Avast Free Security hat einen TR/PSW.Agent.uwaig-Eintrag gefunden

  • Hallo und guten Abend zusammen... :)

    Avast Free hat heute 29.12.23 im Dateinamen: cred64.dll den Eintrag:

    Name der Bedrohung TR/PSW.Agent.uwaig gefunden... Im Scan-Detail steht im Status 'nicht behoben'.

    Hier der Screenshot:

    Wie und wo kann ich diese Bedrohung/ Trojanische Pferd -zu welchem ich nicht weiss, wie gefährlich es einzustufen ist- loswerden resp. löschen...`?

    Und an dieser Stelle, da ich seit längerer Zeit nicht mehr im Forum war, möchte ich nachträglich den Gratulanten für die lieben Glückwünsche zu meinem Geburtstag (am 08.05.) danken<3

    [Mein Desktop PC: Prozessor: AMD Ryzen 5 5600G with Radeon Graphics 3.90 GHz, Installierter RAM: 32.0 GB (31.3 GB verwendbar) mit Windows 11 Home; 23H2, (07.12.2023); 64 bit; Betriebsbuild: 22631.2861, Leistung: Windows Feature Experience Pack 1000.22681.1000.0]

    Vielen Dank für Eure Hilfe...

  • Roaming? Glückwunsch, das sind Auswirkungen von einer anderen Malware bei dir im System. Glückwunsch, da hat Avast voll vergeigt.

    Glückwunsch, Volltreffer, volles Programm:

    https://www.mcafee.com/blogs/other-bl…e-distribution/
    https://wazuh.com/blog/detecting-amadey-malware/

    Zitat

    Amadey is a malware that steals sensitive information from infected Windows

    Amaday ist ein Bot, der dein System bei Bedarf verschlüsselt (Ransomware) und sich selbst verteilt - Zombierechner.

    Nutze ein sauberes Backup oder fang ganz neu an, wie auch immer du das angestellt hast.

    Und soviel zu Avast, der Scheiss taugt einen Dreck. Wobei ich nicht sagen ob, dir das mit dem Defender nicht auch passiert wäre, auch wenn WD Amadey schon seit 2022 kennt:

    Trojan:Win32/Amadey.MA!MTB threat description - Microsoft Security Intelligence

    Insgesamt ist bei dir aber ganz viel schief gelaufen.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Guten Abend

    .DeJaVu: Danke für Deinen Beitrag...?(

    Gleichwohl denke ich, dass dieser Post noch kein Grund für Dich 'zur sarkastischen Freude' sein soll...

    Ich kann mir das überhaupt nicht erklären, da ich den Desktop ganz neu am 07.12.23 erhalten habe mit einem neuen (m. Lizenzschlüssel) Windows11 Home.

    Zwischen dem 19.12.2023 und dem 29.12.2023 habe ich von E-Mail-Accounts bei versch. Provider (Google und Mail DE resp. Mail CH) in TB Sicherheitswarnungen erhalten, dass Unbefugte sich Zugriff verschaffen wollten. Diese wurden durch die Sicherheitssystem abgeblockt.

    3 Accounts bei Mail CH wurden kurzzeitig auch gesperrt und nach Kontaktaufnahme meinerseits wurden sie wieder geöffnet, damit ich jeweils ein neues PW setzen konnte.

    Bei zwei Accounts habe ich Spoofing-E-Mail erhalten. Windows Defender hatte mir keine Bedrohungen angezeigt.

    Bei google konnte ich alle PW neu setzen.

    So habe ich -nach der Empfehlung des Providers Mail DE- das Programm 'Spybot - Search &Destroy' heruntergeladen und einen Systemscan gemacht:

    Empfehlung von Provider Mail DE:

    mit dem Spybot habe ich am 21.12.23 einen Systemscan gemacht: und dort war alles 'grün' angezeigt.

    Am 29.12.2023 habe ich dann den Spybot wieder deinstalliert und Avira Free heruntergeladen und installiert. Und der Eintrag: "Avast Free hat heute 29.12.23 im Dateinamen: cred64.dll den Eintrag: Name der Bedrohung TR/PSW.Agent.uwaig gefunden... Im Scan-Detail steht im Status 'nicht behoben'." (Post #1) wurde am 29.12.23 gefunden...

    Was ich auch nicht verstehe, das Avira Virenlabor zu TR anzeigt, dass er am 02.03.2018 entdeckt wurde:

    Seit 24.12.2023 war ich gar nicht am PC, ausser es wurde mir eine Sicherheitsmeldung angezeigt (in Alternativ-E-Mail-Adresse)...

