Das sieht ziemlich gut aus. Hast du irgendwann mal den befallenen Stick in diesem Rechner gehabt und eine Verknüpfung davon angeklickt?
Hast du den Stick noch? Wurde der bereits formatiert?
Das sieht ziemlich gut aus. Hast du irgendwann mal den befallenen Stick in diesem Rechner gehabt und eine Verknüpfung davon angeklickt?
Hast du den Stick noch? Wurde der bereits formatiert?
Du bekommst gleich einmal eine Konversation von mir.
Wir müssen erst was klären. Erst mal noch kein Onlinebanking oder Einkäufe mit dem Gerät durchführen.
Ich habe den befallenen Stick am Rechner angeschlossen gehabt. Habe dann auf dem Stick diese Verknüpfungen entdeckt und ichc meine auch angeklickt und gegoogelt was das ist. Mir ist danach aufgefallen, dass alle danach neu geöffnete Windows explorer fenster zur anzeige von Laufwerken eine viel kleinere größe hatten, mittlerweile ist das aber nicht mehr der fall, die sond wieder standartgroß wie vor paar wochen.
Der infizierte stick liegt noch hier, hab nix famit gemacht.
Bitte einmal in die Konversation schauen.
Es ist merkwürdig, dass dein Scanner dann keine Meldung gebracht hat (laut den LOGs des PPFScanners).
Das einmal tun:
Ich war um ehrlich zu sein ohne Antivirus unterwegs, nur mit dem Windowseigenen Defender, falls er überhaupt an war. Nachdem ich dem Internet entnommen habe, dass ich mir einen Trojaner eingefangen haben könnte, habe ich unmittelbar Avira runtergeladen und einen Komplettscan gemacht, jedoch ohne bösen Fund.
Der Malwarefund den Avira im Log ausweist ist ein von mir installieeter KeyCracker
Hier der Aviralog auf Photos:
OK. Dann muss ich mir gerade mal die LOGs vom Defender ansehen.
Das tun:
CREATE_FOLDER->C:\PPF_Scan2
CREATE_FOLDER->C:\PPFS_T
CREATE_BATCH_FILE->C:\PPFS_T\ps.ps1
KILL_PROCESS->powershell.exe
WRITE_BATCH->Set-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '************************************************'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '* Windows Defender Detections *'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '************************************************'
WRITE_BATCH->Get-MpThreatDetection | Out-File -FilePath 'C:\PPF_Scan2\WDEf.txt' -Encoding "ASCII" -Append
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value ''
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '___________________________'
WRITE_BATCH->Get-MpThreat | ForEach { Get-MpThreatCatalog -ThreatID $_.ThreatID } | Out-File -FilePath 'C:\PPF_Scan2\WDEf.txt' -Encoding "ASCII" -Append
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value ''
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '************************************************'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '* Windows Defender Offlinscan Detections *'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\WDEf.txt' -Value '************************************************'
WRITE_BATCH->$Path = $env:SystemRoot + '\Microsoft Antimalware\Support' + '\MPLOG*.log'
WRITE_BATCH->Get-Content -Path $Path | Out-File -FilePath 'C:\PPF_Scan2\WDEf.txt' -Encoding "ASCII" -Append
START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\ps.ps1
SLEEP->10000
LOOP->1200000
PROCESS_ID_TO_ENV_VAR->powershell.exe>PS_running
SLEEP->1000
IF->PS_running=0
BREAK_LOOP->
END_IF->
END_LOOP->
CLOSE_SHELL->
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->
Alles anzeigen
Die Ergebnisse: https://workupload.com/file/UL6CFpk
Passwort ist das gleiche wie heute morgen
Da steht leider auch nichts mehr - schade.
Das tun:
Avira schweigt, absolut keine Meldung.
Stick ist Laufwerk (D:)
Ich schreibe gerade ein Script zur Untersuchung des Sticks. Dauert einen Moment...
Das tun:
CREATE_FOLDER->C:\PPF_Scan2
SET_SCANLIST->1
SET_OPTIONS->-205,-213,217
SET_HEADLINE->Files on D:\#Dateien auf D:\
SEARCH_FILES->*
->D:\
SET_HEADLINE->Folders on D:\#Ordner auf D:\
SEARCH_FOLDERS->*
->D:\
SET_HEADLINE->Links on D:\#LInks auf D:\
SEARCH_LNK_FILES->*.lnk
->D:\
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->
Alles anzeigen
Ich nehme mal an mit dem eingesteckten stick?
Ja, den drin lassen.
Ergebnis für den Stickscan: https://workupload.com/file/j8v7SWA
Sorry - wir müssen das noch einmal wiederholen. Habe oben im Script was wichtiges vergessen.
Habe den Text oben geändert. Das bitte jetzt mit eingestecktem Stick noch einmal tun:
der neue Scan: https://workupload.com/file/pf6R5fN
Perfekt. Hat funktioniert. Ich schreibe ein Script zur Bereinigung des Sticks und melde mich gleich.
Das tun:
CREATE_FOLDER->C:\PPF_Scan2
DELETE_FILE->D:\vorlage.lnk
DELETE_FILE->D:\alt.lnk
DELETE_FILE->D:\System Volume Information.lnk
SET_FILE_ATTRIBUTES->D:\Neuer Ordner (2)>128
SET_FILE_ATTRIBUTES->D:\Neuer Ordner>128
SET_FILE_ATTRIBUTES->D:\vorlage>128
SET_FILE_ATTRIBUTES->D:\KTO>128
SET_SCANLIST->1
SET_OPTIONS->-205,-213,217
SET_HEADLINE->Files on D:\#Dateien auf D:\
SEARCH_FILES->*
->D:\
SET_HEADLINE->Folders on D:\#Ordner auf D:\
SEARCH_FOLDERS->*
->D:\
SET_HEADLINE->Links on D:\#LInks auf D:\
SEARCH_LNK_FILES->*.lnk
->D:\
SET_HEADLINE->VBE Files#VBE Dateien
SEARCH_FILES->*.VBE
->
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->
Alles anzeigen
Hab nochmal vor einer halben Stunden einen komplettscan von avira gestartet, dieser dauert an, bislang keine funde.
Die Nachfragen deines Scripts, ob ich die Verknüpfungen endgültig löschen möchte habe ich immer bestätigt.
Hier das ergebnis: [Link gelöscht]
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!