Ist mein PC clean? ( Trojan Win32/Bitrep.A )

Dieses Thema enthält 15 Antworten und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  Petra 12. Juni 2018 at 10:00.

Ansicht von 15 Beiträgen - 1 bis 15 (von insgesamt 16)
  • Autor
    Beiträge
  • #292864

    Lostie
    Teilnehmer

    Hallo Forum, durch Facebook wurde ich hierher verwiesen.
    Letztens fand der Windows Defender in einer Backgroundroutine urplötzlich Trojan Win32/Bitrep.A.
    Diesen hatte er auch sofort in Quarantäne gestellt und er lag wohl in einem Firefox Cache.
    Leider konnte ich die genaue Datei nicht erkennen, weil nur der Ordner genannt wurde….

    Habe dann mit Eraser den kompletten Firefox Ordner gelöscht und etliche Programme laufen lassen:
    ESET Scanner, Malwarebytes, ADWcleaner, Emsisoft Emergency Kit, HouseCall Launcher, Spybot S&D
    und sogar diese Programme (weiß den Namen nicht mehr) die Microsoft nur per Einzeldownload anbietet.

    Alle Scans hatte ich mit Deepscan und maximalen Settings ausgeführt, welches teilweise Stunden dauerte.
    Keiner der o.g. Programme hatte dann noch was auf meinem PC gefunden. Auch der Defender nicht mehr.

    Kann ich mich sicher fühlen? Oder muss ich jetzt doch den PC neu aufsetzen?!
    Danke für die Meinungen. LG

    #292866

    Petra
    Moderator

    Hallo Lostie,

    zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

    Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Stoppe und frage, wenn etwas nicht funktioniert oder unklar ist.
    Berichte mir zu jedem Punkt, dass Du ihn erledigt hast.

    ===== Punkt 1 =====

    Einige Fragen

    – Welches Betriebssystem ist installiert?

    – Welche Datei genau war betroffen?

    Öffne dazu das Windows Security Center und gehe links auf Viren- und Bedrohungsschutz.
    Klicke “Bedrohungsverlauf” an.
    Schaue nun unter “Bedrohungen unter Quarantäne” nach dem Fund und klicke dann den Fund an und lasse Dir die Details anzeigen.
    Schreibe mir bitte die Details ab oder lade mir einen Screenshot davon hoch.

    ===== Punkt 2 =====

    Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus

    Lade die passende Version von Farbar Recovery Scan Tool herunter FRST.exe (32-Bit) ::: FRST64.exe (64-Bit).
    Speichere das Tool auf Deinem Desktop (nicht woanders hin).
    Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier:
    Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp

    • Starte die FRST.exe respektive die FRST64.exe per Doppelklick –
      Vista- und Win7/8-Benutzer starten per Rechtsklick auf das Icon und wählen Als Administrator ausführen.
    • Hake an:
      BCD auflisten
      MD5 Treiber
      Shortcut.txt
      Addition.txt
      Dateiliste 90 Tage
    • Entferne alle Häkchen bei den Ausnahmen.
    • Akzeptiere die Bedingungen mit “Ja” und klicke auf den Button Untersuchen

    Das Tool erstellt drei Berichte namens Frst.txt, Shortcut.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet.
    Lade diese drei Logfiles als Anhang hoch, indem Du unterhalb des Textfeldes auf Datei auswählen klickst und die Logdateien hochlädst.

    Hinweis:
    FRST wird aktuell häufig aktualisiert – neue Versionen werden automatisch heruntergeladen.
    Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    • Diese Antwort wurde geändert vor 7 Monate, 4 Wochen von  Petra.
    • Diese Antwort wurde geändert vor 7 Monate, 4 Wochen von  Petra.
    • Diese Antwort wurde geändert vor 7 Monate, 4 Wochen von  Petra. Grund: Link korrigiert
    • Diese Antwort wurde geändert vor 7 Monate, 4 Wochen von  Petra.
    #292871

    Lostie
    Teilnehmer

    Hallo und Danke für die erste Antwort.

    Sicher das der Link oben korrekt ist?
    Er verweist auf “NTFS-Timeline-Forensics”?
    Was sollich damit anfangen? o.O

    Zu den Fragen:
    – Es handelt sich um Windows 10 64bit.
    – Die genaue Datei kann ich, wie gesagt, leider (dummerweise) nicht ermitteln.
    Die Historienazeige, bzw. die Quarantäneanzeige war leider auch “abgekürzt/verkürzt”.
    Ausser zu erkennen wo der Fund lag (C: … Firefox … Cache), stand keine Datei dabei…

    Das Farbar Recovery Scan Tool werde ich heute Abend mal versuchen.

