Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 15.07.2019, 16:05   #1
samthron
 
Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert - Standard

Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert



Hallo,

ein Bekannter hat einen "Microsoft Mitarbeiter" auf sein Notebook gelassen, weil sein Rechner (auch tatsächlich) so langsam ist und sich einen Virus eingefangen hat. Er hat sich dann einen TimeViewer geladen und der "SupportMitarbeiter" hat sich auf den Rechner verbunden und sich 3 Tage lang gearbeitet. Eine neue Seriennummer installiert, die Postfächer bereinigt, das Onlinebanking geprüft, als mit allen Schikanen verarscht... Rechner und Handy gekapert, Router gekapert und dann munter Überweisungen getätigt...

Den Rechner habe ich mal mit der ESET-Rescue CD gebootet, gescannt und folgende schöne Dinge gefunden (Archivzugriffsfehler sind ausgeblendet):

Code:
ATTFilter
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/AppData/Local/Downloaded Installers/{BA219F82-20BF-49AD-A279-E2D69D3B9D3F}/setup.msi » MSI » msi.cab » CAB » SlimCleanerPlus.exe - a variant of Win32/Slimware.B potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/AppData/Local/Mozilla/Firefox/Profiles/pebjh2p5.default-1398088373925-1513167997011/cache2/entries/ADF4825969C0D1FD5FC2A9F6F2C1A2315149DA5F » ZIP » js/PartnerId.js - JS/Mindspark.G potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/Downloads/StellarPhoenixWindowsDataRecovery-Home_PPCS.exe » WISE » stubWrapperRemote.exe » NSIS » Script.nsi - Win32/Toolbar.Conduit potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLMonitor.exe - a variant of MSIL/Tlapia.A potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLService.exe - a variant of MSIL/Tlapia.A potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLUninstall.exe - a variant of MSIL/Tlapia.A potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLUtil.dll - a variant of MSIL/Tlapia.A potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPL.exe - a variant of MSIL/Tlapia.A potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite PS-E9NV5-CFKHK-UCGC7-CQZ85-L6BH4-K6YFP.exe » INNO » {tmp}\rb.exe » INNO » {app}\Launcher.exe - a variant of Win32/RegistryBooster potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite PS-E9NV5-CFKHK-UCGC7-CQZ85-L6BH4-K6YFP.exe » INNO » {tmp}\rb.exe » INNO » {app}\registrybooster.exe - a variant of Win32/RegistryBooster.D potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite PS-E9NV5-CFKHK-UCGC7-CQZ85-L6BH4-K6YFP.exe » INNO » {tmp}\sp.exe » INNO » {app}\sump.exe - a variant of Win32/SpeedUpMyPC.H potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite.exe » INNO » {tmp}\rb.exe » INNO » {app}\Launcher.exe - a variant of Win32/RegistryBooster potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite.exe » INNO » {tmp}\rb.exe » INNO » {app}\registrybooster.exe - a variant of Win32/RegistryBooster.D potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite.exe » INNO » {tmp}\sp.exe » INNO » {app}\sump.exe - a variant of Win32/SpeedUpMyPC.H potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/registrybooster RB-83KVK-GTYBA-V2K22-ZUWPM-DQK4P-2C32Z.exe » INNO » {app}\Launcher.exe - a variant of Win32/RegistryBooster potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/registrybooster RB-83KVK-GTYBA-V2K22-ZUWPM-DQK4P-2C32Z.exe » INNO » {app}\registrybooster.exe - a variant of Win32/RegistryBooster.D potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/StellarPhoenixWindowsDataRecovery-Home_PPCS.exe » WISE » stubWrapperRemote.exe » NSIS » Script.nsi - Win32/Toolbar.Conduit potentially unwanted application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Public/Documents/Downloaded Installers/{6FF69967-0BFE-4F14-B6DF-E73783E52340}/setup.msi » MSI » app.cab » CAB » F5fedfdf90c2b4567a5edbf92262a6182 - a variant of Win32/UwS.SlimDrivers.A application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Public/Documents/Downloaded Installers/{8AE269B5-4133-4FFC-9896-D718886D7D8F}/setup.msi » MSI » app.cab » CAB » Fe40ebec7b471432eaedb98be7633658b - a variant of Win32/UwS.SlimDrivers.A application - action selection postponed until scan completion
