WinFuture-Forum.de: [Avira] - Löscht Systemdatei... - WinFuture-Forum.de

Zum Inhalt wechseln

Windows 10: Alle News, der Download sowie zahlreiche Screenshots und Videos zum neuen Betriebssystem von Microsoft. Jetzt im WinFuture Windows 10 - Special informieren!
  • 3 Seiten +
  • 1
  • 2
  • 3

[Avira] - Löscht Systemdatei... angeblicher Trojaner


#1 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 04. Juli 2018 - 15:57

Hallo Leute,

muss mal auf euer kollektives Wissen zurückgreifen.

Rechner (Notebook) von DELL, Windows 10, Avira Free
Es gab eine Meldung von angeblichen Trojanerbefall (habe ich selbst nicht gesehen)
Avira löscht die Datei "beim Neustart"
Seitdem Bluescreen "Critical Proces Died"

Habe die Logs von Avira mal offline betrachtet:
C:\Windows\oem.exe
[FUND]      Ist das Trojanische Pferd TR/Spy.517862



nur die Frage ist wie ich bei Avira die Quarantäne offline öffnen und Daten extrahieren kann... bei G Data gibt es ja den Quarantäne-Viewer für solche Sachen

Gruß,

Stefan
0

Anzeige



#2 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. Juli 2018 - 16:24

Es löscht keine Systemdatei sondern einen möglichen Trojaner. Es gab mal eine oem.exe die zum Kingsoft Office gehörte. Aber diese Datei gehört nicht zu Windows.

Dieser Beitrag wurde von Gispelmob bearbeitet: 04. Juli 2018 - 16:25

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#3 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 04. Juli 2018 - 16:29

Wäre nicht das erstemal. Vor einigen Jahren wurde von Avira die "svhost" als Schädling erkannt und gelöscht - mit der Folge, dass einige Systeme unbrauchbar wurden. War auch groß in der IT-Presse :wink:

Aber das ist ja nicht das Thema. Ich weiß nicht was DELL da von Haus aus mitinstalliert. Da kann ich durchaus eine "OEM.EXE" zuordnen da diese ja auch als Dienste hinterlegt werden würde das auch die BOSD Meldung erklären.

Nur die Frage ist: Wie bekomme ich die Quarantäne geöffnet ohne dass ich Avira starte (was ja nicht geht mangels Systemfunktionalität).
Die Files werden von Avira verschlüsselt unter

C:\ProgramData\Avira\[.....]


hinterlegt.

Bei G Data gibt es für solche Fälle den Quarantäneviewer. Möchte halt eine Neuinstallation möglichst vermeiden.
0

#4 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. Juli 2018 - 16:31

Hast du denn mal wenigstens auf den ersten Link geklickt? (und nein, ich empfehle file.net nur zur Info und nicht um dort auf irgendetwas zu klicken)

Zitat: "Die meisten Antivirus Programme erkennen oem.exe als Schädling, z.B. Avast erkennt es als Win32:PUP-gen [PUP], und Microsoft erkennt es als HackTool:Win32/AutoKMS."

Selbst MS mag es also nicht. Wenn es von Dell kommt müsste das doch irgendwo bekannt sein.

Dieser Beitrag wurde von Gispelmob bearbeitet: 04. Juli 2018 - 16:32

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#5 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 04. Juli 2018 - 16:35

Beitrag anzeigenZitat (Gispelmob: 04. Juli 2018 - 16:31)

Hast du denn mal wenigstens auf den ersten Link geklickt? (und nein, ich empfehle file.net nur zur Info und nicht um dort auf irgendetwas zu klicken)


ok. ist im Text untergegangen. Das habe ich schon gefunden. Trotzdem danke.
0

#6 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. Juli 2018 - 16:42

Kannst du das Ding irgendwie bei Virustotal hochladen? Z.b. mit Linux Live CD booten, da den Broswer aufrufen

https://www.virustotal.com/de/

eintippen und die Datei hochladen. Wenn dort dann mehrheitlich was erkannt ist sollte es klar sein.

Dieser Beitrag wurde von Gispelmob bearbeitet: 04. Juli 2018 - 16:42

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#7 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 04. Juli 2018 - 18:30

Beitrag anzeigenZitat (Gispelmob: 04. Juli 2018 - 16:42)

Kannst du das Ding irgendwie bei Virustotal hochladen? eintippen und die Datei hochladen. Wenn dort dann mehrheitlich was erkannt ist sollte es klar sein.


Die Datei liegt nur verschlüsselt im Quarantäneverzeichnis von Avira. Das System ist nicht bootfähig und die Dateinamen sind entsprechend cryptisch. Hier dreht es sich ja im Kreis ;)
0

#8 Mitglied ist offline   marcelkhan 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 04. Juli 18
  • Reputation: 0

geschrieben 04. Juli 2018 - 21:18

Hallo Stefan
Versuch mal den Schlepptop im abgesicherten Modus hochzufahren.
Danach Öffnest Du unter
"C:\ProgramFiles\Avira\Antivirus"
die Datei "avcenter.exe" per Doppelklick.
Es sollte sich die alte Oberfläche von Avira (win2000-style - aber übersichtlicher)öffnen.
Da klckst du unten links auf "Quarantäne" und kannst dort die entsprechende Datei wieder herstellen.
Wenn mehrere Dateien vorhanden - nach Datum/Uhrzeit auswählen.
ACHTUNG: Das Procedere notfalls mehrmals wiederholen,bis der Dialog "zur Ausschussliste hinzufügen"
erscheint und bestätigen.(Es gibt 2 Auswahlbuttons ! )
Das funktioniert unter win7/8/8.1
Mit dieser Spy- und Bloatware verseuchten "Kunterbunten-Kinder-Kachel-Kacke" (sorry:Windows10)
hab ich es noch nicht getestet - ist aber einen Versuch wert.
Bitte mal posten ob es geklappt hat ,dann haben Andere auch noch was davon.
Das Problem tritt nämlich relativ häufig auf.
0

#9 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. Juli 2018 - 06:24

Er soll also einen potentiellen Trojaner wiederherstellen und zur Aussschlussliste hinzufügen?

