ich tu mich nur gerade etwas schwer mir vorzustellen das Microsoft so etwas in ihr Programm (Skype) lassen würde.