Trojan.Script.GenericKDZ.13034 angezeigt
 

Hallo,
ich habe mit meinem PC eine Internetseite besucht. Dummerweise tat ich dies trotz Warnung meiner Bitdefender Internet Security, da ich dachte, es sei die Seite eines mir bekannten Unternehmens.
Die gesuchte Seite des Betriebs wurde auf einer Handwerkerseite angezeigt. Beim Aufrufen der Seite aber war diese Domain nicht besetzt sondern als verfügbar notiert.
In der Warnung von Bitdefender las ich erst danach als Bedrohung den Namen:
"Trojan.Script.GenericKDZ.13034"
Der infizierte PC lässt jetzt keine Verbindung mehr zum Internet und Netzwerkdrucker zu.
Meine Frage ist: Kann ich FRST auf meinem 2.-PC herunterladen (von dem aus ich dies schreibe), auf USB-Stick kopieren und in den infizierten PC stecken, um so den PC zu scannen?
Kann ich das Ergebnis wieder über USB-Stick auf gleichem Weg hochladen?
Gruß und danke für eure Hilfe
ramo
Betriebssystem WIN 10

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Bitte beachte unsere Regeln während der Bereinigung!





Ja, genau das ist die Vorgehensweise, wenn der infizierte Rechner nicht mehr auf das Internet zugreifen kann.

Du kannst den USB-Stick am infizierten Rechner anschließend und dann FRST direkt vom USB-Stick starten. Du musst das Tool nicht auf den Desktop kopieren.
Dann werden die Logdateien auch automatisch auf den USB-Stick abgespeichert. Somit sparst du dir unnötiges Kopieren von Logateien.

Die FRST-Logdateien werden immer in dem Verzeichnis abgespeichert, indem sich das Tool beim Ausführen selbst befindet.

Hallo matthias,
danke für deine Antwort.
ich werde das so machen,
bis dann
ramo

Hallo Matthias,
anbei die 2 Logdateien.

Der vorher gemachte Scan von Bitdefender hat keine Schadware erkannt.
Gruß
ramo

Vielen Dank für die Logdateien.
Führe die folgenden 3 Schritte aus und berichte bitte, ob dein Rechner danach wieder eine Internetverbindung besitzt. Poste auch die Logdateien von MBAM und AdwCleaner.




Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • chip 1-click
  • Pokki
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Hallo Matthias,
mein (infizierter PC ?) kann seit heute morgen wieder ins Internet schon bevor ich die Suchläufe gestartet habe. Evtl lag eines der Probleme auch an meiner Fritzbox. Allerdings hatten die anderen PCs im Haus hatten keinen Internetausfall.

Hier die Logdateien.

Grüße
ramo

Vielen Dank für die Rückmeldung und die Logdateien. Ja, dein PC ist mit Adware und PUP infiziert. Ein Großteil wurde jedoch von AdwCleaner und MBAM schon entfernt.
Das sieht schon mal nicht schlecht aus. Es freut mich, dass das Internet auch wieder funktioniert. :)





Da wurde Einiges an Adware/PUP gefunden. Du solltest diesbezüglich mehr auf deine Downloadquellen achten. Von Chip.de sollte man sich keine Software laden.

Eine kurze Information vorab:






Als nächstes bitte einen Kontrolle mit FRST ausführen.

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hallo Matthias,
danke sehr für deine Hilfe!
Anbei die 2 neuen Logdateien

Gruß
ramo

Mit Schritt 1 entfernen wir verwaiste Reste. Abschließend eine Kontrolle mit ESET.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1959513286-1164510624-2416587490-1001\...\RunOnce: [Application Restart #2] => C:\Users\RM\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe  --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources (Der Dateneintrag hat 577 mehr Zeichen). (Keine Datei)
HKU\S-1-5-21-1959513286-1164510624-2416587490-1001\...\RunOnce: [Application Restart #0] => C:\Users\RM\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe  --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources (Der Dateneintrag hat 577 mehr Zeichen). (Keine Datei)
C:\Users\AllUserName\AppData\Local\SweetLabs App Platform
Task: {01C002C4-7D4E-4363-9E77-6EBFC77D1252} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe /L Analysis (Keine Datei)
Task: {022CDCFC-E456-42E1-BF1C-4E279F22E8CA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {11606EDD-52E1-4F5C-B1C1-7669EABF0F72} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {1E5AA50C-B7CD-4D1B-B1C2-C0BA7DA9C8F4} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Task: {20A19F86-709D-43CD-9704-C346F2071F6C} - System32\Tasks\{9E0AE255-45F4-4CDC-83C8-D4F3DFF2E3C7} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxp://ui.skype.com/ui/0/7.26.0.101/de/eula?source=lightinstaller
Task: {2297A4CC-A2BD-4F7F-9793-BA61285D46FD} - System32\Tasks\{A3FA5FD8-030E-4935-877F-978B49CC3AA0} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxps://ui.skype.com/ui/0/7.30.80.105/de/eula
Task: {2431D044-5DFD-451A-8103-08FC2C783363} - System32\Tasks\{FA585882-563F-461C-8ABA-5FEB7FC832C9} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxps://ui.skype.com/ui/0/7.32.0.104/de/abandoninstall?source=lightinstaller&page=tsBing
Task: {277600BF-8573-42C7-9F4A-2E0735111A2E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Keine Datei)
Task: {64E2C2D7-651F-47D8-9B9C-1BD77BA94766} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Keine Datei <==== ACHTUNG
Task: {6B4F38DC-6499-4108-A3E4-2F405A426E5B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {7491B9B1-3A27-4143-B237-FE71788A2E8C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {768D8D07-D44F-4D8A-9794-F031EA7F597A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Keine Datei <==== ACHTUNG
Task: {85BDB4E0-2D59-4630-8EC7-0E3EE68D05AC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Task: {9E43868B-0B74-4F22-82E4-AEC2DA9F2E4A} - System32\Tasks\{80A12A05-50B9-473B-B04E-0F11BBEE5737} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxp://ui.skype.com/ui/0/7.26.0.101/de/eula?source=lightinstaller
Task: {A1FFB95E-2D38-4DDF-A3F6-E34FEC2C7500} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /u (Keine Datei)
Task: {AB39F21E-97F0-4A72-86FD-2B0AB9F54BA3} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Product Configurator => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\ProductConfig.exe /noreport (Keine Datei)
Task: {B9D13B67-4C21-4453-A2A0-31B11D40EF33} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe /taskrestart (Keine Datei)
Task: {BFF2B934-0903-431E-A1F3-761A52704297} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {CFE9D795-05A2-42BE-9B35-0696DDB63930} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {D5E23362-4899-4825-AE22-A4EFC5417717} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {EFEAE684-8BC6-43A8-86C8-442499BAF377} - System32\Tasks\{2000C72B-312F-4881-9314-0587DE7A2502} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxps://ui.skype.com/ui/0/7.30.80.105/de/eula
Task: {F0F4D775-62CA-409C-AB91-03B2DA58CB0D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\WINDOWS\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\WINDOWS\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
FF ProfilePath: C:\Users\RM\AppData\Roaming\Mozilla\Firefox\Profiles\hobnwsm6.default-1456833538882 [nicht gefunden] <==== ACHTUNG
FF user.js: detected! => C:\Users\RM\AppData\Roaming\Mozilla\Firefox\Profiles\8ovo7mg0.Standard-Benutzer-1520095205953\user.js [2018-05-06]
FF NewTabOverride: Mozilla\Firefox\Profiles\8ovo7mg0.Standard-Benutzer-1520095205953 -> Disabled: _ewMembers_@free.mergedocsonline.com
FF NewTabOverride: Mozilla\Firefox\Profiles\8ovo7mg0.Standard-Benutzer-1520095205953 -> Enabled: {20fc2e06-e3e4-4b2b-812b-ab431220cada}
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Keine Datei]
C:\Users\AllUserName\AppData\Local\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Google\Chrome
C:\Program Files (x86)\Lavasoft
C:\ProgramData\Application Data\Lavasoft
C:\ProgramData\Lavasoft
C:\Users\AllUserName\AppData\Local\Lavasoft
C:\Users\AllUserName\AppData\Roaming\Lavasoft
DeleteKey: HKCU\Software\Lavasoft
DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
S2 HPSupportSolutionsFrameworkService; "C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe" [X]

startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -SignatureScheduleDay Everyday -force
set-mppreference -RealTimeProtectionEnabled $true -force
set-mppreference -OnAccessProtectionEnabled $true -force

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:

CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von ESET

Hallo Matthias,

du schriebst:
"Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen."
Das habe ich gemacht.
Beim Reparaturlauf von FRST wurden jedoch alle Einstellungen meines Firefox-Browsers gelöscht, obwohl der nicht an war.
Das war sehr mühsam, alles wieder einzurichten! :schrei:

Die fixlog-Datei anbei.

ESET online scanner sieht sehr anders aus als von dir vermutet.
Es gibt nach dem Herunterladen der neusten Version keine ERSTEN SCHRITTE und auch keine "empfohlenen Einstellungen" siehe Screenshot.
Wie, mit welcher Einstellung soll ich den ESET laufen lassen?? :confused:

Gruß
ramo

Gut gemacht. :abklatsch:


In der Anleitung stand:
Ich kann deinen Unmut nur teilweise nachvollziehen, denn FRST lässt z. B. Passwörter und Lesezeichen in Ruhe. Deine Aussage, dass "alle Einstellungen" gelöscht werden, stimmt so im Allgemeinen zumindest nicht.
Jedoch war Firefox ziemlich mit Adware "verhunzt", gut möglich, dass hier auch andere Dinge mit entfernt wurden.


Die Leute von ESET ändern auch ständig ihr Tool... :balla:

Wähle den Computerscan aus und folge den Anweisungen. Damit sollte es klappen.
Ich werde die Anleitung in den Ferien anpassen, danke für den Hinweis.

Hallo Matthias,

nach dem Anklicken von ESET Online Scanner lädt dieser (auch wiederholt) die neueste Version herunter.
- Dann klicke ich auf Einverständnis zur Änderung der Einstellungen am PC.
- Dann passiert nichts mehr !

Gruß
ramo

Ok, danke für die Rückmeldung.


Versuch mal bitte alternativ das hier:

Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hallo Matthias,

anbei die txt.-Datei von Rougekiller.

Anmerkung:
Nach der von dir genannten (hier) RougeKiller_portable64.exe muss noch eine weitere Ausführungsdatei ....exe heruntergeladen werden, die am Ende nicht mehr sichtbar ist. Erst dann kann der Suchlauf gestartet werden.

Gruß und Dank
ramo

Danke, gut gemacht. :)




Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Rechtsklicke auf FRST64 und wähle Umbenennen.
• Benenne FRST64 in Uninstall um.
• Starte Uninstall.
• FRST und die dazugehörigen Dateien/Odner werden entfernt.
• Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.

Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.