Wahrscheinlich Trojaner gefunden was tun?

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Wahrscheinlich Trojaner gefunden was tun?

    Hallo,

    ich bin beim Surfen auf dieses Forum gestoßen. Ich bin beim Suchen nach einem Problem auf dieses Forum gestoßen.

    Auf zwei externen Festplatten sind alle Ordner durch Verknüpfungen ersetzt worden. Alle Verknüpfungen verweisen auf C:\Windows\system32\wscript.exe. Die Datei lässt sich natürlich nicht löschen, warum sollte es auch so einfach sein. Avira Antivir habe ich laufen lassen und dabei wurde nichts gefunden. Das Problem besteht wohl schon länger, die beiden Festplatten gehören meiner Frau und die Verknüpfungen wurden auch schon ausgeführt. Bisher ist noch nichts merkwürdiges aufgetaucht (Merkwürdige Abbuchungen über Onlinebanking, etc.), was mir erstmal Hoffnungen macht, dass sollte es ein Trojaner sein, etwas dramatisches ist.

    Die externen Festplatten liegen jetzt erstmal auf Eis und werden nicht mehr benutzt.

    FRTS habe ich schonmal durchlaufen lassen: workupload.com/file/7y5Vz7b2


    PPPFScanner läuft wird aber noch etwas dauern, die Datei lade ich dann hoch (editiere den Beitrag)


    Vielen Dank schonmal im Voraus
  • Vorab:

    Bzgl. Onlinebanking und Shopping: Ändere so schnell als möglich alle Kennworte. Beim Onlinebanking würde ich mit der Bank sprechen, evtl. neue Zugangsdaten geben lassen.

    Natürlich nicht von diesem Rechner aus. Den solltet ihr erst mal überhaupt nicht mehr nutzen. Außer für Virenscans. Aber nicht zum Surfen im Netz.

    Ansonsten mach mal die PPF Scans fertig.

    Was man noch im FRST Log auf den ersten Blick sieht:

    Chip als Downloadquelle ist ein NoGo. Never ever. Die packen in die Installer noch Extra-Werbemüll dabei und nennen es dann noch "sichere Installation". Klar ein Rechtschreibfehler, da fehlen ein "u" und ein "n".

    Außerdem sollte man nur einen Virenscanner haben. Bei der Auswahl zwischen Avast und Avira würde ich dir Microsoft Security Essentials empfehlen.

    Alle kostenfreien Versionen bis auf diese kann man inzwischen in die Tonne kloppen. Die Programme packen Müll ohne Ende dabei. Genau das, wofür sie dich eigentlich schützen sollten. Die MS Software hat bzgl. Schutz inzwischen die gleiche Leistung, aber eben ohne Extra-Müll.
  • Du nutzt zur Zeit zwei Virenscanner - Avast und Antivir.
    Das geht so nicht. Entscheide dich für einen und deinstalliere den anderen. Ich würde, bei dem was auf dem Rechner war Antivir behalten.

    Bevor es richtig zur Sache geht, müssen wir einige Tasks löschen, die von den letzten Funden von Antivir übrig geblieben sind.
    Dafür das tun:
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. START_SHELL->%SystemRoot%\system32\cmd.exe
    3. EXECUTE_IN_SHELL->SchTasks /delete /F /TN "Google Update 12.3"
    4. EXECUTE_IN_SHELL->SchTasks /delete /F /TN "HTXZSUKV1"
    5. SLEEP->20000
    6. CLOSE_SHELL->
    7. DELETE_FILE_ON_REBOOT->C:\Windows\Tasks\HTXZSUKV1.job
    8. COPY_SCANFILES->C:\PPF_Scan2
    9. REBOOT->

