Windows 10 Pro - Schadsoftware durch Thailand-Pass
 

Hallo liebes Trojaner-Board-Team,

leider wurden wir bei der Anmeldung in Thailand für den Urlaub durch Scam-Mails angegriffen. Link dazu: https://www.thailand-rundreisen.com/coronavirus/thailand-pass-fake-emails-im-umlauf/

Die Thailändische Regierung wurde gehackt und unsere Daten durch Hacker verwendet. Wir haben auf 2 Rechner an 2 E-Mail-Adressen die selbe Mail erhalten und diese leider auch angeklickt (Link) und auch eine Datei (.iso) heruntergeladen.
Auf meinem Rechner hat das AVG Virenprogramm angeschlagen, aber ich bin mir sehr unsicher, ob nicht doch was passiert ist. Auf dem anderen Laptop (Win11) hingegen öffnet sich nun ständig Powershell und das Virenprogramm AVG schickt die Datei in die Quarantäne. Wodurch dieses Programm nicht mehr funktioniert.

Ein Tiefenscan mit Windows und AVG brachte keine Fehler hervor.
Hier die LOG-Dateien von FRST in seperaten Nachtichten:

Ich bedanke mich schon an dieser Stelle für eure Hilfe!! :abklatsch:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Dann poste bitte die Logdatei von AVG mit den Funden. Solche Nacherzählungen helfen uns in der Regel nicht.

Ich gehe davon aus, dass ihr mittlerweile von einem sauberen System alle Passwörter geändert habt? Wenn nicht, sofort nachholen.



Das klingt so, als ob die Malware immer noch aktiv ist. AVG scheit nicht in der Lage zu sein, die Malware zu entfernen. Und wenn AVG die legitime Powershell selbst gelöscht hat, ist AVG wirklich nicht zu gebrauchen und stört nur unsere Arbeit. :killpc:

Eröffne bitte für das Windows 11 Gerät ein neues Thema und poste (wie hier auch) zuerst die Logdateien von FRST mit einer kurzen Problembeschreibung.






Hier kümmern wir uns um das Windows 10 Gerat!


Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • Alles von AVG
  • VLC Plus Player
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von AVG mit dem Fund/mit den Funden
• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Kurze Frage vorab.
Kommt AVG (Antivirus) wieder rauf danach?
Und wo finde ich die Log-Dateien? Welche Endung haben diese?
Die wichtigsten Programme/Apps sind mit doppelter Authentifizierung gesichert über Handy.... Passwörter werde ich dann heute Abend ändern. Bin gerade unterwegs. Dankeschön.

Das ist deine Entscheidung, was du nach der Bereinigung machst. ;)
Tipps und Empfehlungen gibts kostenlos am Ende... so oder so. :D



Wir empfehlen/verwenden AVG nicht, daher kann ich dir diese Frage nicht beantworten.
Aber wenn du AVG verwendest, solltest du es wissen... du kannst AVG ja mal öffnen und nach Protokolle/Berichte/Logdateien/etc. suchen...



Ok, gut.
Dann sehen wir weiter, wenn du wieder zu Hause bist und Zeit hast. :daumenhoc

Hallo, auf der Suche nach den Log-Dateien von AVG habe ich den Ordner C:User/User nicht gefunden und dann gesehen, das dieser "versteckt" war. Dann habe ich da eine Datei *csv (Excel) gefunden, die genau an dem besagten Tag zur Zeit erstellt wurde und wo alle Login Informationen hinterlegt worden sind. Ich könnte heulen.

Nochmal genauer zu dieser Datei.
Diese wurde exakt an dem Tag erstellt, als wir die Mail erhalten und geöffnet hatten.
Sie war "versteckt" im Ordner C:Benutzer/Öffentlich mit dem Dateinamen pass.csv
Es ist eine Exceltabelle und in dieser sind zu jedem Browser auf dem System die gespeicherten Login-Daten mit Passwörter gesammelt.
Ich bin jetzt dabei, alle Passwörter zu ändern und (wo es noch nicht der Fall ist) eine zweite Authentifizierung zu aktivieren, wenn vorhanden. Außerdem werden die neuen Passwörter nicht mehr auf dem System fest hinterlegt...
Bisher ist kein externer Zugriff erkennbar gewesen. Es gibt keine geänderten Daten, Zugriffversuche, gesperrte Konten oder Seiten.
Soviel erstmal dazu.

