Nur noch Ordner-Verknüpfungen auf meinem USB Stick (2)

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Mit dem Stick sind wir noch nicht ganz fertig.
    Das tun:
    • Stick eingesteckt lassen.
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Nutze zum Kopieren das Icon mit den zwei kleinen Blätern rechts neben dem Wort Quellcode:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_FILE_ATTRIBUTES->D:\alt>128
    3. SET_SCANLIST->1
    4. SET_OPTIONS->-205,-213,217
    5. SET_HEADLINE->Files on D:\#Dateien auf D:\
    6. SEARCH_FILES->*
    7. ->D:\
    8. SET_HEADLINE->Folders on D:\#Ordner auf D:\
    9. SEARCH_FOLDERS->*
    10. ->D:\
    11. SET_HEADLINE->Links on D:\#LInks auf D:\
    12. SEARCH_LNK_FILES->*.lnk
    13. ->D:\
    14. SET_HEADLINE->VBE Files#VBE Dateien
    15. SEARCH_FILES->*.VBE
    16. ->
    17. COPY_SCANFILES->C:\PPF_Scan2
    18. OPEN->C:\PPF_Scan2
    19. END->
    Alles anzeigen
    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Ich brauche danach die Ergebnisse aus dem Ordner C:\PPF_Scan2.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Hängt vom Rechner ab. Normalerweise ist der fix - hat auch alles getan, was er sollte.

    Der Stick ist wieder zur Benutzung freigegeben. Schau dir einmal an, ob Daten fehlen.
    Wir werden gleich noch einen Scan mit dem Eset Onlinescanner durchführen (wegen der anderen Sache aus der PM). Das kann mehrere Stunden dauern, bis das fertig ist.
    Ich melde mich gleich noch.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Das tun:
    • PPFScan.exe starten. Der Rechner benötigt Internetkontakt für diese Sache!
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Nutze zum Kopieren das Icon mit den zwei kleinen Blätern rechts neben dem Wort Quellcode:

    Quellcode

    1. CREATE_FOLDER->C:\PPFS_T
    2. CREATE_FOLDER->C:\PPF_Scan2
    3. CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs
    4. WRITE_BATCH->Dim EnglishText, GermanText, VoiceName
    5. WRITE_BATCH->EnglishText = "Information from PPF-Scan. "
    6. WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan wants to load files from the internet! "
    7. WRITE_BATCH->EnglishText = EnglishText + "Pleace dont turn off internet connection! "
    8. WRITE_BATCH->GermanText = "Information vom PPFScanner! "
    9. WRITE_BATCH->GermanText = GermanText + "Der PPFScanner wird nun Dateien aus dem Internet herunterladen! "
    10. WRITE_BATCH->GermanText = GermanText + "Bitte unterbrechen sie die Internetverbindung nicht, bis der Vorgang abgeschlossen ist! "
    11. WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice")
    12. WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0)
    13. WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription
    14. WRITE_BATCH->VoiceName = ucase(VoiceName)
    15. WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then
    16. WRITE_BATCH-> SAPI.Speak GermanText
    17. WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then
    18. WRITE_BATCH-> SAPI.Speak GermanText
    19. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then
    20. WRITE_BATCH-> SAPI.Speak EnglishText
    21. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then
    22. WRITE_BATCH-> SAPI.Speak EnglishText
    23. WRITE_BATCH->End If
    24. START_SHELL->%SystemRoot%\system32\cmd.exe
    25. EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B
    26. CLOSE_SHELL->
    27. CREATE_FOLDER->C:\PPF_Scan2
    28. SLEEP->10000
    29. DOWNLOAD->https://download.eset.com/com/eset/tools/online_scanner/latest/esetonlinescanner_deu.exe>C:\PPFS_T\esetonlinescanner_deu.exe
    30. CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs
    31. WRITE_BATCH->Dim EnglishText, GermanText, VoiceName
    32. WRITE_BATCH->EnglishText = "Information from PPF-Scan. "
    33. WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan is executing an anti-virus scanner "
    34. WRITE_BATCH->EnglishText = EnglishText + "and will set options in the anti-virus scanner! "
    35. WRITE_BATCH->EnglishText = EnglishText + "Pleace don't touch the mouse and don't execute any program while the virus-scanner is running. "
    36. WRITE_BATCH->GermanText = "Information vom PPFScanner! "
    37. WRITE_BATCH->GermanText = GermanText + "Der PPFScanner führt jetzt ein Antivirenprogramm aus "
    38. WRITE_BATCH->GermanText = GermanText + "und wird automatisch Optionen im Antivirenprogramm setzen! "
    39. WRITE_BATCH->GermanText = GermanText + "Bitte berühren sie nicht die Maus und starten sie keine Programme, "
    40. WRITE_BATCH->GermanText = GermanText + "bis der Vorgang abgeschlossen ist! "
    41. WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice")
    42. WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0)
    43. WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription
    44. WRITE_BATCH->VoiceName = ucase(VoiceName)
    45. WRITE_BATCH->For i = 1 to 3
    46. WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then
    47. WRITE_BATCH-> SAPI.Speak GermanText
    48. WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then
    49. WRITE_BATCH-> SAPI.Speak GermanText
    50. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then
    51. WRITE_BATCH-> SAPI.Speak EnglishText
    52. WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then
    53. WRITE_BATCH-> SAPI.Speak EnglishText
    54. WRITE_BATCH->End If
    55. WRITE_BATCH->Next
    56. START_SHELL->%SystemRoot%\system32\cmd.exe
    57. EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B
    58. CLOSE_SHELL->
    59. SLEEP->20000
    60. CREATE_BATCH_FILE->C:\PPFS_T\Test.BAT
    61. SET_PRIVILEGE->SeBackupPrivilege>0
    62. EXECUTE->C:\PPFS_T\esetonlinescanner_deu.exe
    63. SET_PRIVILEGE->SeBackupPrivilege>1
    64. WAIT_FOR_WINDOW->Akzeptieren
    65. ->esetonlinescanner_deu.exe
    66. CLICK_WINDOW->Akzeptieren
    67. ->esetonlinescanner_deu.exe
    68. ->8
    69. ->8
    70. SLEEP->1000
    71. CLICK_WINDOW->Erkennung evtl. unerwünschter Anwendungen aktivieren
    72. ->esetonlinescanner_deu.exe
    73. ->5
    74. ->5
    75. CLICK_WINDOW->Erweiterte Einstellungen
    76. ->esetonlinescanner_deu.exe
    77. ->5
    78. ->5
    79. CLICK_WINDOW->Bedrohungen automatisch säubern
    80. ->esetonlinescanner_deu.exe
    81. ->5
    82. ->5
    83. CLICK_WINDOW->Scannen
    84. ->esetonlinescanner_deu.exe
    85. ->8
    86. ->8
    87. CLICK_WINDOW->ESET Online Scanner
    88. ->esetonlinescanner_deu.exe
    89. ->5
    90. ->5
    91. WAIT_FOR_WINDOW->Beenden
    92. ->esetonlinescanner_deu.exe
    93. SHOW_WINDOW->ESET Online Scanner
    94. ->esetonlinescanner_deu.exe
    95. ->NORMAL
    96. ACTIVATE_WINDOW->Eset Online Scanner
    97. ->esetonlinescanner_deu.exe
    98. CLICK_WINDOW->Beenden
    99. ->esetonlinescanner_deu.exe
    100. ->8
    101. ->8
    102. SLEEP->3000
    103. KILL_PROCESS->esetonlinescanner_deu.exe
    104. CREATE_BATCH_FILE->C:\PPFS_T\LOG.BAT
    105. WRITE_BATCH->COPY "%userprofile%\appdata\local\temp\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A
    106. OPEN->C:\PPFS_T\LOG.BAT
    107. COPY_SCANFILES->C:\PPF_Scan2
    108. OPEN->C:\PPF_Scan2
    109. END->
    Alles anzeigen
    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Der Eset Onlinescanner (Virenscanner) wird sich selbst herunterladen, starten und selbst die Einstellungen setzen. Finger weg vom Rechner, bis der Scan von Eset gestartet wurde!
    • Der Scan wird einige Stunden dauern. Es befinden sich im Ordner C:\PPF_Scan2 dann wieder einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • hab auf den Stick zugegriffen, es scheinen alle Dateien drauf und intakt zu sein. Abschließend kann ich berichten wenn ich morgen damit wieder arbeite.

    Heisst das der Rechner und der Stick sind vom Trojaner jetz endgültig befreit? Welche Aufgabe hat der Trojaner verfolgt? Was hat er an meinem Rechner gemacht?

    hab den script gestartet und ESET ist gerade aktiv.
  • Zu deinem Befall

    1. Keygens und Cracks

    Installiere unter keinen Umständen Keygens und Cracks auf einem Rechner - erst recht nicht, wenn du mit dem Rechner Einkäufe tätigst oder Onlinebanking durchführst. Wenn du das Risiko liebst, springe lieber mal von irgendeinem Hausdach herunter - das ist mit Sicherheit ungefährlicher. ;-)
    Ich bin noch dabei zu überprüfen (Hinweise darauf zu erhalten), ob du dir mit "deinem Sprung vom Dach" nachhaltige Schäden zugezogen hast.