    #292874

    Petra
    Moderator

    Dieser Link?

    https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ ist für die 64 Bit Version.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #292875

    Lostie
    Teilnehmer

    Nein, meinte eher den allerersten mit dem “NTFS-Timeline-Forensics” 🙂

    Anbei aber auch meine Logfiles als ZIP.

    Kann man darin jetzt was erkennen?

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #292884

    Petra
    Moderator

    Hallo Lostie,

    ah, jetzt habe ich es – Link ist korrigiert.

    Ich lade mir jetzt die Logs herunter, analysiere sie und melde mich später wieder.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #292886

    Petra
    Moderator

    Hallo Lostie,

    konnte nicht auf den Prozess zugreifen -> Secure System

    auf die obige erste Zeile im FRST.txt kann ich mir noch keinen genauen Reim machen, die habe ich bis jetzt noch in keinem Log gesehen. Da muss ich noch genauer recherchieren, oder hast Du eine Ahnung?
    Handelt es sich evtl. um einen Firmen-PC, der besonders geschützt wird?

    FirewallRules: [{2060FAC9-D551-4174-81B4-5C6D134FEE72}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Driver Booster\DriverBooster.exe
    FirewallRules: [{E14D12F1-4C3E-4470-A6B6-6BC9DCAA4C4B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Driver Booster\DriverBooster.exe
    23-05-2018 22:30:56 Driver Booster : NVIDIA GeForce GTX 1060 6GB
    InternetURL: C:\Users\NAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Driver Booster 3 for STEAM.url -> URL: steam://rungameid/403040

    Ist Driver Booster noch installiert? Falls ja würde ich empfehlen, es zu deinstallieren, bringt meist nicht wirklich viel, aber bringt einiges durcheinander.

    Date: 2018-05-26 12:29:44.720
    Description:
    Windows is unable to verify the image integrity of the file \Device\HarddiskVolume4\Windows\System32\drivers\iaStorA.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

    Bezüglich obiger iastora.sys Fehlermeldungen lese mal hier: https://answers.microsoft.com/en-us/windows/forum/all/iastorasys-bsod/0df71b1d-6550-46dc-ab3f-55b2123a24a2

    Date: 2018-05-20 04:37:52.320
    Description:
    Windows is unable to verify the image integrity of the file \Device\HarddiskVolume4\Windows.old\WINDOWS\System32\drivers\ipt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

    Bezüglich obiger Fehlermeldungen zu ipt.sys, schaue mache mal hier: http://batcmd.com/windows/10/services/ipt/

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #292887

    Lostie
    Teilnehmer

    Hallo und Danke,

    zu 1.)
    Also nach dem Fund habe ich einige Sicherheitsfeatures installiert.
    Evtl. ist es mein Firewal Addonl? Windwos 10 Firewall Control?
    Zudem läuft auch noch MalwareBytes. Mehr wüsste ich nicht.

    zu 2.)
    habs jetzt deinstalliert

    zu 3.)
    liest sich ja leider sehr kompliziert .Weiß nicht ob ich das kann.
    This driver is extremely difficult to install so you need the System/Motherboard Maker’s …

    zu 4.)
    das kann ich tun. danach nochmal eine FRST.txt?

    Aber mal jetzt zu der Frage, das hier zwar was nicht ordentlich mit den Treiber stimmt.
    Ist mein PC zumindest “Botfrei”?

    #292888

    Lostie
    Teilnehmer

    ACH, EDIT:

    zu 1.)
    kann sein das es Windowseigene Sicherheitsprozesse sind?
    Hab einiges nach dem Fallupdate aktiviert, wie den Exploit Schutz

    #292889

    Lostie
    Teilnehmer

    EDIT 2:

    Kann RestoreIPTWindows10.bat nicht ausführen:

    Der Computer wurde durch Windows geschützt
    Von Windows Defender SmartScreen wurde der Start einer unbekannten App verhindert. Die Ausführung dieser App stellt u. U. ein Risiko für den PC dar.

    App:
    RestoreIPTWindows10.bat
    Herausgeber:
    Unbekannter Herausgeber

    #292892

    Petra
    Moderator

    Hallo Lostie,

    zu 1.) ja möglich, muss ich bei neueren Logs demnächst mal drauf achten.
    zu 3. und 4.) ok, dann lassen wir das – sind keine gravierenden Fehler, die man unbedingt beheben muss.

    Ich würde den Zustand Deines Systems jetzt mal so zusammenfassen: Ich konnte keine Hinweise auf aktive Malware entdecken. Wenn ich es richtig sehe, war der Fund in den temporären Dateien vom Firefox und wurde direkt vom Windows Defender gelöscht und konnte somit auch keinen Schaden anrichten.

