Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner node.js blockiert durch Malwarebytes nach Audacity Installation. (https://www.trojaner-board.de/200461-trojaner-node-js-blockiert-malwarebytes-audacity-installation.html)

cosinus 29.11.2020 16:15
Ein Fix noch hiermit:

Code:
Start::
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
S3 QALSvc; "C:\Program Files\Acer\Quick Access Service\QALSvc.exe" [X]
S3 QASvc; "C:\Program Files\Acer\Quick Access Service\QASvc.exe" [X]
C:\ProgramData\Norton
End::

nickcave 29.11.2020 16:22
So, gemacht:

Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 29-11-2020
durchgeführt von DrJen (29-11-2020 16:22:04) Run:2
Gestartet von C:\Users\DrJen\Desktop\Neuer Ordner
Geladene Profile: DrJen
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
S3 QALSvc; "C:\Program Files\Acer\Quick Access Service\QALSvc.exe" [X]
S3 QASvc; "C:\Program Files\Acer\Quick Access Service\QASvc.exe" [X]
C:\ProgramData\Norton

*****************

C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\System\CurrentControlSet\Services\QALSvc => erfolgreich entfernt
QALSvc => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\QASvc => erfolgreich entfernt
QASvc => Dienst erfolgreich entfernt
C:\ProgramData\Norton => erfolgreich verschoben

==== Ende von Fixlog 16:22:04 ====

cosinus 29.11.2020 16:52
Firefox-Neuinstallation

Bitte den Firefox komplett neu installieren. Sichere - falls wichtig - vorher wichtige Lesezeichen, gespeicherte Passwörter etc.

1. aktuelles Firefox-Setup (für 64-Bit-Windows) runterladen
2. Firefox deinstallieren
3. den Ordner C:\Programme\Mozilla Firefox manuell löschen falls noch vorhanden
4. Firefox neu installieren über die in (1) heruntergeladene Setupdatei
5. Anschließend nochmal ein neues Profil erstellen siehe Profilverwaltung von Firefox

nickcave 29.11.2020 17:29
Alles klar; gehe ans Werk und melde mich dann wieder

So. Habe den Fox plattgemacht inkl. Ordner auf C, dann neu installiert, neues Profil angelegt und die alten Profile gelöscht.

Was jetzt? Lesezeichen kann ich wahrscheinlich ganz normal wieder aufspielen; aber sonst? Ich hatte ja eine ganze Reihe Addons (Kee für Keepass etwa, ein VPN, https-every u.a.).

cosinus 29.11.2020 17:43
Bitte fang jetzt nicht schon wieder an, das Profil zuzumüllen!

Man braucht nicht für jeden Scheiß ein Addon. Was soll das zB mit Keepass? Firefox hat bereits eine sehr gute Passwortverwaltung. Keepass ist gut zum Dokumentieren von Passwörtern und man kann mit der Autotype-Funktion auch Passwörter automatisch tippen lassen aber wieder ein extra Addon ist doch Unsinn. Ebenso ein Addon für VPN - was soll das? Man stellt mit seinem VPN-Programm wie OpenVPN eine Verbindung her, was soll das Addon für den Browser??? HTTPS-Everywhere ist mittlerweile überflüssig.

Kontrollscans mit MBAM und RK

Wir sind fast fertig. Jetzt ist es an der Zeit für Kontrollscans mit
Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

nickcave 29.11.2020 19:23
Nochmals Thx.

Hier MBytes; nichts gefunden:

Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 29.11.20
Scan-Zeit: 17:53
Protokolldatei: 58d64eb4-3263-11eb-84ca-b89a2abc9a7a.json

-Softwaredaten-
Version: 4.2.3.96
Komponentenversion: 1.0.1122
Version des Aktualisierungspakets: 1.0.33604
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.1198)
CPU: x64
Dateisystem: NTFS
Benutzer: LAPTOP-GSOIF87U\DrJen

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 281540
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 0 Min., 34 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Rogue hat etwas gefunden; soweit ich erkennen kann in einem der alten Firefox-Profile, die ich gelöscht habe:

