Laptop1 exe datei schiebt sich rein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Laptop1 exe datei schiebt sich rein

    Hallo, wenn ich einen USB Stick an mein Laptop1 einhnge, dann kommt kurze Zeit später eine exe Datei drauf. Automatisch.
    Über ubuntu kann ich auf dem Stick noch eine autorun..inf sehen und die exe datei. Die Exe Datei ist immer mal wieder ein anderer Name.
    Anbei der erste Scan mit FRST, das mit PPFScanner mache ich gerade
  • Der Rechner ist auch befallen. Ich vermute mal, weitere Scans kann man sich schenken.

    Ich würde jetzt eine Radikallösung vorschlagen.

    Eine neue große externe Platte kaufen.

    Alle Rechner vorerst nur noch mit einer Linux DVD starten. Dann mit der Linux DVD auf die neue große Platte alle Dateien kopieren. Keine EXE, keine DLL. Nur Bilder, Filme, Dokumente.

    Dann alle externen Datenträger über Linux mit Gparted komplett neu einrichten. Da heißt: Partitionstabelle löschen, neu erstellen, Datenpartition neu erstellen. Daten sind dann weg, aber die solltest du ja zuvor gesichert haben auf die neue Platte.

    Zu externen Datenträgern zählen natürlich alle externen Platten, USB-Sticks, Speicherkarten von Kameras etc.

    Und dann einen Rechner nach dem anderen nach AHTs Vorschlag neu einrichten. Also inkl. des Löschens aller Partitionen und Neuformatierung. Vor dem Anschließen externer Datenträger das System jeweils auf den aktuellen Stand bringen, also alle Updates einspielen.

    Beim Rückspielen der Daten auch Vorsicht walten lassen. In Word Dokumenten z. B kann ein Makrovirus stecken. Also externe Platte vor dem Einspielen mit einem Virenscanner prüfen.

    Alles andere wird Pfusch am Bau sein. Da muss nur noch irgendwo wieder ein Rest schlummern und es geht von vorne los.

    Du kannst ja noch mal AHTs Meinung dazu abwarten, aber ich würde so verfahren.
  • meierkurt schrieb:

    Der Rechner ist auch befallen.
    Ja, der gleiche Payload wie bei dem anderen Gerät. Auch hier wird eine Bereinigung wohl zwecklos sein. Auch hier sind sogar die Scanprogramme bereits wieder teilweise mit dem Dateivirus infiziert.

    danilo schrieb:

    wieso kann man den z.b nicht erstmal von der extPlatte befreien bevor ich eine neue Platte kaufe?
    Der wird bereits auf allen Datenträgern sein, die du zur Zeit im Haus hast. Eventuell sogar auf deiner Kamera, wenn du eine besitzt.
    Mit einem infizierten System kann man die Datenträger nicht bereinigen, da der Trojaner ja bereits in den Bereinigungsprogrammen läuft. Die Bereinigungsprogramme tun also bereits dass, was der Programmierer des Trojaners möchte - nicht das was wir wollen.

    Führst du eine Datensicherung nach dem Prinzip mit Linux durch, das meierkurt hier beschreibt, wird der Trojaner nicht auf der Platte mit der Sicherung sein (vorausgesetzt du zieht dir keine EXE Dateien - also Programme) mit in die Sicherung.

    Wie legt sich der Trojaner auf den externen Datenträgern ab:
    Der Trojaner erzeugt nicht nur die Verknüpfungen, die du da siehst - er erzeugt auch noch andere Sachen. Unter anderem erzeugt er auf jedem Laufwerk (auch auf deinen Internen im Rechner) eine autorun.inf Datei, die für dich unsichtbar ist. Über diese Datei kann sich der Trojaner ohne weiteres zutun von dir selbst starten und instzallieren, wenn dein Betriebssystem nicht auf dem aktuellen stand ist - das heißt, wenn nicht alle Updates gezogen wurden, die Microsoft zur Zeit anbietet.
    Ist das Betriebssystem aktuell, wird der Trojaner versuchen, die zu einer Aktion zu verleiten, damit er sich starten und das System infizieren kann:
    1. Klickst du die Verknüpfungen auf dem Stick an, wird sich der Trojaner selbst ausführen und auf dem Rechner installieren, an den er angeschlossen ist.
    2. Beim Einstecken des Datenträgers wird dir unter Umständen ein Dialog gezeigt werden, in dem du auswählen kannst, was du mit dem Datenträger tun willst. Triffst du dort eine Auswahl, kann auch das zum Start des Trojaners führen.
    Beim diesem Trojaner haben wir einen kleinen Vorteil - er kennzeichnet veränderte EXE Dateien sehr deutlich durch eine Änderung in der Dateiresource. Hier ein Beispiel:

    31.03.2018 23:06 C:\Users\tester\Desktop\PPFScan\PPFScan.exe --------- 4124471 (N) Firmenname: Microsoft Produktname: Win --- MD5: feaaeb3d196d54da79e1b77537a0225e
    Er tut das deshalb, um eine "Doppelinfektion" der gleichen Datei zu vermeiden. Machst di wirklich keinen Fehler, habe wir also eine gute Chance, infizierte Datenträger nachher wieder sauber zu bekommen.

    Bitte poste noch die LOGs von den anderen Rechnern, wie wir das abgesprochen haben - die Chancen, dass dort ein anderer Payload sein Unwesen treibt, sind aber sehr schlecht.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Ganz schön besch**** der Virus.