    Dann noch eines: Weniger ist manchmal mehr. Wenn Du den Windows Defender zusammen mit Malwarebytes Anti-Malware aktiv hast, bist Du gut geschützt. Ich sehe bei Dir noch zusätzlich:

    Spybot
    Emsisoft
    TrendMicro

    Ich empfehle, die zu deinstallieren.

    http://www.sphinx-soft.com/de/Vista/order.html – ist es diese zusätzliche Firewall? Kann man, muss man aber nicht haben. Ich habe im Laufe der Jahre immer wieder die Erfahrung gemacht, dass die ganzen zusätzlichen Firewalls relativ wenig bringen, aber viel zur Verwirrung beitragen, denn wenn man nicht ganz genau weiß, was man erlauben sollte und was nicht, führt das schnell zu Fehlern und am Ende zu einem instabilen oder gar nicht mehr funktionierendem System. Wenn Du mit den Einstellungen gut zurecht kommst, lasse sie drauf, ansonsten täte es auch die Aktivierung der Windows eigenen Firewall.

    FRST und die dazugehörigen Logs kannst Du löschen. Auch den Ordner C:\FRST kannst Du löschen.

    Hast Du noch Fragen?

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #292897

    Lostie
    Teilnehmer

    Also ich hab mal jetzt alles soweit deaktiviert, doch nach dem Scan war der Secure Eintrag immer noch drin?!
    Ok, weiß net ob ich hätte einen Neustart machen sollen, aber so alles auf OFF mit “Warnungen” war mulmig.
    Dieser Eintrag kann aber kein Indiz für einen Trojaner sein?
    Was ist / macht der Bitrep.A überhaupt?

    Was könnten diese Treiber “verbessern”?
    Würde den IPT ja installieren, doch die Warrung liest sich komisch.. trotz deines Links.

    Ja, der Defender hatte sofort die Quarantäne eingeschaltet.
    Und deswegen habe ich ja soviele Sicherheitsprogramme drauf.
    Einfach mal jedes einzeln (nicht gleichzeitig) mal laufen lassen.
    Spybot habe ich bereits gelöscht. Emissoft wird folgen.
    TrendMicro fand ich bereits von HiJackThis gut, ist aber deaktiviert.

    Die Windows 10 Firewall Control finde ich ganz gut. Nutze ich seit Jahren.
    Ich habs gern im auge, was sich so ins Web verbdindet und was nicht.
    Denke halt, das es so einen Trojaner sicherlich auch schwerer macht…?

    Danke aber schonmal für deine Hilfe!
    LG und schönen Feiertag!

    #292899

    Lostie
    Teilnehmer

    Achso, aber noch was.
    Also ich zum Thema Firewall in die Windowseigene Firewall bin,
    sind mir recht weit oben 3 Einträge aufgefallen. Sind die denn Ok?
    Keine Ahnung wie die da reinkommen?!

    fw

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #292905

    Petra
    Moderator

    Hallo Lostie,

    Bitrep.A gehört in die Trojaner-Kategorie. Da bei Dir keiner der benutzten Scanner etwas gefunden hat und ich in den FRST-Logs auch keine Hinweise finden konnte, gehe ich jetzt mal wie in diesem Thread bei Microsoft von einer Falschmeldung (false positive) aus.

    Würde den IPT ja installieren, doch die Warrung liest sich komisch.. trotz deines Links.

    nein, kannst Du lassen, ist wiegesagt nicht so wichtig.

    Also ich hab mal jetzt alles soweit deaktiviert, doch nach dem Scan war der Secure Eintrag immer noch drin?!
    Ok, weiß net ob ich hätte einen Neustart machen sollen, aber so alles auf OFF mit “Warnungen” war mulmig.

    Mache mal einen kompletten Neustart (also Rechner herunterfahren, 1 Minute warten und dann wieder starten), danach nochmal ein frisches FRST-Log erstellen. Falls der Eintrag immer noch da ist, lade mir das Log mal hoch, dann recherchiere ich das mal genauer.

    Die Windows 10 Firewall Control finde ich ganz gut. Nutze ich seit Jahren.
    Ich habs gern im auge, was sich so ins Web verbdindet und was nicht.
    Denke halt, das es so einen Trojaner sicherlich auch schwerer macht…?

    ja, jedenfalls solange, wie ein User mit dem “Erlauben” und “Verbieten” klar kommt. Wenn Du Firewall Control schon seit Jahren nutzt, kommst Du ja damit klar. Wiegesagt, es gibt halt einige User, die dann an falscher Stelle etwas verbieten oder erlauben…

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #292950

    Lostie
    Teilnehmer

    Danke Petra, eine letzte Frage zu meinem letzten Post bitte.
    Was hälst du vom Screenshot meiner Windowseigenen Firewall?
    Ist das “ok”?

Ansicht von 15 Beiträgen - 1 bis 15 (von insgesamt 16)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.