Vielen Dank für die Logdateien und die Informationen.



Bitte auf deine Downloadquellen achten, Chip.de ist keine verlässliche Quelle.







Die Syncronisierung von Google Chrome verhindert, dass die Adware vollständig entfernt werden kann. ;)
Hier müssen wir jetzt aktiv werden. Zuerst solltest du deine Lesezeichen und ggf. Passwörter von Google Chrome extern sichern damit keine wichtigen Daten verloren gehen.
Dann können wir die Syncronisation zurücksetzen (Schritt 1), Google Chrome komplett deinstallieren und neu installieren (Schritt 2) und eine Kontrolle mit FRST durchführen (Schritt 3).




Schritt 1

• Starte Google Chrome.
• Klicke rechts oben im Profil auf Synchronisation ist aktiviert.
• Klicke anschließend auf Deaktivieren und bestätige nochmals mit Deaktivieren.
• Melde dich in deinem Google Dashboard an.
• Klicke auf Daten löschen und bestätige dies mit Ok. Mit diesem Schritt werden die Daten von den Google-Servern entfernt.
• Melde dich von deinem Google Konto ab.
• Schließe Google Chrome.
• Die Synchronisation musst du nun von jedem anderen Gerät (Computer, Laptop, Tablet, Smartphone, etc.), auf dem du Google Dienste nutzt, deaktivieren, ansonsten kommt die Infektion zurück.
• Erst wenn das alles erledigt ist, kannst du mit dem nächsten Schritt fortfahren.

Schritt 2

• Deinstalliere (sofern installiert) zuerst Backup and Sync from Google über Start > Einstellungen > Apps und starte den Rechner neu auf.
• Deinstalliere Google Chrome über Start > Einstellungen > Apps.
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen .
• Starte den Rechner im Anschluss neu auf.
• Installiere Google Chrome neu (falls benötigt). Vorerst keine Erweiterungen/Plugins installieren und nicht mit einem evtl. vorhandenen Konto verbinden/synchronisieren.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Ich habe mich vom Handy, PC und Tablet abgemeldet und da die Synchronisation deaktiviert. Eigentlich nutze ich nur den Microsoft Edge.
Lesezeichen habe ich exportiert. Die Datei hat die Endung html?
an dieser Stelle:
"Melde dich in deinem Google Dashboard an.
Klicke auf Daten löschen und bestätige dies mit Ok. Mit diesem Schritt werden die Daten von den Google-Servern entfernt"
sagte er mir das es nichts zu entfernen gibt. Da stand überall eine 0.
Habe es trotzdem durchgeführt und danach war mein Profil zum Anmelden auch nicht mehr vorhanden.

Ich habe Google Chrome Deinstalliert mit Google Chrome über Start > Einstellungen > Apps. Aber leider stand da nix mit Haken vor Auch die Browserdaten löschen.
Da ich eigentlich nur den Microsoft Edge Browser benutze, installiere ich erstmal nicht Google Chrome. Nutze diese aber auf dem Handy und Tablet.

Wieso postest du nochmal die alten Logdateien von FRST vom 15.03. (= Dienstag) ?? :wtf: :D

Aktuelle Logdateien von heute Nachmittag/Abend (nach der Entfernung von Chrome) werden benötigt...