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/AppData/Local/Downloaded Installers/{BA219F82-20BF-49AD-A279-E2D69D3B9D3F}/setup.msi » MSI » msi.cab » CAB » SlimCleanerPlus.exe - a variant of Win32/Slimware.B potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/AppData/Local/Mozilla/Firefox/Profiles/pebjh2p5.default-1398088373925-1513167997011/cache2/entries/ADF4825969C0D1FD5FC2A9F6F2C1A2315149DA5F » ZIP » js/PartnerId.js - JS/Mindspark.G potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/Downloads/StellarPhoenixWindowsDataRecovery-Home_PPCS.exe » WISE » stubWrapperRemote.exe » NSIS » Script.nsi - Win32/Toolbar.Conduit potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLMonitor.exe - a variant of MSIL/Tlapia.A potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLService.exe - a variant of MSIL/Tlapia.A potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLUninstall.exe - a variant of MSIL/Tlapia.A potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPLUtil.dll - a variant of MSIL/Tlapia.A potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Downloads/java.exe » ADVANCEDINSTALLER » sysTPL.msi » MSI » disk1.cab » CAB » sysTPL.exe - a variant of MSIL/Tlapia.A potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite PS-E9NV5-CFKHK-UCGC7-CQZ85-L6BH4-K6YFP.exe » INNO » {tmp}\rb.exe » INNO » {app}\Launcher.exe - a variant of Win32/RegistryBooster potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite PS-E9NV5-CFKHK-UCGC7-CQZ85-L6BH4-K6YFP.exe » INNO » {tmp}\rb.exe » INNO » {app}\registrybooster.exe - a variant of Win32/RegistryBooster.D potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite PS-E9NV5-CFKHK-UCGC7-CQZ85-L6BH4-K6YFP.exe » INNO » {tmp}\sp.exe » INNO » {app}\sump.exe - a variant of Win32/SpeedUpMyPC.H potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite.exe » INNO » {tmp}\rb.exe » INNO » {app}\Launcher.exe - a variant of Win32/RegistryBooster potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite.exe » INNO » {tmp}\rb.exe » INNO » {app}\registrybooster.exe - a variant of Win32/RegistryBooster.D potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/powersuite.exe » INNO » {tmp}\sp.exe » INNO » {app}\sump.exe - a variant of Win32/SpeedUpMyPC.H potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/registrybooster RB-83KVK-GTYBA-V2K22-ZUWPM-DQK4P-2C32Z.exe » INNO » {app}\Launcher.exe - a variant of Win32/RegistryBooster potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/Programme/Uniblue Programme/registrybooster RB-83KVK-GTYBA-V2K22-ZUWPM-DQK4P-2C32Z.exe » INNO » {app}\registrybooster.exe - a variant of Win32/RegistryBooster.D potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Elmar/Documents/StellarPhoenixWindowsDataRecovery-Home_PPCS.exe » WISE » stubWrapperRemote.exe » NSIS » Script.nsi - Win32/Toolbar.Conduit potentially unwanted application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Public/Documents/Downloaded Installers/{6FF69967-0BFE-4F14-B6DF-E73783E52340}/setup.msi » MSI » app.cab » CAB » F5fedfdf90c2b4567a5edbf92262a6182 - a variant of Win32/UwS.SlimDrivers.A application
/media/sdc1-usb-WDC_WD3200AAJB-0/Users/Public/Documents/Downloaded Installers/{8AE269B5-4133-4FFC-9896-D718886D7D8F}/setup.msi » MSI » app.cab » CAB » Fe40ebec7b471432eaedb98be7633658b - a variant of Win32/UwS.SlimDrivers.A application
         
Macht es jetzt Sinn hier mal zu versuchen, ESET das bereinigen zu lassen, oder ist es besser nach eurem Schema zu versuchen, den Rechner wieder sauber zu bekommen.
Die HDD habe ich schon mal auf eine externe Festplatte kopiert.

Vielen Dank für eure gute Arbeit und Hilfe!!

Geändert von cosinus (22.07.2019 um 08:10 Uhr) Grund: code tags

Alt 15.07.2019, 19:31   #2
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert - Standard

Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert







Diese Masche gibt es nun schon seit über 8 Jahren... es wundert mich schon sehr, dass es immer noch genügend Menschen gibt, die darauf hereinfallen.


Alle betroffenen Geräte sind auf Werkseinstellungen zurücksetzen bzw. es ist eine Neuinstallation durchzuführen und alle Passwörter sind zu ändern.
Alles andere ist nicht zu vertreten.




Bitte lesen:
Betrüger geben sich als Mitarbeiter des Microsoft-Supports aus
__________________

__________________

Geändert von M-K-D-B (15.07.2019 um 19:36 Uhr)

Alt 21.07.2019, 09:13   #3
samthron
 
Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert - Standard

Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert



Hallo M-K-D-B,

das mit der Neuinstallation hatte ich fast befürchtet..
Es ist halt leider noch nicht wirklich in den Allerwelts-Medien angekommen, dass das doch viele nicht auf dem Schirm haben (leider).

Trotzdem Danke für deine Mühe und die gute Arbeit, die ihr mit diesem Dienst leistet!
__________________

Antwort

Themen zu Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert
besser, dinge, eingefangen, externe festplatte, festplatte, folge, folgende, gen, handy, hilfe!, installiert, langsam, malware, microsoft, microsoft anruf, neue, notebook, onlinebanking, platte, rechner, router, tmp, variant, versuche, virus, win, windows



Ähnliche Themen: Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert


  1. Windows 7: "Microsoft Security Essentials" meldet FRST.exe als Trojaner
    Netzwerk und Hardware - 04.05.2019 (4)
  2. Telefonat mit vermeintlichem "Microsoft-Mitarbeiter". Plagegeist durch Neuaufsetzen entfernt?
    Plagegeister aller Art und deren Bekämpfung - 10.12.2016 (27)
  3. "TR/Crypt.XPACK.Gen" in "C:\Program Files\WindowsApps\Microsoft.NET.Native.Framework.1.3_1.3.23901.0_x86__8wekyb3d8bbwe\SharedLibrary.dll"
    Log-Analyse und Auswertung - 06.06.2016 (6)
  4. Windows 10 gesperrt nach Fake-Anruf (Betrug) "Microsoft"
    Log-Analyse und Auswertung - 11.03.2016 (38)
  5. Neuer Schutz: Microsoft kündigt "Threat Protection" für Windows 10 an
    Nachrichten - 10.03.2016 (0)
  6. Windows 10 gesperrt nach Fake-Anruf (Betrug) "Microsoft" (II)
    Log-Analyse und Auswertung - 05.03.2016 (1)
  7. Nach "Microsoft Anruf" Gerät gesperrt -> "Kennwort für Systemstart"
    Log-Analyse und Auswertung - 04.07.2015 (14)
  8. Windows 7 64bit Notebook "Snapdo" dauerhaft in der Taskleiste
    Log-Analyse und Auswertung - 03.07.2015 (11)
  9. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  10. E-Mail Weiterleitung "gekapert" und aktiv für Spam missbraucht
    Überwachung, Datenschutz und Spam - 03.07.2014 (5)
  11. Notebook bootet nicht, Fehlermeldung "windows\system 32\drivers\aswRvrt.sys" "status: 0Xc0000221"
    Plagegeister aller Art und deren Bekämpfung - 18.06.2013 (17)
  12. Frage zu: "Microsoft zieht Sicherheitsspatch für Windows und Windows Server zurück"
    Alles rund um Windows - 16.04.2013 (1)
  13. "Windows Recovery" mit Malwarebytes entfernt -- Notebook evtl. noch nicht sauber?
    Log-Analyse und Auswertung - 25.06.2011 (18)
  14. "muxyi.exe" und Fehler bei Rechte zu "C:\ProgramData\Microsoft\Windows"
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (5)
  15. Microsoft, Windows und Google: "Eine kaum zu übersehende Ironie"
    Nachrichten - 02.06.2010 (0)
  16. Frage zum Neuaufsetzen ( "Client für Microsoft Netzwerke" / "Druckerfreigabe")
    Alles rund um Windows - 28.04.2010 (1)
  17. firefox "gekapert" => Windows bootet nicht => virus!?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2008 (5)

Zum Thema Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert - Hallo, ein Bekannter hat einen "Microsoft Mitarbeiter" auf sein Notebook gelassen, weil sein Rechner (auch tatsächlich) so langsam ist und sich einen Virus eingefangen hat. Er hat sich dann einen - Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert...
Archiv
Du betrachtest: Windows 10 Notebook von "Microsoft Mitarbeiter" gekapert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.