Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner_Win11 (https://www.trojaner-board.de/206231-trojaner_win11.html)

Jay17 25.02.2023 14:55
Trojaner_Win11
 
Hallo zusammen,

ich habe mir einen Trojaner eingefangen, der mich die ganze Zeit zwingt avira runterzuladen.
Könnt ihr mir helfen?

VG
Jan

M-K-D-B 25.02.2023 15:53
:hallo:




Zitat:
Zitat von Jay17 (Beitrag 1772148)
ich habe mir einen Trojaner eingefangen, der mich die ganze Zeit zwingt avira runterzuladen.
Könnt ihr mir helfen?
Ja, können wir.


Bitte lesen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
Nur mit den passenden Informationen (Logdateien von FRST) können wir helfen.

Vielen Dank für deine Mitarbeit!

Jan17 25.02.2023 17:18
Trojaner_Win11
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo liebes T-Board Team,

habe mir heute einen Trojaner eingefangen.

Im Anhang meine ersten Logfiles.

Danke euch

M-K-D-B 25.02.2023 17:30
Ich habe deine beiden Themen zusammengeführt.


Du hast AdwCleaner und MBAM bereits ausgeführt.
Bitte die dazugehörigen Logdateien mit den Funden posten.

Bin später (Abends) nochmal online.


P. S.:
Und bitte nicht selbstständig irgendwelche Tools herunterladen und ausführen, siehe Regel #6.
Du machst es dadurch (wie ich in den Logdateien sehe) nämlich nicht unbedingt besser. ;)

Jay17 25.02.2023 17:58
MBAM Log
 
Liste der Anhänge anzeigen (Anzahl: 1)
Danke.
Anbei das weitere Log-File.

Jay17 25.02.2023 18:02
...
 
Das sind beide meine Accounts..., da ich Probleme bei der Anmeldung hatte, hatte ich mir einen neuen gemacht.

M-K-D-B 25.02.2023 19:35
Bitte nichts mehr von Chip.de herunterladen, damit fängt man sich nur Unerwünschte Software ein:
Zitat:
PUP.Optional.ChipDe, C:\USERS\J_SCH\DOWNLOADS\CORE TEMP _SRMHX.EXE, In Quarantäne, 583, 562568, 1.0.66091, , ame, , F5980F17F44DA870072C5CE396EB01BF, 2F9079DF89E96A997A910F9243173AC60BFE625501452152F8AB281778E5696B
Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:
  • Chip.de
  • Softonic.de
  • sourceforge.net
  • openoffice.de
  • VLC.de
  • audacity.de
  • gimp24.de
  • jdownloader.org
  • computerbild.de
  • updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.






Wir beginnen mit einem FRST-Fix sowie AdwCleaner.



Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
    IE trusted site: HKU\S-1-5-21-2923060432-2841609682-106420150-1001\...\webcompanion.com -> hxxp://webcompanion.com
    ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Keine Datei
    S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X]
    C:\Program Files (x86)\Lavasoft
    C:\ProgramData\Application Data\Lavasoft
    C:\ProgramData\Lavasoft
    C:\Users\AllUserName\AppData\Local\Lavasoft
    C:\Users\AllUserName\AppData\Roaming\Lavasoft
    DeleteKey: HKCU\Software\Lavasoft
    DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
    DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3cb5cf63-5a00-4917-a73e-392d331e8c2b}
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2923060432-2841609682-106420150-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9327536 2022-12-12] (Lavasoft Software Canada Inc. -> Lavasoft)
    HKU\S-1-5-21-2923060432-2841609682-106420150-1001\...\Run: [] => [X]
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\Windows\system32\MusNotification.exe (Keine Datei)
    Edge Notifications: Default -> hxxps://fastcaptcha.top
    2023-02-25 14:35 - 2023-02-25 14:35 - 000000000 ____D C:\ProgramData\SecuritySuite
    2023-02-25 14:37 - 2023-02-25 14:37 - 000000000 ____D C:\Users\j_sch\OneDrive\Documents\TotalAV
    2023-02-25 14:35 - 2023-02-25 14:35 - 057032312 _____ C:\Users\j_sch\Downloads\TotalAV_Setup.exe
    CMD: type "C:\Users\j_sch\Downloads\SearchReg.txt"

    startpowershell:
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
    endpowershell:
    CMD: netsh winsock reset
    CMD: netsh int ip reset
    CMD: ipconfig /flushdns
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von AdwCleaner

Jay17 26.02.2023 06:57
Weitere Logfiles
 
Liste der Anhänge anzeigen (Anzahl: 2)
Guten Morgen,

anbei die weiteren Logfiles

M-K-D-B 26.02.2023 10:35
Gut gemacht. :abklatsch: :)


Gibt es derzeit noch Probleme mit dem System?
Was ist mit deiner Anfangsbeschreibung, dass ständig Avira installiert werden soll? Wo kam das vor? Tritt das immer noch auf?



Abschließende Kontrolle mit EEK und SC.
Danach gibt es Tipps zum Absichern.





Schritt 1
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von EEK
  • die Logdatei von SecurityCheck

Jay17 26.02.2023 11:54
Weitere Logfiles nach SCAN
 
Liste der Anhänge anzeigen (Anzahl: 2)
anbei die Logfiles.

Danke

M-K-D-B 26.02.2023 12:10
Vielen Dank dafür. :)

Den Fund von EEK kannst du entfernen lassen (sofern noch nicht geschehen).





Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt):




Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:







Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Jay17 26.02.2023 12:52
Log und Danke
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

anbei das Log.

Danke Euch.

Eine kleine Spende ist raus.

Schönen Sonntag euch.

:abklatsch:

M-K-D-B 26.02.2023 20:55
Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131