Scheinbar ist die Kacke am Dampfen bei mir. Ich könnte nur noch schreien.
Ich habe FRST64 auf dem Desktop gestartet (alle Dateien befinden sich dort) und dann nach dem Scan öffneten sich die beiden Fenster (FRST.txt und Addition.txt) und diese habe ich dann kopiert.
Scheinbar kann ich auf dem Desktop auch keine Dateien löschen, verändern etc. Es wird mir gesagt, ich würde nicht über die Administratorberechtigung verfügen....
Habe den Rechner im Abgesicherten Modus gestartet und die beiden Dateien gelöscht.
Dann Neustart und Scan wiederholt. Jetzt wurden die beiden Dateien wieder angelegt.
Diese füge ich dir nun an.
Scheinbar sollte ich den Rechner platt machen....

Vielen Dank für die Logdateien.

Wir entfernen verwaiste Reste und überprüfen die Windows-Systemdateien, dies kann länger (> 15 min ) dauern, bitte gedulde dich bei Schritt 1. Schritt 2 dient der abschließenden Kontrolle. :)




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3058372221-637954112-1857355818-1000\...\MountPoints2: {21d26c31-127d-11ea-84a0-00d86136cb5f} - "E:\setup.exe"
HKU\S-1-5-21-3058372221-637954112-1857355818-1000\...\MountPoints2: {25b85776-66e9-11eb-84f2-00d86136cb5f} - "E:\setup.exe"
HKU\S-1-5-21-3058372221-637954112-1857355818-1000\...\MountPoints2: {7e599943-d96f-11e9-847b-00d86136cb5f} - "E:\pushinst.exe"
HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\55.0.3.0\GoogleDriveFS.exe --startup_mode (Keine Datei)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
CustomCLSID: HKU\S-1-5-21-3058372221-637954112-1857355818-1000_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\User\AppData\Local\GoToMeeting\18705\G2MOutlookAddin64.dll => Keine Datei
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Keine Datei
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Keine Datei
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Keine Datei
VirusTotal: C:\Users\User\AppData\LocalLow\wbkC042.tmp
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Werde es gleich durchführen alles.
Muss ich Google Chrome auf dem Handy und Tablet auch löschen? Oder ist das hier nicht nötig. Angemeldet habe ich mich von Google.

Ich denke, das wird nicht nötig sein.

Hallo Matthias,

ich habe FRST reparieren ausgeführt und zwischendrin stand immer wieder mal (Programm reagiert nicht). Am Ende aber wurde es scheinbar alles erledigt.
Hier die Datei dazu:
Und danach habe ich FRST gestartet und neu scannen lassen.
Die Ergebnisse sind hier:

Lieben Dank dafür wieder mal.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Rechtsklicke auf FRST64 und wähle Umbenennen.
• Benenne FRST64 in Uninstall um.
• Starte Uninstall.
• FRST und die dazugehörigen Dateien/Odner werden entfernt.
• Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.

Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.





Sollen wir uns das Windows 11 System auch noch anschauen?

Hallo Mathias,

herzlichen Dank für deine Arbeit und Nachrichten.
Ein paar Fragen hätte ich noch, bevor ich die Programme wieder deinstallieren würde.

1) Ich gehe davon aus, das ich mich jetzt wieder am PC, dem Handy und Tablet wieder mit Google anmelden und synchronisieren darf?
2) Google Chrome kommt erstmal nicht mehr auf den Rechner.
3) Ich würde gerne ALLE gespeicherten Passwörter im Browser (Microsoft Edge) löschen. Ich gehe davon aus, dass das auch auf dem Handy und Tablet erfolgen muss wegen der Synchronisation. Kann man Passwörter im Browser speichern, oder sollte man das prinzipiell vermeiden?
3) Nach der erfolgreichen Anmeldung im Google Konto und der Aktivierung der Synchronisierung würde ich gerne noch einmal eine Überprüfung durchführen lassen. Evtl. auch ein zweites Mal einige Tage später. Wäre dies möglich? Ich vertraue mir selbst nicht bei dem was ich da ausgeführt habe und möchte einfach wissen, wie das System in einigen Tagen ausschaut.
4) AVG würde ich erst nach dem Löschen von FRST wieder installieren.

Liebe Grüße
Marcus

Ja.



Ok. Wir empfehlen aus Datenschutzgrunden Firefox, steht aber alles in der verlinkten Anleitung "Maßnahmen zur Absicherung des Rechners" meines letzten Posts. ;)



Wie du Passwörter löschen kannst, steht hier.
Was das Abspeichern im Browser angeht, da scheiden sich die Geister. Ich persönlich speichere auch Passwörter, damit ich sie nicht jedes Mal eingeben muss.



Ich denke, das wird nicht nötig sein. :)



Wir empfehlen AVG nicht... auch die ganze "Zusatzsoftware" von AVG ist unnötiger Belast und hat keinen signifikanten Mehrwert:
In der verlinkten Anleitung "Maßnahmen zur Absicherung des Rechners" meines letzten Posts stehen unsere Empfehlungen.
Wenn du dennoch bei AVG bleiben möchtest, ist das selbstverständlich dein gutes Recht, es ist ja dein System. :abklatsch:

Hallo Matthias.

Wenn ich den Rechner starte und die Datei umbenennen möchte teilt mir der PC mit:

"Sie müssen Administratorberechtigung angeben, um diese Datei umzubenennen".
Auf Fortsetzen zu klicken ändert nichts daran.

Ich logge mich wie immer in meinen PC ein, aber scheinbar habe ich nur "beschränkten" Zugriff....

Was muss ich tun?

So etwas hatten wir auch noch nicht...



Bitte lade dir FRST neu auf deinen Desktop: FRST 64-Bit.
Speichere die neue Datei als FRSTneu ab und führe mit dieser neuen Datei den folgenden Fix aus.

Versuch im Anschluss (nach dem Neustart), die FRSTneu in uninstall umzubenennen.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
Unlock: C:\Users\AllUserName\Desktop\FRST64.exe
C:\Users\AllUserName\Desktop\FRST64.exe
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Hallo.
Ich habe mittels abgesicherten Modus im Neustart das Problem behoben und konnte es dann umbenennen und nach einem erneuten Neustart ausführen.
Nun ist alles "runter", AVG wieder rauf.
Die Passwörter gelöscht.
Neues Benutzerkonto erstellt, alles weitere kontrolliert wie ihr empfohlen habt.

Anschließend Tiefenscan durchgeführt mittels Windows Defender.
Sieht sauber aus ...

Ich werde, wenn es dich nicht zu sehr stört, einen erneuten Scan mit FRST in den nächsten Tagen nochmals machen zur Kontrolle.
Dann wird sich zeigen, ob alles sauber geblieben ist. (Denke dazu muss AVG wieder runter?)

Hab herzlichen Dank.
Falls dir noch was einfällt, was ich vergessen habe, Gib mir bitte Bescheid.

Zu dem System mit dem Win11 melde ich mich demnächst.
Mein Freund hat den Rechner "zurückgesetzt".
Ich werde trotzdem hier einen Scan durchführen und diesen dann hier im Forum hochladen.
Danke für die Nachfrage!!!

Gut gemacht! :)

Dafür kannst du AVG drauf lassen.

Ich behalte dein Thema noch 3-4 Tage in meinen Abos, bis dahin kannst du nochmal einen Suchlauf starten und die Logdateien posten, wenn du möchtest.



Ok. Dann bitte in einem extra Thema.

Hallo Matthias.

Nun sind ein paar Tage vergangen und ich habe eigentlich soweit alles wieder in den "Ursprungszustand" versetzt.
Passwörter sind gelöscht und nicht mehr hinterlegt.
Im Handy habe ich SecureSafe als Passwortmanager und zusätzlich einiges über den Authenticator geschützt.

Schäden, wie unzulässige Zugriffe auf Websites oder Bestellungen, Überweisungen etc., konnte ich keine entdecken. Ich erhalte natürlich weiterhin (auch mein Freund) identische Spam-Scam-Mails. Die werden gelöscht.

Anbei nun der neue Scan von heute, in der Hoffnung, dass das System sauber ist.
Aber das wirst du mir sicher sagen können.
Liebe Grüße
Marcus

Malware ist keine zu sehen. :daumenhoc

Dann wären wir wieder hier.

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.