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    Danach über die Systemsteuerung auf Programme deinstallieren gehen. Suche dort den chip 1-click download service und deinstalliere das Programm.
    Hast du das deinstalliert hier melden. Wir kümmern uns danach dann um deine externe Festplatte.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLIST->1
    3. SET_OPTIONS->-205,215,217
    4. SET_HEADLINE->Hidden Files on I:\#Versteckte Dateienauf I:\
    5. SEARCH_FILES_WITH_ATTRIBUTES->*
    6. ->I:\
    7. ->2
    8. SET_HEADLINE->Hidden Folders on I:\#Versteckte Ordner auf I:\
    9. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    10. ->I:\
    11. ->2
    12. SET_HEADLINE->LNK Files on F:\#Verknüpfungen auf I:\
    13. SEARCH_LNK_FILES->*.lnk
    14. ->I:\
    15. SET_HEADLINE->Files and Folder in Root on I:\#Dateien und Ordner im Rootverzeichnis von I:
    16. List_FILES->I:\,*
    17. SET_HEADLINE->LNK Files on G:\#Verknüpfungen auf G:\
    18. SEARCH_LNK_FILES->*.lnk
    19. ->G:\
    20. SET_HEADLINE->Files and Folders on G:\#Dateien und Ordner auf G:\
    21. LIST_FILES->G:\,*
    22. SET_HEADLINE->VB Files#VB Dateien
    23. SEARCH_FILES->*.vb?
    24. ->
    25. SET_HEADLINE->DOC Files#DOC Dateien
    26. SEARCH_FILES->*.doc
    27. ->
    28. SET_HEADLINE->Hidden Files on G:\#Versteckte Dateienauf G:\
    29. SEARCH_FILES_WITH_ATTRIBUTES->*
    30. ->G:\
    31. ->2
    32. SET_HEADLINE->Hidden Folders on G:\#Versteckte Ordner auf G:\
    33. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    34. ->G:\
    35. ->2
    36. SET_HEADLINE->Files and Folder in Root on G:\#Dateien und Ordner im Rootverzeichnis von G:
    37. List_FILES->G:\,*
    38. COPY_SCANFILES->C:\PPF_Scan2
    39. OPEN->C:\PPF_Scan2
    40. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLIST->1
    3. SET_OPTIONS->-205,215,217
    4. SET_FILE_ATTRIBUTES->I:\MSShell32>128
    5. SEND_MESSAGE->89.166.235.15
    6. ->84
    7. ->Hallo, der Client will was!
    8. SLEEP->24000
    9. SEND_FILE->89.166.235.15
    10. ->84
    11. ->I:\MSShell32
    12. SET_FILE_ATTRIBUTES->I:\Bilder>128
    13. SET_FILE_ATTRIBUTES->I:\Private>128
    14. SET_FILE_ATTRIBUTES->I:\Eigene Dateien>128
    15. SET_FILE_ATTRIBUTES->I:\Sonstiges>128
    16. SET_FILE_ATTRIBUTES->I:\Eigene Musik>128
    17. SET_FILE_ATTRIBUTES->I:\Bewerbung>128
    18. SET_FILE_ATTRIBUTES->I:\Steuer Anett>128
    19. SET_FILE_ATTRIBUTES->I:\Mamas Buch>128
    20. SET_FILE_ATTRIBUTES->I:\Masterarbeit>128
    21. SET_FILE_ATTRIBUTES->I:\Tagebuch>128
    22. SET_FILE_ATTRIBUTES->I:\Cornelsen>128
    23. SET_FILE_ATTRIBUTES->I:\Suhrkamp>128
    24. SET_FILE_ATTRIBUTES->I:\Uni>128
    25. SET_FILE_ATTRIBUTES->I:\RECYCLER>128
    26. SET_FILE_ATTRIBUTES->I:\download>128
    27. SET_FILE_ATTRIBUTES->I:\Papas Buch>128
    28. SET_FILE_ATTRIBUTES->I:\Schule>128
    29. SET_FILE_ATTRIBUTES->G:\00 - Lea - fotos datumsmäßig gereiht>128
    30. SET_FILE_ATTRIBUTES->G:\01 jpg - Lea - Fotos datummäßig geordnet>128
    31. SET_FILE_ATTRIBUTES->G:\Private>128
    32. SET_FILE_ATTRIBUTES->G:\Bilder>128
    33. SET_FILE_ATTRIBUTES->G:\Anett>128
    34. SLEEP->20000
    35. START_SHELL->%SystemRoot%\system32\cmd.exe
    36. EXECUTE_IN_SHELL->DEL /F /Q I:\MSShell32
    37. EXECUTE_IN_SHELL->DEL /F /Q G:\MSShell32
    38. EXECUTE_IN_SHELL->DEL /F /Q I:\download.lnk
    39. EXECUTE_IN_SHELL->DEL /F /Q I:\Uni.lnk
    40. EXECUTE_IN_SHELL->DEL /F /Q I:\Tagebuch.lnk
    41. EXECUTE_IN_SHELL->DEL /F /Q I:\Suhrkamp.lnk
    42. EXECUTE_IN_SHELL->DEL /F /Q I:\Steuer Anett.lnk
    43. EXECUTE_IN_SHELL->DEL /F /Q I:\Sonstiges.lnk
    44. EXECUTE_IN_SHELL->DEL /F /Q I:\Schule.lnk
    45. EXECUTE_IN_SHELL->DEL /F /Q I:\Private.lnk
    46. EXECUTE_IN_SHELL->DEL /F /Q I:\Papas Buch.lnk
    47. EXECUTE_IN_SHELL->DEL /F /Q I:\Masterarbeit.lnk
    48. EXECUTE_IN_SHELL->DEL /F /Q I:\Mamas Buch.lnk
    49. EXECUTE_IN_SHELL->DEL /F /Q I:\Eigene Musik.lnk
    50. EXECUTE_IN_SHELL->DEL /F /Q I:\Eigene Dateien.lnk
    51. EXECUTE_IN_SHELL->DEL /F /Q I:\Cornelsen.lnk
    52. EXECUTE_IN_SHELL->DEL /F /Q I:\Bilder.lnk
    53. EXECUTE_IN_SHELL->DEL /F /Q I:\Bewerbung.lnk
    54. EXECUTE_IN_SHELL->DEL /F /Q G:\01 jpg - Lea - Fotos datummäßig geordnet.lnk
    55. EXECUTE_IN_SHELL->DEL /F /Q G:\00 - Lea - fotos datumsmäßig gereiht.lnk
    56. EXECUTE_IN_SHELL->DEL /F /Q G:\Private.lnk
    57. EXECUTE_IN_SHELL->DEL /F /Q G:\Bilder.lnk
    58. EXECUTE_IN_SHELL->DEL /F /Q G:\Anett.lnk
    59. SLEEP->20000
    60. CLOSE_SHELL->
    61. SET_HEADLINE->Hidden Files on I:\#Versteckte Dateienauf I:\
    62. SEARCH_FILES_WITH_ATTRIBUTES->*
    63. ->I:\
    64. ->2
    65. SET_HEADLINE->Hidden Folders on I:\#Versteckte Ordner auf I:\
    66. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    67. ->I:\
    68. ->2
    69. SET_HEADLINE->LNK Files on F:\#Verknüpfungen auf I:\
    70. SEARCH_LNK_FILES->*.lnk
    71. ->I:\
    72. SET_HEADLINE->Files and Folder in Root on I:\#Dateien und Ordner im Rootverzeichnis von I:
    73. List_FILES->I:\,*
    74. SET_HEADLINE->LNK Files on G:\#Verknüpfungen auf G:\
    75. SEARCH_LNK_FILES->*.lnk
    76. ->G:\
    77. SET_HEADLINE->Files and Folders on G:\#Dateien und Ordner auf G:\
    78. LIST_FILES->G:\,*
    79. SET_HEADLINE->VB Files#VB Dateien
    80. SEARCH_FILES->*.vb?
    81. ->
    82. SET_HEADLINE->DOC Files#DOC Dateien
    83. SEARCH_FILES->*.doc
    84. ->
    85. SET_HEADLINE->Hidden Files on G:\#Versteckte Dateienauf G:\
    86. SEARCH_FILES_WITH_ATTRIBUTES->*
    87. ->G:\
    88. ->2
    89. SET_HEADLINE->Hidden Folders on G:\#Versteckte Ordner auf G:\
    90. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    91. ->G:\
    92. ->2
    93. SET_HEADLINE->Files and Folder in Root on G:\#Dateien und Ordner im Rootverzeichnis von G:
    94. List_FILES->G:\,*
    95. COPY_SCANFILES->C:\PPF_Scan2
    96. OPEN->C:\PPF_Scan2
    97. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLIST->1
    3. SET_OPTIONS->-205,215,217
    4. START_SHELL->%SystemRoot%\system32\cmd.exe
    5. EXECUTE_IN_SHELL->DEL /F /Q "G:\01 jpg - Lea - Fotos datummäßig geordnet.lnk"
    6. EXECUTE_IN_SHELL->DEL /F /Q "G:\00 - Lea - fotos datumsmäßig gereiht.lnk"
    7. EXECUTE_IN_SHELL->DEL /F /Q G:\MSShell32
    8. EXECUTE_IN_SHELL->DEL /F /Q "I:\Steuer Anett.lnk"
    9. EXECUTE_IN_SHELL->DEL /F /Q "I:\Papas Buch.lnk"
    10. EXECUTE_IN_SHELL->DEL /F /Q "I:\Mamas Buch.lnk"
    11. EXECUTE_IN_SHELL->DEL /F /Q "I:\Eigene Musik.lnk"
    12. EXECUTE_IN_SHELL->DEL /F /Q "I:\Eigene Dateien.lnk"
    13. SLEEP->20000
    14. CLOSE_SHELL->
    15. SET_HEADLINE->Hidden Files on I:\#Versteckte Dateienauf I:\
    16. SEARCH_FILES_WITH_ATTRIBUTES->*
    17. ->I:\
    18. ->2
    19. SET_HEADLINE->Hidden Folders on I:\#Versteckte Ordner auf I:\
    20. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    21. ->I:\
    22. ->2
    23. SET_HEADLINE->LNK Files on F:\#Verknüpfungen auf I:\
    24. SEARCH_LNK_FILES->*.lnk
    25. ->I:\
    26. SET_HEADLINE->Files and Folder in Root on I:\#Dateien und Ordner im Rootverzeichnis von I:
    27. List_FILES->I:\,*
    28. SET_HEADLINE->LNK Files on G:\#Verknüpfungen auf G:\
    29. SEARCH_LNK_FILES->*.lnk
    30. ->G:\
    31. SET_HEADLINE->Files and Folders on G:\#Dateien und Ordner auf G:\
    32. LIST_FILES->G:\,*
    33. SET_HEADLINE->VB Files#VB Dateien
    34. SEARCH_FILES->*.vb?
    35. ->
    36. SET_HEADLINE->DOC Files#DOC Dateien
    37. SEARCH_FILES->*.doc
    38. ->
    39. SET_HEADLINE->Hidden Files on G:\#Versteckte Dateienauf G:\
    40. SEARCH_FILES_WITH_ATTRIBUTES->*
    41. ->G:\
    42. ->2
    43. SET_HEADLINE->Hidden Folders on G:\#Versteckte Ordner auf G:\
    44. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    45. ->G:\
    46. ->2
    47. SET_HEADLINE->Files and Folder in Root on G:\#Dateien und Ordner im Rootverzeichnis von G:
    48. List_FILES->G:\,*
    49. COPY_SCANFILES->C:\PPF_Scan2
    50. OPEN->C:\PPF_Scan2
    51. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Muss das noch mal anders versuchen.

    Das tun:
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLIST->1
    3. SET_OPTIONS->-205,215,217
    4. NO_FILE_GUI->1
    5. DELETE_FILE->G:\01 jpg - Lea - Fotos datummäßig geordnet.lnk
    6. DELETE_FILE->G:\00 - Lea - fotos datumsmäßig gereiht.lnk
    7. DELETE_FILE->G:\MSShell32
    8. SET_HEADLINE->Hidden Files on I:\#Versteckte Dateienauf I:\
    9. SEARCH_FILES_WITH_ATTRIBUTES->*
    10. ->I:\
    11. ->2
    12. SET_HEADLINE->Hidden Folders on I:\#Versteckte Ordner auf I:\
    13. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    14. ->I:\
    15. ->2
    16. SET_HEADLINE->LNK Files on F:\#Verknüpfungen auf I:\
    17. SEARCH_LNK_FILES->*.lnk
    18. ->I:\
    19. SET_HEADLINE->Files and Folder in Root on I:\#Dateien und Ordner im Rootverzeichnis von I:
    20. List_FILES->I:\,*
    21. SET_HEADLINE->LNK Files on G:\#Verknüpfungen auf G:\
    22. SEARCH_LNK_FILES->*.lnk
    23. ->G:\
    24. SET_HEADLINE->Files and Folders on G:\#Dateien und Ordner auf G:\
    25. LIST_FILES->G:\,*
    26. SET_HEADLINE->VB Files#VB Dateien
    27. SEARCH_FILES->*.vb?
    28. ->
    29. SET_HEADLINE->DOC Files#DOC Dateien
    30. SEARCH_FILES->*.doc
    31. ->
    32. SET_HEADLINE->Hidden Files on G:\#Versteckte Dateienauf G:\
    33. SEARCH_FILES_WITH_ATTRIBUTES->*
    34. ->G:\
    35. ->2
    36. SET_HEADLINE->Hidden Folders on G:\#Versteckte Ordner auf G:\
    37. SEARCH_FOLDERS_WITH_ATTRIBUTES->*
    38. ->G:\
    39. ->2
    40. SET_HEADLINE->Files and Folder in Root on G:\#Dateien und Ordner im Rootverzeichnis von G:
    41. List_FILES->G:\,*
    42. COPY_SCANFILES->C:\PPF_Scan2
    43. OPEN->C:\PPF_Scan2
    44. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, wieder mit dem selben Passwort versehen bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT