Avast meldet Bedroliche Datei: "JS:Downloader-DEF [Trj]"

  • Avast erkennt normalerweise mit Standardeinstellungen keine Adware.
    Damit Adware erkannt wird, muss folgende Option in den Einstellungen gesetzt sein:
    • Führe einen Klick auf das Icon von Avast in der Taskleiste aus. Es startet sich die Benutzerumgebung von Avast.
    • Klicke links unten auf Einstellungen.
    • Markiere links Allgemein und überprüfe, ob das Häkchen bei der rot eingerahmten Option gesetzt ist:

    • Wenn du möchtest, dass der Scanner Adware erkennen soll, setze dort das Häkchen und klicke OK.
    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Was war auf dem Rechner?

    Die Erkennung lautete folgendermaßen: JS:Downloader-DEF [Trj]
    Wir nehmen die mal etwas auseinander:
    • JS: Bei der Datei handelt es sich um eine Javascript Datei. Solche Dateien können sowohl Bestandteil einer Internetseite sein, als auch eine Datei, die mit dem Windows Script Host ausgeführt wird. Der Fundort deutete auf den Bestandteil einer Internetseite hin, die gecached wurde.
    • Downloader: Die Datei lädt Sachen aus dem Internet nach, um sie lokal auf dem Rechner auszuführen.
    • DEF: Das weißt darauf hin, was sie nachlädt. Hier steht nicht GEN, was auf eine generische Erkennung hindeuten würde. Dass das was schadhaftes war, ist sehr wahrscheinlich. Was sie genau versuchte nachzuladen, kann ich so leider nicht sagen.
    • [Trj]: Das weist die Datei als "Trojanisches Pferd" aus. Sie macht einen harmlosen Eindruck, versteckt aber schaf´dhafte Funktionen.
    Alles das und der Ort, an dem die Datei gefunden wurde, deutet auf eine infizierte Werbung innerhalb von Skype hin.


    Wann wurde die Datei auf dem Rechner abgelegt?

    Gefunden hat Avast die Datei am 12.08.2017 um 2:35 Uhr. Etwas merkwürdig ist, dass nicht der WebShield (Webschutz) dort die Datei gefunden hat, sondern der FileSystemShield (Dateischutz). Eventuell wurde sie nicht beim Aufrufen der Werbung gefunden, sondern lag bereits auf dem Rechner und wurde aus einem anderen Grund vom System geöffnet.


    Warum wurde der Rechner nicht infiziert?

    In der Regel erfordert eine solche Datei einen Klick des Users, um den Download zu starten. Weil Skype immer im Hintergrund läuft, solltest du extrem vorsichtig sein, was du auf Skype anklickst. Skype nutzt APIs des InternetExplorers und der Prozess von Skype läuft in einem höheren Integritätslevel, als der des InternetExplorers (Skype hat mehr Rechte). Weitere Meldungen, die nach dem Download eventuell kommen würden, würden ansonsten den User misstrauisch machen und er würde nichts weiter anklicken.
    Ist im InternetExplorer aber irgendeine Lücke vorhanden, die ein automatisches Downloaden und Ausführen von Dateien ohne Useraktion erlaubt, kann der Rechner auch ohne Aktion von dir über Skype infiziert werden.


    Weitere Infos für dich:



    Was in Zukunft tun?

    Du lebst mit Skype da scheinbar ziemlich gefährlich. Im Prinzip könnte jederzeit (solange Skype läuft) statt eines Werbepopups plötzlich ein Popup erscheinen, was dich scheinbar auf ein Update des FlashPlayers hinweist (oder ähnliches), aber etwas ganz anderes installiert.
    Du solltest da extrem vorsichtig mit allem sein, was du anklickst.
    Wenn du dir die verlinkten Artikel durchliest, wirst du feststellen, dass Microsoft scheinbar nicht sehr sorgsam auswählt, wen sie auf Skype Werbung verbreiten lässt...
    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Die BlueScreens

    Rapunzel2017 schrieb:

    Overcklocking failed" (o.ä.), an und für sich kenne ich diese Meldung, die tritt recht häufig auf
    Da passt scheinbar was mit deinen BIOS Einstellungen nicht.
    Du hast zwischendurch BlueScreens. Sind Taktraten da falsch eingestellt, kann auch das dafür eine Ursache sein.

    Ein weitere Sache, die solche 0x109 Bluescreens mit dem vierten Parameter 0x1 unter Umstanden verursachen könnte, wäre dein Virenscanner.
    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

  • Alles Klar, vielen vielen Dank für die Erklärungen.

    Ich werde Skype vorerst nicht mehr benutzen (wie schon seit deinem Hinweis gestern Nacht nicht mehr). Auf die Anzeigen bei Skype habe ich noch nie geklickt (und sicher nicht zu dem Zeitpunkt), also scheint das ja "von selbst" gespeichert worden zu sein, was ja recht problematisch ist. Ich werde die beiden Blogs dazu heute oder morgen durchlesen, danke für die Empfehlungen. Jetzt werde ich noch eben nach einem Weg googlen wie ich Skype aus der Autostartlist entferne ohne es dafür starten zu müssen, aber das wird schon irgentwie gehen.

    Ein letztes, wenn ich den Viren conteiner von Avast richtig lese, war die Datei um 2:35 gefunden worden, wurde aber um 0:35 erstellt (Exact 2 Stunden und 2 Sekunden bevor sie isoliert wurde). Vieleicht ist das der Grund warum der Dateienschutz und nicht der Webschutz darauf ansprang.

    Wie auch immer das war, ich bin jetzt erstmal sehr froh das nicht weiter passiert ist. Ich habe heute auch meine Accounts gecheckt, und da scheint auch alles in Ordnung.

    Noch einmal Vielen Dank!

    Mfg
  • Eventuell kannst du die Werbung in Skype auch blocken. Es gibt im Netz dazu einige Anleitungen.

    Rapunzel2017 schrieb:

    also scheint das ja "von selbst" gespeichert worden zu sein
    So wie jede Internetseite, die du im Browser aufrufst, ebenfalls auf dem Rechner im Cache gespeichert wird. Das war da nichts anderes.
    Allein mit im Cache abgelegtem Javascript-Code kann aber der Rechner noch nicht gekapert werden. Dazu müssen noch andere Sachen auf dem Rechner lokal abgelegt und gestartet werden.
    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()