Windows 10: Eset Online Scanner findet "Win32/Kryptik.KGY" im Arbeitsspeicher - und nu?
 

Hallo ihr Hilfreichen!
Siehe Überschrift...

Grund des scans war, das mir an der Eingabeaufforderung eines abgeschlossenen Backup Batchprozesses eine URL angezeigt worden ist...

Danke schon mal...

ESET Log:
FRST.txt:
addition.txt:

Siehe Meldung. Offensichtlich hast du dir nämlich garnichts von der Meldung durchgelesen.

Hi und danke,
ESET hat den Trojaner aus dem Arbeitsspeicher entfernt.
Ich bin davon ausgegangen, anhand von anderen Beiträgen die ich ergoogelt hatte, dass damit die Sache aber noch lange nicht erledigt ist.
Deswegen dieser Post.

Dann eben nochmal. Lies die Meldung nochmal richtig. Und welche Datei angemeckert wurde.

Ach so, du beziehst dich auf die Datei die gelöscht worden ist, okay.
Die empfand ich als nicht erwähnenswerten Fehlalarm.
Gehört zu einer schon lange nicht mehr in Betrieb befindlichen smart Home Steuerung.

Sorry, das hätte ich natürlich gleich dabei schreiben sollen.

Sorge macht mir halt nur der Trojaner den Arbeitsspeicher war.
Aber vielleicht liege ich da ja falsch?

Du hast es immer noch nicht verstanden...obwohl du weißt, dass die Datei ein Fehlalarm war.

Danke dir für deine Hilfe.
Thema kann geschlossen werden.

So, jetzt hab ich mal selbst richtig hingeschaut....das sind unterschiedliche Einträge. Ich dachte die ganze Zeit du meinst den Eintrag über den TFTP-Server und hab hier wieder unnötige Panik vermutet (die hatten wir in letzter Zeit wieder viel :o)

Du hast Malwarebytes installiert - wo sind die Logs dazu oder gab es nie Funde?

MBAM hatte ich schon ewig nicht mehr benutzt, gleich nach dem ESET Fund bin ich brav den Anleitungen hier gefolgt und habe diese Frage hier erstellt. :-)
Meldungen durch MBAM gabs in der Vergangenheit von selbst auch keine.


MBAM log:

Störende, veraltete oder unnötige Programme deinstallieren

Bitte über Programme und Features (appwiz.cpl) deinstallieren:

7-Zip 18.01
AnyDesk 3.1.1
Audacity 2.1.2
CCleaner
EaseUS Partition Master 12.10 Trial Edition
KeePass Password Safe 1.38
OpenOffice 4.1.7
VLC media player 2.2.4

...erledigt.
Die genannten PRogramme sind deinstalliert.

adwCleaner

Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei in CODE-Tags.

Und hier das log:

adwcleaner bitte zwecks Kontrolle wiederholen

...keine funde

Dann bitte jetzt neue FRST-Logs.

Danke.
Hier noch mal neue FRST logs:

FRST Logfile:
--- --- ---





FRST Additions Logfile:
--- --- ---

:wtf:

hast du das veranlasst?

Nicht das ich wüsste.
Ich halte mich an die Anleitungen hier und mache nicht mehr oder weniger. :-)
Ist ja nicht das erste mal

Scripting/Repair mit FRST64

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {53C8C371-BCFE-4109-9DBB-437DE685A090} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
testsigning: ==> 'testsigning' ist aktiviert. Prüfung auf eventuelle nicht-signierte Treiber durchführen <==== ACHTUNG
C:\ProgramData\NTUSER.pol
emptytemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Und nun das fixlog:

An für sich wären wir durch oder ist noch was offen?
Kontrollscans noch mit MBAM und RK?

MBAM meldet schon wieder 2 Funde.
Dateien sind von aktueller Smarthome Steuerung... :wtf:
Was ist "RK" ?

Fehlalarme. RK=RogueKiller

Sorry, hatte erst auf "Bericht" geklickt, dann auf "Entfernung".

Rogue meldet:

Was war denn carla.exe?! :wtf:

Frage ich mich auch, die google Ergebnisse dazu sagen mir nichts.

Falls wir nun fertig sind:
Tausend Dank an dich für deine Hilfe.
Gerne lasse ich, wie immer, eine Spende da.

Und wie immer die Frage, wie Ernst der im Arbeitsspeicher gefundene Trojaner und die vielen "Probleme" nun waren.

Viel war da nicht. Nur ein bisschen Junkware...abgesehen von den Fehlalarmen. Sry nochmal am Anfang, ich hatte erst echt gedacht, der TFTP-Fund bezieht sich auf den Fund im RAM und der Platte :o :wtf:

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.