| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win7: Emotet Trojaner & Trojan.MalPack.GS.GenericWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.05.2019, 09:22
| #1 |
 |  Win7: Emotet Trojaner & Trojan.MalPack.GS.Generic Hallo Trojaner-Board, erst mal für euch:  dann: bei dem befallenen PC handelt es sich um einen PC in einem sehr kleinen Unternehmen (6 PCs), ich hoffe hier gilt die Ausnahmeregelung, wir haben keine eigene IT Abteilung. Alle Schritte sind mit dem Vorgesetzten abgesprochen, alle Logs dürfen gezeigt werden. Etwaige Klarnamen würde ich gerne mit Sternchen versehen, wenn ok. Gestern wurden wir darauf aufmerksam gemacht, dass eines unserer Mailkonten aktiv spammt und eines nur als Pseudo-Absender missbraucht wurde, also nicht aktiv betroffen ist. Die beiden Mailadressen wurden vom Provider dann erst mal gesperrt (PW geändert). Daraufhin habe ich auf allen Rechnern Avira und Malwarebytes (nacheinander) laufen lassen. Avira hat auf dem Rechner mit der aktiv befallenen Mailadresse TR/Emotet gefunden, leider kann ich auf die Logdatei nicht zugreifen, es öffnet sich leider nicht und das Interface von Avira sieht mittierweile auch anders aus, als in euren Anleitungen. Ich habe emotet gestern per Avira gelöscht, aber heute hat das Mailfach wieder aktiv gespammt, somit vermute ich, ist der TR noch drauf. Malwarebytes hat zusätzlich noch Folgendes gefunden: Bericht 1: Code:
ATTFilter Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 22.05.19
Scan-Zeit: 11:33
Protokolldatei: ba01946a-7c74-11e9-aa02-64006a3569c9.json
-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.586
Version des Aktualisierungspakets: 1.0.10710
Lizenz: Testversion
-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: PCSEK1\C******* (Klarname)
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 271582
Erkannte Bedrohungen: 3
In die Quarantäne verschobene Bedrohungen: 3
Abgelaufene Zeit: 1 Min., 47 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswert: 1
Trojan.MalPack.GS.Generic, HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|actixapi, In Quarantäne, [9889], [685874],1.0.10710
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Datei: 2
Trojan.MalPack.GS.Generic, C:\USERS\C******\APPDATA\ROAMING\MICROSOFT\DBNEPNTW\BOOTTCLS.EXE, In Quarantäne, [9889], [685874],1.0.10710
Trojan.MalPack.GS.Generic, C:\PROGRAMDATA\IDUPLMOJYOWTDAL.EXE, In Quarantäne, [9889], [685874],1.0.10710
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
WMI: 0
(keine bösartigen Elemente erkannt)
(end)
Bericht 2: Code:
ATTFilter Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Datum des Schutzereignisses: 22.05.19
Uhrzeit des Schutzereignisses: 11:33
Protokolldatei: afd04cde-7c74-11e9-8981-64006a3569c9.json
-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.586
Version des Aktualisierungspakets: 1.0.10692
Lizenz: Testversion
-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System
-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, , Blockiert, [-1], [-1],0.0.0
-Website-Daten-
Kategorie: Spyware
Domäne: miska-server.at
IP-Adresse: 62.73.70.146
Port: [49492]
Typ: Ausgehend
Datei: C:\Windows\explorer.exe
(end)
Code:
ATTFilter Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Datum des Schutzereignisses: 22.05.19
Uhrzeit des Schutzereignisses: 11:33
Protokolldatei: af8e900b-7c74-11e9-af40-64006a3569c9.json
-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.586
Version des Aktualisierungspakets: 1.0.10692
Lizenz: Testversion
-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System
-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, , Blockiert, [-1], [-1],0.0.0
-Website-Daten-
Kategorie: Trojaner
Domäne: alfa-sentavra.at
IP-Adresse: 46.232.113.38
Port: [49489]
Typ: Ausgehend
Datei: C:\Windows\explorer.exe
(end)
Besten Dank im Voraus MiMiQQ |
| Themen zu Win7: Emotet Trojaner & Trojan.MalPack.GS.Generic |
| aktiv, appdata, avira, c:\windows, code, euren, folge, gelöscht, gesperrt, kleine, logdatei, malwarebytes, microsoft, pcs, quarantäne, reboot, rechner, roaming, service, trojaner, win, win7, windows, windows 7, öffnet |
Baum-Darstellung