    Ich habe nicht risikohaft gesurft... und weiss nicht wie dieser Trojaner auf meinen PC gekommen ist...

  • @'Geldhügel': Danke Dir für Deinen Beitrag... :) zu Microsoft 'How can i fix this dll error' v. 20.09.2022

    Um den Beitrag 'How can i fix this dll error' v. 20.09.2022 besser zu verstehen, habe ich den dortigen Post-Eintrag mit deepl.com übersetzen lassen:

    Ja, löschen Sie diese und starten Sie Ihren Computer neu. Gehen Sie dann zu Ihrem temporären Ordner und löschen Sie den Ordner a5d6d1f9ad.

    Dies ist die Malware, die Sie haben: https://www.virustotal.com/gui/file/4fcb0…eb07ce75365eeeb

    wfyoot.exe ist ein Trojaner-Downloader, der die Datei cred64.dll herunterlädt. Er startet dann cred64.dll über rundll32.exe -

    "C:\Windows\System32\rundll32.exe" C:\Benutzer\someuser\AppData\Roaming\a5d6d1f9ad\cred64.dll, Main

    Der Fehler tritt auf, weil ich annehme, dass Ihr Antivirenprogramm cred64.dll entfernt hat, aber wfyoot.exe immer noch versucht, sie bei jeder Ausführung der geplanten Aufgabe zu starten.

    Das Antiviren-Programm Avast hat im Status 'nicht behoben' und hat somit 'meine' cred64.dll nicht entfernt...

    => zu den Blogs auf mcafee und wazuh.com in englisch verstehe ich nur wenig...

    Ich habe meinen Desktop heruntergefahren und arbeite nun -vorläufig- von meinem

    Laptop aus:

    • Lenovo IdeaPad 3 15ABA7
    • Prozessor: AMD Ryzen 5 5625U with Radeon Graphics 2.30 GHz
    • Installierter RAM: 8.00 GB (5.85 GB verwendbar)
    • Systemtyp: 64-bit-Betriebssystem, x64-basierter Prozessor
    • BS Edition: Windows 11 Home
    • Version: 22H2
    • Betriebsystembuild: 22621.2715
    • Leistung: Windows Feature Experience Pack 1000.22677.1000.0
    • Windows-Sicherheits Anwendungsversion: 1000.25873.0.9001; Windows-Sicherheitsdienst Version: 1.0.2306.10002-0; Antimalware-Clientversion: 4.18.23110.3; Modulversion: 1.1.23110.2; Antiviren-Version: 1.403.1338.0; Antispyware-Version: 1.403.1338.0

    und darum poste ich im Moment keinen Screenshot vom AppData\Roaming\80c6bf70bf3f8f\cred64.dll, wo sich offensichtlich die Malware befindet...

    Ich weiss nur, dass auf dem Desktop in AppData in Roaming dort Ordner gelistet sind...

    Dieser Eintrag: AppData\Roaming\80c6bf70bf3f8f\cred64.dll steht der alleine und 'Roaming' oder ist der in einem der dort gelisteten Ordner zu suchen...?

  • Goldsunshine Dir ist hoffentlich klar, dass Avast selbst in der Vergangenheit schon massive Sicherheitsprobleme verursacht und damit die Verbreitung von Malware gefördert hat, indem beispielsweise wichtige Sicherheits-Updates über Monate außer Kraft gesetzt worden sind. Und das ist nur eine von vielen heftigen Verfehlungen dieses Unternehmens:

    Wieder Avast / AVG: Dieses Mal werden Thunderbird-Updates verhindert
    Erneut verursacht die Software von Avast und AVG Probleme, dieses Mal sind Nutzer des E-Mail-Clients Thunderbird betroffen.
    www.soeren-hentzschel.at

    Lies dir bitte den gesamten Artikel durch, um einen Eindruck zu bekommen, was Avast auf deinem System anrichtet. Und ich beschreibe dort bereits nur eine Auswahl und nicht alles, was Avast jemals Dummes getan hat.

  • Wie und wo kann ich diese Bedrohung loswerden resp. löschen...`?

    Hallo :)

    ergänzend solltest Du diese unnötige und offenbar unnütze Systembremse vollständig und rückstandsfrei deinstallieren.

    habe ich -nach der Empfehlung des Providers Mail DE- das Programm 'Spybot - Search &Destroy' heruntergeladen
    [...]
    habe ich dann den Spybot wieder deinstalliert und Avira Free heruntergeladen und installiert

    Mein Beileid. Halte Dich in Zukunft von solchem Mist fern. Ich würde das komprimierte System von Grund auf neu und sauber aufsetzen. Was tun bei Kompromittierung des Systems?