Beitrag anzeigenZitat (marcelkhan: 04. Juli 2018 - 21:18)

Mit dieser Spy- und Bloatware verseuchten "Kunterbunten-Kinder-Kachel-Kacke" (sorry:Windows10)

Meinungen von Fachleuten sind hier immer gern gesehen. ;D
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#10 Mitglied ist offline   IXS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.397
  • Beigetreten: 04. Dezember 12
  • Reputation: 225

geschrieben 05. Juli 2018 - 06:39

Beitrag anzeigenZitat (Gispelmob: 05. Juli 2018 - 06:24)


Meinungen von Fachleuten sind hier immer gern gesehen. ;D


Speziell von "Fachleuten".
Leute, die von der "Oberflache" auf die Qualität schließen, bezeichnet man allgemein als oberflächlich. Und, das trifft nur auf Leute zu, die von der eigentlichen Materie keine Ahnung haben.

Aber , wegen des eigentlichen Themas:
Runter mit externen Virenscannern, bevor solche Probleme auftauchen. Die Gründe habe ich auch schon öfter erläutert.
3

#11 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. Juli 2018 - 07:42

Beitrag anzeigenZitat (IXS: 05. Juli 2018 - 06:39)

Runter mit externen Virenscannern, bevor solche Probleme auftauchen. Die Gründe habe ich auch schon öfter erläutert.

Er soll nicht nur den potentiellen Trojaner wiederherstellen, sondern auch gleich noch das Programm was diesen entdeckt hat deinstallieren. Die Ratschläge werden immer besser.

Ist es vielleicht möglich, diese "oem.exe" aus der Quarantäne heraus auf z.B. einen USB Stick zu speichern, dann mit einer Linux Live CD zu booten und die Datei dann bei virustotal hochzuladen?
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#12 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 05. Juli 2018 - 09:23

Beitrag anzeigenZitat (Gispelmob: 05. Juli 2018 - 07:42)

Ist es vielleicht möglich, diese "oem.exe" aus der Quarantäne heraus auf z.B. einen USB Stick zu speichern, dann mit einer Linux Live CD zu booten und die Datei dann bei virustotal hochzuladen?


genau das ist ja das Thema. diese liegt verschlüsselt mit cryptischen Namen im Quarantäneverzeichnis. Um diese überhaupt zu identifizieren (neben drei weiteren Files dort) ist ja schon der Name im Klartext erforderlich

Abgesichert auch kein "rein-kommen"
Reparaturmöglichkeiten des Systems auch ausgeschöpft.. (selbst "Auffrischen" ist nicht möglich)
Also Neuinstallation. Schade drum, aber so sei es.

Trotzallem vielen Dank euch allen.

Gruß,

Stefan
0

#13 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 05. Juli 2018 - 10:14

Es gibt noch das Avira Antivir Rescue System. Eine Live-CD. Das müsste doch die eigene Verschlüsselung kennen. Vielleicht kommt man so an die Datei ohne Windows booten zu müssen.

Dieser Beitrag wurde von Gispelmob bearbeitet: 05. Juli 2018 - 10:14

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#14 Mitglied ist offline   marcelkhan 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 04. Juli 18
  • Reputation: 0

geschrieben 05. Juli 2018 - 12:39

Hallo noch mal
Dunkler Humor scheint hier einigen etwas sauer aufzustossen,also lassen wir das.
Zu Gispelmob:Irgendwie scheinst Du nicht verstanden zu haben,das es hier um die Vermeidung einer
Neuinstallation geht und das funktioniert eben nur so.Sobald das Teil wieder hochfährt kann man
die OEM.exe samt zugehörigem Programm deinstallieren und lässt hinterher noch mal einige Virenscanner
drüberlaufen und vorbei ist der Spuk.Obendrein:schon mal was von "false-positive" gehört?
Diese OEM.exe ist meines Wissens nach eine hartnäckige Spyware von Dell-möchte ich auch nicht auf dem Rechner haben.
Zurück zu Stefan:
Es gibt evtl. noch eine Möglichkeit.Je nach Konfiguration verschiebt Avira die Dateien nicht nur,sondern
benennt die Originaldatei in z.B. "oem.exe.backup" um.Wenn Du die findest gibt es noch Hoffnung.
Ist allerdings ziemlich aufwändig,die Datei lässt sich nämlich nicht einfach bearbeiten.
0

#15 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 05. Juli 2018 - 14:16

Hallo Marcel,
Werde gleich wenn diese INstallation fertig ist mal testen ob ggf. diese genannte Datei in der sauberen Neuinstallation durch die Treiber/Tools wieder vorhanden ist, ein Image dann erstellen von der funktionierenden Version, die defekte zurücksichern und die Datei dann ersetzen. Sehe ich als einzige verbleibende (umständliche) Variante.

Dass Avira "speziell" konfiguriert ist was jenseits von Klicken auf "weiter" und "ok" und "ja mach doch verdammt" liegt ist wirklich unwahrscheinlich. Die Nutzerin hat nicht wirklich Ahnung davon. Werde in jedem Fall - ungeachtet des Ergebnisses - wärmstens empfehlen einen anderen AV-Scanner zu verwenden.

Avira hat hier bei uns eh einen Ruf nach:

Taugt nur was als Papier-Beschwerer im Mülleimer....
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

2 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 2, unsichtbare Mitglieder: 0