Die Verknüpfungen sind weg, hab erstmal nichts angeklickt.
Wahrscheinlich Trojaner gefunden was tun?
-
-
-
Das tun:- Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:
Code
Alles anzeigenCREATE_FOLDER->C:\PPFS_T CREATE_FOLDER->C:\PPF_Scan2 CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs WRITE_BATCH->Dim EnglishText, GermanText, VoiceName WRITE_BATCH->EnglishText = "Information from PPF-Scan. " WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan wants to load files from the internet! " WRITE_BATCH->EnglishText = EnglishText + "Pleace dont turn off internet connection! " WRITE_BATCH->GermanText = "Information vom PPFScanner! " WRITE_BATCH->GermanText = GermanText + "Der PPFScanner wird nun Dateien aus dem Internet herunterladen! " WRITE_BATCH->GermanText = GermanText + "Bitte unterbrechen sie die Internetverbindung nicht, bis der Vorgang abgeschlossen ist! " WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice") WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0) WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription WRITE_BATCH->VoiceName = ucase(VoiceName) WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->End If START_SHELL->%SystemRoot%\system32\cmd.exe EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B CLOSE_SHELL-> CREATE_FOLDER->C:\PPF_Scan2 SLEEP->10000 DOWNLOAD->https://download.eset.com/com/eset/tools/online_scanner/latest/esetonlinescanner_deu.exe>C:\PPFS_T\esetonlinescanner_deu.exe CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs WRITE_BATCH->Dim EnglishText, GermanText, VoiceName WRITE_BATCH->EnglishText = "Information from PPF-Scan. " WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan is executing an anti-virus scanner " WRITE_BATCH->EnglishText = EnglishText + "and will set options in the anti-virus scanner! " WRITE_BATCH->EnglishText = EnglishText + "Pleace don't touch the mouse and don't execute any program while the virus-scanner is running. " WRITE_BATCH->GermanText = "Information vom PPFScanner! " WRITE_BATCH->GermanText = GermanText + "Der PPFScanner führt jetzt ein Antivirenprogramm aus " WRITE_BATCH->GermanText = GermanText + "und wird automatisch Optionen im Antivirenprogramm setzen! " WRITE_BATCH->GermanText = GermanText + "Bitte berühren sie nicht die Maus und starten sie keine Programme, " WRITE_BATCH->GermanText = GermanText + "bis der Vorgang abgeschlossen ist! " WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice") WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0) WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription WRITE_BATCH->VoiceName = ucase(VoiceName) WRITE_BATCH->For i = 1 to 3 WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->End If WRITE_BATCH->Next START_SHELL->%SystemRoot%\system32\cmd.exe EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B CLOSE_SHELL-> SLEEP->20000 CREATE_BATCH_FILE->C:\PPFS_T\Test.BAT SET_PRIVILEGE->SeBackupPrivilege>0 EXECUTE->C:\PPFS_T\esetonlinescanner_deu.exe SET_PRIVILEGE->SeBackupPrivilege>1 WAIT_FOR_WINDOW->Akzeptieren ->esetonlinescanner_deu.exe CLICK_WINDOW->Akzeptieren ->esetonlinescanner_deu.exe ->8 ->8 SLEEP->1000 CLICK_WINDOW->Erkennung evtl. unerwünschter Anwendungen aktivieren ->esetonlinescanner_deu.exe ->5 ->5 CLICK_WINDOW->Erweiterte Einstellungen ->esetonlinescanner_deu.exe ->5 ->5 CLICK_WINDOW->Bedrohungen automatisch säubern ->esetonlinescanner_deu.exe ->5 ->5 CLICK_WINDOW->Scannen ->esetonlinescanner_deu.exe ->8 ->8 CLICK_WINDOW->ESET Online Scanner ->esetonlinescanner_deu.exe ->5 ->5 WAIT_FOR_WINDOW->Beenden ->esetonlinescanner_deu.exe SHOW_WINDOW->ESET Online Scanner ->esetonlinescanner_deu.exe ->NORMAL ACTIVATE_WINDOW->Eset Online Scanner ->esetonlinescanner_deu.exe CLICK_WINDOW->Beenden ->esetonlinescanner_deu.exe ->8 ->8 SLEEP->3000 KILL_PROCESS->esetonlinescanner_deu.exe CREATE_BATCH_FILE->C:\PPFS_T\LOG.BAT WRITE_BATCH->COPY "%userprofile%\appdata\local\temp\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A OPEN->C:\PPFS_T\LOG.BAT COPY_SCANFILES->C:\PPF_Scan2 OPEN->C:\PPF_Scan2 END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen!
- Der Eset Onlinescanner (Virenscanner) wird sich selbst herunterladen, starten und selbst die Einstellungen setzen. Finger weg vom Rechner, bis der Scan von Eset gestartet wurde!
- Der Scan wird einige Stunden dauern. Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum
[Blockierte Grafik: https://s1.imagebanana.com/file/170912/LDYJk2rt.jpg]
-
Okay das Programm läuft, werde dann morgen den Bericht posten.
Ich bin erstmal unendlich dankbar, ich weiß, was du hier machst ist nicht selbstverständlich und ich weiß die Hilfe wirklich zu schätzen: DANKE!
-
Wir sind noch etwas mit dem Rechner beschäftigt. Zum Schluss werde ich dir noch sagen, was dich erwischt hat und wie lange das auf dem Rechner war.
-
Ja, trotz alledem ist da schon viel deiner Zeit reingeflossen.
-
Ist ein Hobby von mir - das ist nicht so wild.
-
So nächster Scan durch: https://workupload.com/file/Gc8yWRCk
-
Die nächste Sache wird etwas kritisch. Im LSP Stack scheint bei dir eine Adware DLL zu sitzen.
Läuft irgendetwas bei der nächsten Sache schief, könntest du erst mal den Internetkontakt verlieren.
Hast du noch eine andere Möglichkeit ins Netz zu kommen, als den befallenen Rechner? -
Ja entweder auf Arbeit oder per Handy. Kann aber erst wieder heute abend an den befallenen PC (bin jetzt auf Arbeit).
Edit: Kann ich denn die externen Festplatten dann wieder auswerfen lassen, damit die nicht im Dauerbetrieb sind oder soll ich die lieber dranlassen?
-
Verlierst du den Internetkontakt, nachdem du die nächste Sache durchgeführt hast, melde dich hier mit dem Handy.
Das zu Hause tun:- Erstelle auf dem befallenen Rechner einen neuen Ordner auf C:\.
- Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
- Starte LSPandTSP.exe.
- Guard deines Virenscanners deaktivieren!
- Im Ptogramm findest du einige Registrierkarten miz unterschiedlichen DLLs. Suche auf allen Registrierkarten folgende DLLs und versehe sie mit einem Haken (jede DLL insgesamt müssten 10 Häkchen gesetzt werden):
- LavasoftTcpService.dll
- LavasoftTcpService64.dll
- Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button [i][i]Markierte Einträge entfernen![/i][/i].
- Ist das Tool mit dem Fixen fertig, klicke im Menü auf [i]Programm[/i] und [i]LOG-Datei abspeichern[/i].
- Guard deines Virenscanners wieder aktivieren!
- Lade die LOG-Datei bei workupload.com/ hoch und poste den Downloadlink im Forum.
- Rechner dann neu starten.
- Rückmeldung geben, ob du ins Internet kommst.
-
Okay werde ich durchführen sobald ich zu Hause bin und melde mich dann.
Meinst du mit Guard den Echtzeitscanner (so heißt das glaube ich bei Avira) oder das gesamte Programm beenden?
-
Den Echtzeitscanner stoppen.
Läuft der noch, werden sich die Eintrage, die da von Ad-Aware Web Companion übrig geblieben sind, nicht löschen lassen. -
Achso hatte den Beitrag weiter oben noch editiert: "Kann ich denn die externen Festplatten dann wieder auswerfen lassen, damit die nicht im Dauerbetrieb sind oder soll ich die lieber dranlassen?"
-
Die externen Festplatten können abgeklemmt werden. Mit denen sind wir jetzt fertig.
Ist das oben durchgeführt und es besteht weiterhin Internetkontakt, danach das hier tun:
- Lade dir bitte von hier den AdwCleaner herunter und speichere ihn auf dem Desktop ab.
- Starte nun die adwcleaner.exe.
- In der mitte des Programms ist eventuell ein Fenster mit Wir freuen uns über ihr Feedback zu sehen. Ist das der Fall, musst du dieses Fenster erst schließen. Darunter befinden sich Bedienelemente.
- Klicke dann im Hauptfenster auf den Button Jetzt scannen.
- Klicke nach Beendigung des Scans unten im Fenster auf den dann erscheinenden Button Grundlegende Reparatur ausführen.
- Es erscheint eine Messagebox. Klicke dort auf Jetzt bereinigen.
- Der Rechner wird sich neu starten.
- Nach dem Neustart wird der AdwCleaner automatisch erneut gestartet.
- Klicke im AdwCleaner dann auf den Button LOG Datei ansehen.
- Lade das dann erscheinende Log (AdwCleaner[C...].txt) bei workupload.com/ hoch und poste den Downloadlink hier im Forum. Du kannst es dafür an einem Ort abspeichern, an dem du es leicht wiederfindest.
Ist der Adwcleaner durch, benötige ich nochmals neue LOGs von Farbar und demPPFScanner. Ich muss kontrollieren, ob wir alles erwischt haben.
Dazu das hier wieder tun:
-
Ich bin eventuell erst morgen Nachmittag (wegen Arbeit) wieder am Rechner.