    Gruß Ingo

  • Das ist weder noch sarkastisch noch jubelnd, sowas ist der absolute worst case.

    Was ich gestern spät abends vergessen habe zu schreiben, hast du ja inzwischen selbst gemerkt, dass das Ding Daten klaut, auch Passwörter zu Emailkonten.

    Quellen des Bots, vielfältig, präparierte Email (siehe Drachen), präparierte Webseiten, vermeintliches (falsches) Update für irgendeine Software, nicht "saubere" Software (siehe Drachen), USB-Stick.

    Fakt ist jedoch schon, dass alle deine Passwörter als kompromittiert angesehen werden müssen.

    Für dich bleibt ein Weg, denn du evtl noch nicht kennst: ein Live-Linux, das auf einem nicht kompromittiertem System erstellt wurde. Sei es DVD oder Stick. Und damit kannst du unabhängig von jenem Windows alle wichtigen Daten sichern, auch Firefox-Profile oder Teile davon. Und dass von dort aus alle Passwörter geändert werden, nichts mehr unter Windows, bevor das nicht neu installiert oder ein sauberes Backup genutzt wurde. Und das ist die eigentliche Arbeit bei so einem Mist.

    Und den kriegt man als Laie nicht raus, braucht niemand drüber nachzudenken. Die Artikel beschreiben u.a., dass diese beiden Dateien durch Windows geschützt werden, da kann Avast machen was will, klappt nicht. Und da die Malware einen Weg nach draussen gefunden hat, gibt es auch ganz sicher Wege wieder rein. Man kann das System vielleicht bereinigen, aber damit sind diese Wege immer noch für eine erneute Infektion ganz weit offen. Dass der Defender nichts findet, wundert mich auch nicht, wenn die Malware sich und seine Dateien schützen kann. Auch Avast hat die eigentliche Malware nicht gefunden, nur diese beiden Dateien. Was Avira vor über 5 Jahren da angezeigt hat, ist unwichtig.

    Zu Avast - Free - diese Free-Varianten, unabhängig von der Erkennung, sind alle im Ganzen schlechter als die Optionen des Defenders. Zu SpyBot, wer sowas empfiehlt hat nun gar keine Ahnung. Zum einen scannt man nicht mit dem betroffenen System das System, pillepalle, wo sich die Malware schon vor Avast verstecken konnte. Sowas scannt man auch von Stick oder DVD mit einem Live-System. ct desinfec't, Kaspersky Rettungsmedium, Bitdefender DVD, es gibt so viele.
    https://exthdd.de/desinfect/ -> heise+email=download
    (PS von heise kommen zwei Mails, eine für den Download, eine für die Bestätigung von Newsletter, diese kann gelöscht werden, wenn man nicht will)

    Ob oder wie das mit deinem Rechner/Windows 11 jetzt zusammenhängt, wer hat das gemacht, zusammengebaut, installiert? Bots zeigen sich nicht immer sofort. Es kann was bei denen sein, es könnte auch eine Einstellung bei denen sein, um sich die Arbeit bei der Einrichtung von Windows 11 zu erleichtern, was vergessen wurde, rückgängig zu machen. Ist juristisch so gut wie nicht nachzuweisen.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

    3 Mal editiert, zuletzt von .DeJaVu (30. Dezember 2023 um 12:15) aus folgendem Grund: Typos

  • Zusammenfassung.

    1. Alle Passwörter Deiner Online-Dienste ändern. Sauberes System benutzen:!:
    Notiere Dir diese unbedingt auf einem Zettel, es werde viele sein
    und in all der Aufregung kann man die neuen Passwörter schnell mal vergessen.

    2. Bootmedium erstellen, auch dazu ein sauberes System nutzen:!:

    3. Backup des infizierten Systems erstellen und auf einem separaten Stick speichern.
    Anmerkung:!:
    Dies dient nur dazu, falls wichtige Daten vergessen wurden.
    Aber Obacht, immer nur von einem per Stick gebooteten System darauf zugreifen
    und auch genau prüfen, ob nicht auch diese "vergessenen" Daten infiziert sind.

    4. Wichtige Daten, Fotos, usw. auf einem anderen weiteren Stick sichern.
    Anmerkung:!:
    Genau prüfen, ob nicht auch diese Daten befallen sind.
    Geht recht gut mit den von .DeJaVu genannten Live-Systemen.

    Nun hast Du die Wahl!

    Sicherste Methode, infizierten Rechner platt machen:!:
    Alles was benötigt wird wieder neu installieren und einrichten.

