So scans sind durch:
PPF scan https://workupload.com/file/e2UPjqfN
So scans sind durch:
PPF scan https://workupload.com/file/e2UPjqfN
Der AdwCleaner und LSPad TSP haben schon mal genau das gemacht, was sie sollten.
Die LOGs von den Scannern schaue ich mir gerade noch.
Folgende Datei einmal vorsichtshalber bei Virustotal hochladen und dort scannen lassen:
Schau mal hier - zu Info:
Zitat von Eventlog.txtAlles anzeigen19.11.2018 19:04 Uhr 59s
Record #255283
Computername->******
Disk:
Error
The driver detected a controller error on \Device\Harddisk1\DR1.__________________________________________
19.11.2018 19:04 Uhr 59s
Record #255282
Computername->******
Disk:
Error
The driver detected a controller error on \Device\Harddisk1\DR1.__________________________________________
19.11.2018 19:04 Uhr 58s
Record #255281
Computername->******
Disk:
Error
The driver detected a controller error on \Device\Harddisk1\DR1.
Was sind das für externe Platten? Eventuell
__________________________________________
19.11.2018 19:04 Uhr 22s
Record #255270
Computername->******
User->NT AUTHORITY\SYSTEM
Microsoft-Windows-Kernel-PnP:
Warning
Event-ID 219
Da schein eine der externen platten nicht ganz korrekt reagiert zu haben. Ich habe den Verdacht, dass die kein externes Netzteil hat und USB zu viel Saft gezogen wurde,
Zitat von Eventlog.txt18.11.2018 18:18 Uhr 56s
Record #254640
Computername->*********
Disk:
Error
The device, \Device\Harddisk1\DR1, has a bad block.
Eine deiner externe Platten hat einen Oberfächenfehler. Mit der Platte solltest du etwas vorsichtig sein. Ich würde auf die möglichst keine Komplettsicherungen und extrem wichtige Daten mehr speichern Das heißt aber nicht, das die bald komplett aussetzt.
Das noch tun (sieht schon ziemlich gut aus):
CREATE_FOLDER->C:\PPF_Scan2
SET_SCANLISRT->1
SET_OPTIONS->-205,-213,217
SEARCH_FILES->
->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extension
->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_SCan2
END->
Alles anzeigen
Bin noch unterwegs zum Zeitpunkt des Scans waren mMn aber keine externen Festplatten mehr angeschlossen. Kann sich also eigentlich nur um meine PC-interne Festplatte sein.
Edit: Wobei kann sein, dass ich sie für den Scan nochmal zur Sicherheit angeschlossen hatte.
Kannst du zufällig den Namen der Festplatte sehen die den Fehler haben soll?
Rest folgt sobald ich zu Hause bin.
Das ist auch von dem Tag, an dem, die Platten noch angeschlossen waren.
Den Namen kann ich nicht sehen. Ich würde beide Platen mal mit chkdsk überprüfen lassen (mit Parameter R und F).
Danach würde ich mal die SMART Daten aller Platten unter die Lupe nehmen.
Ich melde mich morgen Nachmitag hier wieder.
So habe die File bei Virustotal prüfen lassen. Nur Cylance stuft es als Unsafe ein, bei den anderen 65 hat es jeweils einen grünen Haken bekommen
Das Programm kann ich nicht mit PPFscan starten.
Zeile 2 ungültiger Befehl 'SET_SCANLISRT' 'SET_SCANLISRT->1'!
Zeile 4 ungültiger Parameter '{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi' 'SEARCH_FILES->'!
Zeile 5 ungültiger Befehl' '->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi'!
Er sagt mir ungültiges Script und rechts steht das Obige.
Sorry, da habe ich mir ein paar Tippfehler geleiset. So müsste es gehen:
CREATE_FOLDER->C:\PPF_Scan2
SET_SCANLIST->1
SET_OPTIONS->-205,-213,217
SEARCH_FILES->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi
->
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extension
->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_SCan2
END->
Alles anzeigen
So jetzt kommt eine Pop-up: Die letzte Scriptzeile konnte nicht erfolgreich abgeschlossen werden! Scripting jetzt abrechen?
Hab jetzt erstmal noch nichts gemacht, nehme aber mal an ich kann abbrechen?
[Blockierte Grafik: https://workupload.com/file/P84wzqYd]
Nein klicken, weitermachen lassen.
Gut hier das Egebnis: https://workupload.com/file/VqBGh5c6
Melde mich gleich noch einmal.
Das tun:
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}
END->
Ja ausgeführt und das Programm hat sich sofort geschlossen. Müsste also durch sein.
Wunderbar - das ist auch gelöscht. Ich muss gerade mal schauen, ob ich noch Infos zu einer Sache finde, die bei dir auf dem Rechner ist. Werde da noch etwas suchen müssen. Ich melde mich hier aber heute noch einmal.
OK, hab was gefunden. Das muss auch weg.
Das tun:
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
->1
END->
Script ist durch und ich starte jetzt neu.
So sieht gut aus, hab mal ein paar Seiten geladen. Klappt einwandrei.
Passwörter werde ich ändern, aber da hab ich eh ne Zwei-Schritt-Anmeldung drinnen. Da der Trojaner schon länger drauf ist und wir bisher nichts mitbekommen haben an Abbuchung oder merkwürdigen Käufen auf Amazon oder ähnliches, hoffe ich auch, dass es wirklich nur ein Miner war.
Ich gehe im Augenblick wirklich davon aus, dass das so gewesen ist. Ob der Payload überhaupt sehr lange aktiv war, kann ich nicht genau sagen. Den ersten Payload hat Avira bereits kurz nach der Installation des Downloaders gekillt.
Der Downloader wird zur Zeit von Avira noch nicht als Malware erkannt. Ich habe den aber an das Virenlabor weitergeleitet. Es kann sein, dass sich da was in den nächten ein bis zwei Tagen tun wird. Falls nicht, werde ich da noch nachhaken.
Okay das klingt so als wären wir durch?
Dann nocheinmal tausend Dank. Deine Hilfe war echt großartig!
Ja, wir sind durch.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!