Hier einige Infos zu deinem Befall.Der Trojaner
Unter anderem das hier war auf dem Rechner und den Platten:
Rechner und Festplatten waren scheinbar bereits mindestens seit Mitte November 2017 infiziert. Ich habe Hinweise auf diesen Zeitraum auf den externen Platten gefunden. Ich habe zur Zeit den Eindruck, dass das ein Downloader für einen Bitcoin Miner ist, was auf den externen Platten war. Zwischen März und Oktober 2018 hat Antivir mehrere Version des Payloads (also des eigentlichen Miners) auf deinem Rechner gefunden und entfernt. Leider immer nicht alles, was auf dem Rechner und den externen Platten lief. Aus einer Erkennung von Antivir schließe ich hier auf einen Miner als Payload. Wenn du Glück hast, wurden dir also keine Daten gestohlen und der Rechner wurde nur als Maschine für Geldproduktion genutzt. Ganz sicher ist das aber nicht.
Die Verlinkungen, die du auf den externen Festplatten bemerkt hast, dienen dazu, den Trojaner beim Anklicken zu starten (also den Downloader). Das dürftest du bereits wissen. Ist der gestartet, infiziert er den angeschlossenen Rechner und lädt den Payload nach - also installiert das, was die eigentliche Aufgabe des Trojaners durchführt.
Es können weiter Datenträger bei dir im Haushalt infiziert sein - also bei allen Datenträgern bitte genau nachsehen, ob du solche Verknüpfungen findest. Sind die da, klicke die unter keinen Umständen an! Melde dich dann hier wieder.
Infiziert sein kann alles, was irgendwie als beschreibbarer Datenträger erkannt wird und keine DVD oder CD ist - also eventuell auch ein mal über USB angeschlossenes Handy oder eine digitale Kamera.Adware
Wenn du ein Programm von der Seite von Chip installieren willst, lies die sehr genau durch, was auf der Downloadseite steht. Klicke nie sofort den großen Downloadbutton. Schau immer nach, ob dort ein kleiner Schriftzug Manuelle Installation steht. Findest du den, klicke zum Download immer da drauf (Link zum Bild bitte anklicken):
[Blockierte Grafik: https://abload.de/img/1aysm5.jpg]Tust du das nicht, wird von Chip in der Regel weitere Software auf dem Rechner abgelegt. Das solltest du möglichst vermeiden.
Wie geht es weiter?
Es wird jetzt bei mir (wegen Arbeit) etwas dauern. Es wird auf jeden Fall noch weitere Anweisungen und Rückmeldung von mir geben, auch wenn ich mich heute nicht mehr melde. -
Gut sollten USB-Sticks oder ähnliches befallen sein und keine wichtigen Daten enthalten könnte ich diese auch einfach formatieren und dann weiter nutzen oder reicht die windowseigene Formatierung nicht aus um den Trojaner von den Datenträgern entgültig zu entfernen?
-
Du kannst die befallenen Datenträger formatieren. Wichtig ist, dort unter keinem Umständen die Verknüpfungen anzuklicken. Der Rechner sofort wieder infiziert werden.
-
Du kannst die befallenen Datenträger formatieren. Wichtig ist, dort unter keinem Umständen die Verknüpfungen anzuklicken. Der Rechner sofort wieder infiziert werden.
Okay super, auf eventuellen USB-Sticks etc sind eh nur unwichtige Sachen drauf, dann formatiere ich die einfach das nächste mal alle vor der Nutzung, muss mir nurmal das Handy meiner Frau angucken. Der Trojaner würde aber immer mit den Verknüpfungen auftreten, d.h. Medien ohne Verknüpfung sind zumindest von diesem Schädling verschont geblieben.
Und, wenn auch noch nicht erfolgreich beendet, nochmal ein dickes danke.
-
Verlierst du den Internetkontakt, nachdem du die nächste Sache durchgeführt hast, melde dich hier mit dem Handy.
Das zu Hause tun:- Erstelle auf dem befallenen Rechner einen neuen Ordner auf C:\.
- Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
- Starte LSPandTSP.exe.
- Guard deines Virenscanners deaktivieren!
- Im Ptogramm findest du einige Registrierkarten miz unterschiedlichen DLLs. Suche auf allen Registrierkarten folgende DLLs und versehe sie mit einem Haken (jede DLL insgesamt müssten 10 Häkchen gesetzt werden):
- LavasoftTcpService.dll
- LavasoftTcpService64.dll
- Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button [i][i]Markierte Einträge entfernen![/i][/i].
- Ist das Tool mit dem Fixen fertig, klicke im Menü auf [i]Programm[/i] und [i]LOG-Datei abspeichern[/i].
- Guard deines Virenscanners wieder aktivieren!
- Lade die LOG-Datei bei workupload.com/ hoch und poste den Downloadlink im Forum.
- Rechner dann neu starten.
- Rückmeldung geben, ob du ins Internet kommst.
so habe ich getan, hier ist der upload: https://workupload.com/file/6HL94NxN
Starte jetzt den PC neu, wünscht mir Glück
Edit: So PC wieder hochgefahren und bin wieder im Netz, mache jetzt mit dem nächsten Schritt weiter.
-
Adw cleaner ist auch durch: https://workupload.com/file/FHwANTPJ
Mache jetzt nochmal den FRST und den PPF scan durch und poste die Dateien, wenn sie durch sind.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!