    Weitere Methode, ein Backup einspielen.
    Nur, ist dieses Sauber? Ab wann war der Trojaner auf dem System?

    Mit <3lichem Gruß

    Mira

    2 Mal editiert, zuletzt von Mira_Belle (30. Dezember 2023 um 12:00)

  • Ab wann war der Trojaner auf dem System?

    Guter Punkt.

    da ich den Desktop ganz neu am 07.12.23 erhalten habe mit einem neuen (m. Lizenzschlüssel) Windows11 Home.

    Also 3 Wochen alt, und für mich wäre die Kiste reif für "plattmachen". Also Windows-Stick mit dem MCT* erstellen, bei der Frage, wohin (Partition) - Partition löschen, ebenso alle Recovery-Partitionen etc.

    https://www.microsoft.com/de-de/software-download/windows11
    --> Erstellen von Installationsmedien für Windows 11
    MediaCreationTool. Einfach auf dem Laptop den Anweisungen folgen.
    Vielleicht ist der Key im Bios hinterlegt, dann wird das genutzt. Mit einem vorhandenen MS Konto zu diesem Rechner bei Anmeldung wird dann auch der Home-Key angewendet. Alternativ bei schriftlicher Ausgabe des Key kann dieser auch händisch eingegeben werden (bevorzugt).

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Ich persönlich würde dem Gerät auch nicht mehr vertrauen; selbst wenn das false positiv wäre, bleibt ein ungutes Gefühl. Ich würde dem TE raten, nach der Neuinstallation ein Image vom Systemlaufwerk zu ziehen und das bei Bedarf zurück zu spielen. So ist man bei Problemen wieder ratz fatz am Start...

  • Guten Tag...

    Danke Drachen , Sören Hentzschel , schlingo , .DeJaVu , Mira_Belle und Foxxiator , dass ihr Euch gemeldet habt...

    Dir ist hoffentlich klar, dass Avast selbst in der Vergangenheit schon massive Sicherheitsprobleme verursacht und damit die Verbreitung von Malware gefördert hat, indem beispielsweise wichtige Sicherheits-Updates über Monate außer Kraft gesetzt worden sind.

    ...Nein, mir war das nicht klar...das wusste ich nicht...:huh:

    (...) Quellen des Bots, vielfältig, präparierte Email (siehe Drachen), präparierte Webseiten, vermeintliches (falsches) Update für irgendeine Software, nicht "saubere" Software (siehe Drachen), USB-Stick. (....)

    (...) Ob oder wie das mit deinem Rechner/Windows 11 jetzt zusammenhängt, wer hat das gemacht, zusammengebaut, installiert? Bots zeigen sich nicht immer sofort. Es kann was bei denen sein, es könnte auch eine Einstellung bei denen sein, um sich die Arbeit bei der Einrichtung von Windows 11 zu erleichtern, was vergessen wurde, rückgängig zu machen. Ist juristisch so gut wie nicht nachzuweisen. (...)

    Ich habe keine Anhänge von E-Mails geöffnet...die Software ist sauber installiert worden ohne USB-Stick...

    Es war keine Firma/ Unternehmen...es war eine Privatperson...

    Was mir noch in den Sinn gekommen ist, ist dass ich bei einem dieser E-Mail, welche mir mit meiner eigenen E-Mail-Adresse geschickt wurde, ich mir den Quelltext anzeigen liess und die Adresse von 'sent from' gegooglet habe... den Screenshot vom Quelltext der (Spoofing)-E-Mail habe ich auf dem Desktop...?( ...das muss es gewesen sein...(falsche präparierte Webseite angeklickt...<X)

    (...mir ist übel...ich konnte nachts fast kein Auge zudrücken)

    ...und ich kann verstehen, dass ihr alle 'not amused' seid und 'bravo' ruft... Das ist, seit ich denken kann, mein erster Trojaner überhaupt...und ich kann weinen, weil ich das alles nicht habe sehen kommen...

    Ich habe meine Passwörter im Passwort-Safe BitWarden und habe ein 21-stelliges Hauptpasswort mit Buchstaben, Zahlen und Sonderzeichen...

    Vor dem 29.12. also bevor ich bewusst Kenntnis hatte, dass sich ein Trojaner auf meinem PC befindet, habe ich auf dem PC gearbeitet und den BitWarden auch benutzt gehabt...

    Sind jetzt alle die Passwörter in BitWarden auch komprimittiert?

    Im TB habe ich unter 'Datenschutz & Sicherheit' -> 'gespeicherte Zugangsdaten' die PW zu den E-Mail-Accounts/ Adressen hinterlegt...

    Was ist mit allen meinen E-Mails?

    Im FF habe ich einen Account, der die Geräte synchronisiert...

    Was ist mit meinen Dokumenten auf dem Desktop? Kann ich diese auf eine externe SSD (Samsung T7 Shield) speichern?

    Seit dem 29.12.23, dass Avast mir gemeldet hat, weiss ich, dass der Trojaner AppData\Roaming\80c6bf70bf3f8f\cred64.dll auf dem Desktop ist...

    Es kann auch sein, dass dieser bereits seit Mitte Dezember auf dem PC ist....X/

    ...es kann also mit diesem Programm CT Desinfec’t 2023 von Heise der Trojaner gefunden und gelöscht werden?

  • es kann also mit diesem Programm CT Desinfec’t 2023 von Heise der Trojaner gefunden und gelöscht werden?

    Hallo :)

    vordergründig vielleicht. Selbst, wenn es (vermeintlich) funktionieren sollte, ist das aber höchstens die halbe Miete. Du weißt nämlich nicht, was die Malware sonst noch auf Deinem System angerichtet hat.

    Ich persönlich würde dem Gerät auch nicht mehr vertrauen

    Siehe dazu auch den oben verlinkten Artikel.

    Gruß Ingo

  • Selbst wenn, oder falls, desinfec't was finden sollte, ist dem System nicht mehr zu vertrauen (siehe oben).

    Sind jetzt alle die Passwörter in BitWarden auch komprimittiert?

    Davon solltest du ausgehen. Dein Wallet selbst wird nicht angreifbar sein, aber sobald da was kopiert oder irgendwo eingefügt wird, wenn ein Bot aktiv ist, kann es abgegriffen werden. Deswegen ist das ganze auch so prekär, weil da Identitäten dranhängen, Mail, Shops, Banken, etc.

    Wenn jemand mit deiner Identität online einkaufen geht, bist du ruckzuck blank. Die - interessiert das nicht, helfen allenfalls bei der Aufklärung mit den geänderte Lieferadressen mit. Banken haben bessere Möglichkeiten, wenn auch irgendwo wieder begrenzt. Letztlich landet jeder Schaden erst mal bei dir. Die Staatsanwaltschaft (SA) und auch das BSI wird Interesse haben, wie wo was. Ob du das zur Anzeige bringen willst, dürfte untergeordnet sein, allein die SA hat ein Interesse an sowas.

    Was deine Nachforschungen angeht, allein davon passiert nichts. Selbst, wenn ich sowas bekäme, und auch bekomme, sehe ich, von wem an wen, und an in den Müll. Von mir an mich hatte ich auch schon, Müll. Es hilft nicht weiter, Zeitverschwendung.

    "präpariert" in dem Sinne, dass man dir einen Download angeboten hat, ohne dass du irgendwo draufgeklickt hast. Firefox-Update, Edge-Update, Chrome-Update, Adobe-Update usw. Oder sowas, was ich gestern noch schrieb im Forum zu gefährlichen Apps.

    Financially motivated threat actors misusing App Installer | Microsoft Security Blog
    Since mid-November 2023, Microsoft Threat Intelligence has observed threat actors, including financially motivated actors like Storm-0569, Storm-1113, Sangria…
    www.microsoft.com

    Weiter unten ist ein ideales Beispiel - irgendwas zu PDF, mit dem Adobe-Symbol. Der Herausgeber (Publisher) ist aber weder Adobe noch sonst jemand, den man kennt. Wer jetzt weiter klickt, hat schon verloren.

    Wie geschrieben, denk da nicht weiter drüber nach, ändere jetzt alle Passwörter, sichere deine Daten mit einem Live-Linux! Nicht mit dem kompromittiertem Windows, und auch die Festplatte nirgends extern/intern anstecken!

    Und dann installierst du Windows 11 neu, siehe oben. Keine Versuche, nix machen, lohnt nicht. Der Drops ist gelutscht ;)

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Den "Fahrplan" hatte ich ja schon gepostet.

    Setze das System neu auf. Auch das wurde schon erklärt.
    Und so viele neue privaten und wichtigen Daten können jetzt ja nach ca. drei Wochen
    auch noch nicht auf Deinem infiziertem System sein.

    Sichere Dir den Key, ändere ALLE Passwörter, auch bzw. besonders das Masterpasswort!
    Die Passwörter zu den Online-Diensten ABER von einem sicheren System aus ändern:!:
    Und am besten schon Gestern!!

    Mit <3lichem Gruß

    Mira