    Eine Idee zum testen:
    - Keine Neue Platte kaufen
    - Nicht auf jeden Rechner Linux installieren
    - Daten auf eine ext. usb platte(wahrsch.) infiziert sichern
    - ext. Festplatte an den Linux rechner stöpseln
    - Daten sichern auf Linux, ext Festplatte neu partitioniern usw.
    - nach partitionieren usw Dtaen wieder drauf spielen bzw. auf den neu aufgestzten Win Rechner?

    Dann schauen ob es wandert?
  • Das kannst du so versuchen. Wenn du keine EXE Dateien sicherst, müsste das so gehen.
    Der Payload ist unter anderem drauf:
    Das Ding ist dazu in der Lage, quasi per Fernsteuerung alle möglichen Hackingaktionen auf dem Gerät auszuführen.
    Ich würde damit rechnen, dass alle möglichen Daten bereits in fremden Händen sein können.
    Ich würde jetzt also möglichst zeitnah handeln.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Also gut, dann kann ich das bei diesem der laptop heute machen.

    Der grosse Rechner würde mir für heute zulange dauern.

    Für den Versuch um zu wissen das diese Methode fruchtet , also Linux nicht auf allen zu installieren ist es wert denke ich. danach müssten wir mal schauen wie wir den Rest meistern.

    Erstmal tausenddank
  • Wie gesagt - bevor du irgendeinen Datenträger wieder an das Gerät anschließt, alle Updates für das neu aufgesetzte Gerät ziehen und darauf achten, dass wirklich Service Pack 1 wieder auf dem Gerät installiert ist.
    Dann sehen wir weiter und überprüfen erst das neu aufgesetzte Gerät.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Also, kurzer Zwischenbericht.

    Ich habe eine win7 über USB, die bootbar ist.
    Die war auch vorher nirgends dran.

    So Win aufgespielt.

    Hier fängt es an
    Auf einem anderen Stick, hatte ich die Treiber für den Laptop.
    Diese hatte ich zuvor von dem infizierten auf den Ubuntu Laptop gezogen. Anschliessend den USB über Ubuntu bereinigt-wieder alles auf den Stick.

    Den Stick nun auf den neu aufgesetzten Win Laptop, sehr langsames öffnen des USB Sticks. Nichts bestätigt-wollte aushängen und es hiess USB Stick in verwendung aushängen nicht möglich.....

    So abgezogen und auf den Ubuntu wieder drauf, siehe da, auf dem Stick wieder autorun.inf und eine .exe Datei

    Also doch Linux Live-Cd erst besorgen, und die Treiber dann auf CD brennen? Oder wie wäre es sinnvoll?
  • Hallo danilo,

    bei dir ist ein Fileinfektor am laufen.

    Hier mal eine Anleitung die man nicht befolgen sollte:
    de.pcviruscare.com/blog/entfer…neller-entfernung-vorgang

    Man sollte nur noch über eine Live-CD Daten sichern, wie der Meierkurt schon schrieb.

    Websites und EMails nur mit der Kneifzange anfassen.

    danilo schrieb:

    Den Stick nun auf den neu aufgesetzten Win Laptop, sehr langsames öffnen des USB Sticks. Nichts bestätigt-wollte aushängen und es hiess USB Stick in verwendung aushängen nicht möglich.....
    Ist doch logisch, alle *.exe und *.dll usw. verbreiten die Infektion nur unter Linux passiert nix.
    Linux kann von sich aus keine PE Dateien verarbeiten, die sind bei dir alle versifft.

    Sichere deine Daten auf eine externe Festplatte!!

    Du musst eh alles neu Installieren, wenn Du Spass haben willst, dann lasse mal einen Virenscanner über deine Systeme und externen Geräte laufen.

    botfrei.de/de/eucleaner/index.html

    Da löst sich Windows im Daten-Nirwana auf.

    Tschau

    danilo schrieb:

    Oder würde es Sinn machen das man den neu aufgesetzten mal scant, weil weniger Daten drauf sind den Wurm dort zu finden.

    Anhand dieser Infos die anderen dann abarbeitet?
    Es ist ein Fileinfektor, einmal eine infizierte Datei gestartet und das Spiel beginnt von Neuem.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Oldi-40 () aus folgendem Grund: Fileinfektor

  • danilo schrieb:

    Ich habe eine win7 über USB, die bootbar ist.
    Die war auch vorher nirgends dran.
    ...

    Diese hatte ich zuvor von dem infizierten auf den Ubuntu Laptop gezogen. Anschliessend den USB über Ubuntu bereinigt-wieder alles auf den Stick.
    Der Hauptrechner ist seit mindestens 2017 infiziert.
    Am besten mit Windows7 DVD neu aufsetzen (zur Not eine brennen) - keine Sticks mit älteren ISOs beim Neuaufsetzen anhängen. Keine Treiber von einem infizierte Stick auf den neu installierten Rechner ziehen, da alle EXE Dateien infiziert sein können und sich der Trojaner sowieso sofort auf dem Rechner beim Einstecken des Sticks installieren wird, wenn noch nicht alle Updates auf dem Rechner sind.
    Ich dachte, das wäre klar.


    danilo schrieb:

    Oder würde es Sinn machen das man den neu aufgesetzten mal scant, weil weniger Daten drauf sind den Wurm dort zu finden.
    Nein, absolut keinen Sinn. Sobald das Scantool auf dem Rechner ist, wird es selbst infiziert sein. Es gibt dann absolut keine Chance, den Rechner zu bereinigen.
    Nochmals neu aufsetzen. Treiber zur Not mit dem Linux Rechner neu vom Hersteller aus dem Netz laden und dann auf einen wirklich nicht infizierten Stick ziehen (unter Linux frisch formatieren).
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()