Code:
RogueKiller Anti-Malware V14.8.0.0 (x64) [Nov 17 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.18363) 64 bits
Gestartet in : Normaler Modus
Benutzer : DrJen [Administrator]
Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe
Signaturen : 20201126_165710, Treiber : Geladen
Modus : Standard-Scan, Löschen -- Datum : 2020/11/29 18:00:25 (Dauer : 00:03:20)
Switches : -minimize

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Löschen ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-21-2935616901-4233973175-2463876436-1001\Software\OCS --  -> Gelöscht
[PUM.SearchEngine (Potenziell bösartig)] browser.search.selectedEngine -- My Firefox Search -> Gelöscht
[PUM.SearchEngine (Potenziell bösartig)] browser.search.defaultenginename -- My Firefox Search -> Gelöscht
[PUM.SearchEngine (Potenziell bösartig)] browser.search.defaultenginename -- My Firefox Search -> Gelöscht
[PUM.SearchEngine (Potenziell bösartig)] browser.search.selectedEngine -- My Firefox Search -> Gelöscht

ERGÄNZUNG Jetzt habe ich ein neues Problem; der Firefox möchte einfach keine Lesezeichen laden (Bibliothek/Lesezeichen/Verwalten/Importieren). Ich kann die alten Lesezeichen nur über die Funktion "Wiederherstellen" in den Browser bekommen; das habe ich gemacht. Prompt springt Rogue aber wieder an mit 2 Funden:

Code:
RogueKiller Anti-Malware V14.8.0.0 (x64) [Nov 17 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.18363) 64 bits
Gestartet in : Normaler Modus
Benutzer : DrJen [Administrator]
Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe
Signaturen : 20201126_165710, Treiber : Geladen
Modus : Standard-Scan, Löschen -- Datum : 2020/11/29 18:56:34 (Dauer : 00:03:07)
Switches : -minimize

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Löschen ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[PUM.SearchEngine (Potenziell bösartig)] browser.search.defaultenginename -- My Firefox Search -> Gelöscht
[PUM.SearchEngine (Potenziell bösartig)] browser.search.selectedEngine -- My Firefox Search -> Gelöscht
Ich habe daraufhin FF wieder deinstalliert und neu installiert. Jetzt findet Rogue nix mehr aber ich kann halt meine Lesezeichen nicht laden. Aber ich habe mich entschieden, mich damit jetzt zu arrangieren; bedeutet, ich nutze eh nur etwa 20 Lesezeichen regelmäßig und die richte ich in dem cleanen Fox jetzt einfach nochmal ein. Fertig.

Falls die Sache damit erledigt sein sollte, was ich hoffe, habe ich noch drei Fragen, die ich schon mal jetzt stelle.

1. Kannst Du noch kurz was dazu sagen, wie gefährlich der Mist war, den ich da drauf hatte? Muss ich mir Sorgen um Daten/Passwörter machen?

2. Was ist mit den Dateien in der Quarantäne von ADW? Ich hab in den Ordner geguckt; dort sind eine Menge Unterordner gespeichert. Kann/Sollte ich das einfach löschen?

3. Ich bin total geplättet, wie schnell man sich sowas einfängt und das auf einem niegelnagelneuen Rechner. Das lässt mich natürlich über meinen alten Rechner nachdenken, den ich weiterhin nutze; der ist seit Jahren im Einsatz. Ich hab zwar McAfee Total Protection drauf (und vorher andere Sicherheitssuiten) und lasse ab und zu Malwarebytes laufen, aber ich bin ziemlich verunsichert.
Deshalb: Nach der Erfahrung würde ich den gerne hier auch durchchecken lassen; ich könnte (wohl am besten in einem neuen Thread) mal das FRST-Log hier reinstellen. Oder wird hier nicht gerne gesehen, wenn ein Rechner keine Warnmeldungen hat und hier Logs gepostet werden?

Dir auf alle Fälle schon mal 1000 Dank bis hier. Echt cool!

cosinus 29.11.2020 20:27
Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

M-K-D-B 02.12.2020 20:45
Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:33 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58