    2. Das Ding auf dem Stick

    Scheinbar war der Stick in der Vergangenheit (vermutlich am 26.07.2018 um 18:43Uhr) an einem anderen Gerät angeschlossen. Dieses Gerät war von einem Trojaner infiziert und hat die Verknüpfungen auf dem Gerät abgelegt. Neben diesen Verknüpfungen wurde eine Datei mit dem Namen ntuser.vbe auf den Rechner kopiert. Diese Datei enthielt ein codiertes Visualbasic Script. Ordner und Dateien im Rootverzeichnis des Sticks hat der Trojaner versteckt. Stattdessen waren dann nur noch die Verknüpfungen für dich sichtbar. Über das Anklicken dieser Verknüpfungen wurde dann der VBE-Trojaner gestartet, um den Rechner zu infizieren, an den der Stick angeschlossen wurde.
    Du hattest Glück. Wie es aussieht, ist dieser VBE-Trojaner nie auf deinem Hauptrechner gelandet. Vermutlich waren bereits nur noch die Verknüpfungen auf dem Stick, als du den Stick zum ersten Mal an den Rechner angeschlossen hast, weil er davor noch an einem anderen Rechner angestöpselt war. Eine weitere Möglichkeit wäre, dass der Defender den Trojaner beim Anschließen gekillt hat.
    Dieser VBE-Trojaner hat eigentlich nur die Aufgabe, weitere Rechner zu infizieren und danach weitere Software auf die infizierten Rechner nachzuladen. Beides konnte er bei dem Rechner, den wir untersucht haben, nicht tun.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • Tatsächlich war ich ungefähr am 26.07 in einem Internetcafe, um sachen auszudrucken. Da der drucker nicht funktionierte bin ich in ein anderes gegangen und habe es dann dort ausgedruckt. erst danach habe ich den stick wieder in meinem rechner eingestöpselt, wenn der trojaner also auf dem ersten rechner war, dann war noch einer dazwischen.

    Und ich kann mich auch daran erinnern, dass mein Windows nach den Internetcafebesuchen eine Fehlermeldung zeigte mit ntuser.vbe, wie der text genau war weiss ich leider nicht mehr.

    Das ist auf jeden Fall schön zu hören dass er meinem Rechner nichts antun konnte. Vielen Dank schon mal für die ganze Mühe

    ESET sollte jeden augenblick fertig werden, dann poste ich hier das ergebnis
  • OK - als du zu Hause warst, war das Ding nicht mehr drauf.
    Pass demnächst etwas auf, wenn du wieder in so einem Internetcafe landest, wie die Icons deiner Dateien und Ordner aussehen. Sind das dann Verknüpfungen, klicke die nicht an. Das gleiche gilt für Rechner in einer Uni, in einem Druckershop oder ähnliche Sachen.

    Lass den Scan von Eset durchlaufen und poste auf jeden Fall dann das LOG.
    Hast du Keygens auf dem Rechner ausgeführt, wäre es insgesamt besser, den Rechner komplett neu aufzusetzen.
    Dass da nicht noch etwas aus dieser Richtung auf dem Rechner ist, was dir am Ende das Geld abknöpft, kann ich nicht garantieren.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Glück war, dass auf dem anderen Rechner im Cafe ein Virenscanner lief, der das Ding bereits gekillt hat.

    Das du Keygens genutzt hast, ist eher dein Pech:

    AHT schrieb:

    Hast du Keygens auf dem Rechner ausgeführt, wäre es insgesamt besser, den Rechner komplett neu aufzusetzen.

    Dass da nicht noch etwas aus dieser Richtung auf dem Rechner ist, was dir am Ende das Geld abknöpft, kann ich nicht garantieren
    Daten darüber, was Avira da genau gefunden hat, hast du mir bislang nicht zukommen lassen.

    An der Stelle endet jetzt meine Hilfe hier. Überlege dir bitte, ob du nicht besser den Rechner neu aufsetzt.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Sorry, hab nicht gesehen dass man in dem Avira-Aktivitätenprotokoll jedes einzelne Ereignis öffnen kann und dann Details dazubekommt.

    Es war gar kein Keygen. Hab nochmal alles durchforstet und kein Keygen gefunden. Scheint schon ne weile nicht mehr auf dem PC gewesen zu sein.

    Die Meldung "Malware gefunden" am 27.07.2018 um 10:00 bezog sich auf "C:/Users/xxx/Downloads/Neuer Ordner/freevideocutterjoiner.exe"

    Meldung: Die Datei enthält folgendes Muster: Adware/Relevant.ofrhj (Adware)


    Ausgeführte Aktion: Die Datei wurde von Avira ins Quarantäneverzeichnis unter dem Namen "53405be3.qua" verschoben.


    Hab mal ein Video- und Tonschnittprogramm runtergeladen, scheinbar war das schädlich oder verdächtig.

    Vielen Dank für deine Hilfe!!!