Wahrscheinlich Trojaner gefunden was tun?

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Folgende Datei einmal vorsichtshalber bei Virustotal hochladen und dort scannen lassen:
    • C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe


    Schau mal hier - zu Info:

    Eventlog.txt schrieb:

    19.11.2018 19:04 Uhr 59s

    Record #255283
    Computername->******
    Disk:
    Error
    The driver detected a controller error on \Device\Harddisk1\DR1.

    __________________________________________
    19.11.2018 19:04 Uhr 59s
    Record #255282
    Computername->******
    Disk:
    Error
    The driver detected a controller error on \Device\Harddisk1\DR1.

    __________________________________________
    19.11.2018 19:04 Uhr 58s
    Record #255281
    Computername->******
    Disk:
    Error
    The driver detected a controller error on \Device\Harddisk1\DR1.
    Was sind das für externe Platten? Eventuell
    __________________________________________
    19.11.2018 19:04 Uhr 22s
    Record #255270
    Computername->******
    User->NT AUTHORITY\SYSTEM
    Microsoft-Windows-Kernel-PnP:
    Warning
    Event-ID 219
    Da schein eine der externen platten nicht ganz korrekt reagiert zu haben. Ich habe den Verdacht, dass die kein externes Netzteil hat und USB zu viel Saft gezogen wurde,


    Eventlog.txt schrieb:

    18.11.2018 18:18 Uhr 56s
    Record #254640
    Computername->*********
    Disk:
    Error
    The device, \Device\Harddisk1\DR1, has a bad block.
    Eine deiner externe Platten hat einen Oberfächenfehler. Mit der Platte solltest du etwas vorsichtig sein. Ich würde auf die möglichst keine Komplettsicherungen und extrem wichtige Daten mehr speichern Das heißt aber nicht, das die bald komplett aussetzt.

    Das noch tun (sieht schon ziemlich gut aus):

    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLISRT->1
    3. SET_OPTIONS->-205,-213,217
    4. SEARCH_FILES->
    5. ->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi
    6. REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extension
    7. ->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}
    8. COPY_SCANFILES->C:\PPF_Scan2
    9. OPEN->C:\PPF_SCan2
    10. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Bin noch unterwegs zum Zeitpunkt des Scans waren mMn aber keine externen Festplatten mehr angeschlossen. Kann sich also eigentlich nur um meine PC-interne Festplatte sein.
    Edit: Wobei kann sein, dass ich sie für den Scan nochmal zur Sicherheit angeschlossen hatte.

    Kannst du zufällig den Namen der Festplatte sehen die den Fehler haben soll?

    Rest folgt sobald ich zu Hause bin.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von j.vb ()

  • Das ist auch von dem Tag, an dem, die Platten noch angeschlossen waren.
    Den Namen kann ich nicht sehen. Ich würde beide Platen mal mit chkdsk überprüfen lassen (mit Parameter R und F).
    Danach würde ich mal die SMART Daten aller Platten unter die Lupe nehmen.
    Ich melde mich morgen Nachmitag hier wieder.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • So habe die File bei Virustotal prüfen lassen. Nur Cylance stuft es als Unsafe ein, bei den anderen 65 hat es jeweils einen grünen Haken bekommen

    Das Programm kann ich nicht mit PPFscan starten.

    Zeile 2 ungültiger Befehl 'SET_SCANLISRT' 'SET_SCANLISRT->1'!
    Zeile 4 ungültiger Parameter '{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi' 'SEARCH_FILES->'!
    Zeile 5 ungültiger Befehl' '->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi'!

    Er sagt mir ungültiges Script und rechts steht das Obige.
  • Sorry, da habe ich mir ein paar Tippfehler geleiset. So müsste es gehen:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLIST->1
    3. SET_OPTIONS->-205,-213,217
    4. SEARCH_FILES->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}.xpi
    5. ->
    6. REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extension
    7. ->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}
    8. COPY_SCANFILES->C:\PPF_Scan2
    9. OPEN->C:\PPF_SCan2
    10. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
    2. ->{D71F0E5B-9B5F-4199-8568-DB03FDB3DC8F}
    3. END->

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Daten werden nicht erzeugt - ich muss nur wissen, ob das Script bis zu Ende durchläuft, ohne das die Messagebox von vorhin erscheint.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • OK, hab was gefunden. Das muss auch weg.
    Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
    2. ->1
    3. END->

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Daten werden nicht erzeugt - ich muss nur wissen, ob das Script bis zu Ende durchläuft, ohne das die Fehler-Messagebox erscheint.
    • Läuft das Script Problemlos durch, Rechner einmal neu starten, komplett testen (Browser ausprobieren und ein bisschen surfen). Einmal Rückmeldung geben, ob alles läuft.
    • Wichtige Passwörter würde ich danach einmal ändern (EBAY, EMail, AMAZON, ...). Ist nur vorsichtshalber - ich glaube im Augenblick nicht, dass dir was gestohlen wurde.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • So sieht gut aus, hab mal ein paar Seiten geladen. Klappt einwandrei.

    Passwörter werde ich ändern, aber da hab ich eh ne Zwei-Schritt-Anmeldung drinnen. Da der Trojaner schon länger drauf ist und wir bisher nichts mitbekommen haben an Abbuchung oder merkwürdigen Käufen auf Amazon oder ähnliches, hoffe ich auch, dass es wirklich nur ein Miner war.
  • Ich gehe im Augenblick wirklich davon aus, dass das so gewesen ist. Ob der Payload überhaupt sehr lange aktiv war, kann ich nicht genau sagen. Den ersten Payload hat Avira bereits kurz nach der Installation des Downloaders gekillt.

    Der Downloader wird zur Zeit von Avira noch nicht als Malware erkannt. Ich habe den aber an das Virenlabor weitergeleitet. Es kann sein, dass sich da was in den nächten ein bis zwei Tagen tun wird. Falls nicht, werde ich da noch nachhaken.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT