Zahlungsaufforderung via MS-Karte
 

Hallo zusammen,
ich habe ein Notebook von einem Bekannten, daher kann ich nur Infos weitergeben, die er mir auch gegeben hat und hoffe, dass es so stimmt wie er sagt.

Er hatte ein Bild mit einer Zahlungsaufforderung via MS-Karte bekommen. Ob das Gerät jetzt Malware hat, kann ich so nicht sagen. Was ich sagen kann:
- Aufgetreten ist das am 4.12. (er hat leider spät reagiert)
- Im Papierkorb sind einige Schmuddelbildchen und evtl. auch das Bild von der Zahlungsaufforderung (habe sie dort gelassen). Sieht nach vielen Duplikaten, mit gleichem Namen aus
- Auf dem Desktop ist seit dem Tag Ultraview
- Im Verlauf vom Firefox und dem Tag ist AnyDesk, Connectwise und ScreenConnect
- In den Diensten sind Auffälligkeiten (AllJoyn, AnyDesk Service, ScreeConnect Client, Ultraviewer Service). Die Dienste habe ich dort mal deaktiviert, glaube nicht, dass diese gewollt da sind.
- Als AV ist dort der MS Defender, der hat beim Fullscan nichts gefunden

Ich gehe davon aus, dass das Gerät nicht ganz sauber ist und würde mich freuen, wenn jemand helfen kann. Danke vorab, FRST habe ich drüber laufen lassen:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.




Wir deinstallieren zuerst ein paar Programme.
Danach brauche ich neue Logdateien von FRST.
Die von dir geposteten waren leider unvollständig.




Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • AnyDesk
  • OpenOffice Updater
  • UltraViewer
  • Websuche (Chrome/Edge)
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hallo Matthias,

danke für die schnelle Rückmeldung und Hilfe. Deinstallation der Programme erfolgreich. Ich hoffe die Logs sind diesmal vollständig:

FRST Logfile:
--- --- ---

Gut gemacht. :daumenhoc


Frag bitte nach, ob die Programme "My Secure" und "SIPCam" bewusst bzw. absichtlich installiert wurden.



Wir führen als Nächstes eine erste Reparatur mit FRST durch.
Basierend auf deiner Rückmeldung und der ersten Reparatur, wird eine zweite Reparatur folgen.

Dies wird einige Minuten dauern, bitte gedulde dich.







Wichtig Hinweise vorab:

• Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
  Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
• Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb geleert.
• Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.

Reparatur mit FRST
HINWEIS AN ALLE MITLESER:
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code:

  ---

  Start::
CreateRestorePoint:
CloseProcesses:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
HKLM\...\Run: [ACMON] => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe********************************************* [0 0] () <==== ACHTUNG [Null Byte? (Fehler=123)]
File: C:\Program Files (x86)\SIPCam\ipc.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client (e854fdf7-2efd-4508-99e5-b3cdf36a1706) => ""="Service"
C:\Users\Siegfried\Downloads\ScreenConnect*.exe
File: C:\program files (x86)\my secure\mysecure.exe
CMD: reg query "HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\My Secure_is1" /S
HKU\S-1-5-21-3457959435-3296736610-2868940507-1002\...\Run: [MicrosoftEdgeAutoLaunch_C516A74CE91FB8540716692425697E9A] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [3911232 2024-11-25] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3457959435-3296736610-2868940507-1002\...\MountPoints2: {bf8a8b72-60f5-11ed-bff0-08606e94d50c} - "F:\HiSuiteDownLoader.exe"
Task: {08C50008-712B-4DA8-A446-56E143DC8E34} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {37DD5EBE-BB69-40CF-898F-D2C246ACDC8E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {4967318F-EA29-473E-87B0-88C2A4B0F469} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {584CB694-832E-40B3-A149-1F31C98FF90A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei <==== ACHTUNG
Task: {6535D2EB-CB69-438F-8D94-CD6FF4145121} - \WPD\SqmUpload_S-1-5-21-3457959435-3296736610-2868940507-1002 -> Keine Datei <==== ACHTUNG
Task: {AF4F7CF7-4722-4863-9EC2-6894C0D735EF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
Task: {C14BE190-D549-4DF7-87ED-F16D37FB730D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
Task: {DE821903-E55E-4B22-BBA2-68ED15CF691A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {DE97705D-4BEB-4C6D-A3A6-B6324C0C9A8C} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Task: {E395DD93-B5DC-4F27-A65A-FB18F25D07A0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {F57B6A83-4009-4476-ADCD-E4726CD59C0D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {FEB2716C-57BC-4A9F-8F17-FB2B9BF59EFB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Task: {FF2B4514-56D1-4D16-AD21-3B1E7C0B2853} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {B4ACBDF8-D5E2-40E8-B2FE-35FBD64B475F} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe  /launch (Keine Datei)
Task: {7C0C03ED-4D20-4255-B657-BB8A2195D44E} - System32\Tasks\Microsoft\Windows\MobilePC\HotStart => {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}
Task: {CE2DE968-E342-40D7-9566-427D45E4A886} - System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor => {EA9155A3-8A39-40B4-8963-D3C761B18371}
Task: {D0248939-9C17-43F2-A3BF-D6FDAC376ECC} - System32\Tasks\Microsoft\Windows\Shell\FamilySafetyUpload => {EBF00FCB-0769-4B81-9BEC-6C05514111AA}
Task: {F50F9C5A-8AB7-403A-AEC2-E4D19BF05AAA} - System32\Tasks\Microsoft\Windows\SideShow\AutoWake => {E51DFD48-AA36-4B45-BB52-E831F02E8316}
Task: {94CD9053-54E4-4574-ADC3-46C128E1EEF8} - System32\Tasks\Microsoft\Windows\SideShow\GadgetManager => {FF87090D-4A9A-4F47-879B-29A80C355D61}
Task: {3141AAC7-DE44-4B29-9D2D-F58CA6F46ABD} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
Task: {0DDB73BB-E9A8-48C7-85F5-43E1321ED4B3} - System32\Tasks\Microsoft\Windows\SideShow\SystemDataProviders => {7CCA6768-8373-4D28-8876-83E8B4E3A969}
Task: {6DFCB649-0769-4F83-BB10-F60F235F6D3D} - System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task => {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}
Task: {872D0E53-FD2E-41E3-B431-698AF82882CE} - System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task => {1B1F472E-3221-4826-97DB-2C2324D389AE}
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => %SystemRoot%\System32\AutoWorkplace.exe  join (Keine Datei)
Task: {4AE018B3-7BD6-4E01-949C-01AAABD535D7} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Siegfried) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe  -> C:\Program Files\SlimCleaner Plus\/doScheduledScan
C:\Program Files\SlimCleaner Plus
Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - Siegfried).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG
FF Notifications: Mozilla\Firefox\Profiles\4oh1lbip.default -> hxxps://www.hd-pornos.net; hxxps://www.hagebau.de
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => nicht gefunden
FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [Keine Datei]
C:\Program Files\mcafee
FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [Keine Datei]
S4 ScreenConnect Client (e854fdf7-2efd-4508-99e5-b3cdf36a1706); C:\Users\Siegfried\AppData\Local\Apps\2.0\QJMTJ45Z.MQ9\DWNCK3DR.CH6\scre..tion_25b0fbb6ef7eb094_0018.0002_a1967656ba52bbdb\ScreenConnect.ClientService.exe [95520 2024-12-04] (Connectwise, LLC -> ) <==== ACHTUNG
Unlock: C:\Users\Siegfried\AppData\Local\Apps\2.0\QJMTJ45Z.MQ9\DWNCK3DR.CH6
Folder: C:\Users\Siegfried\AppData\Local\Apps\2.0\QJMTJ45Z.MQ9\DWNCK3DR.CH6
C:\Users\Siegfried\Downloads\AnyDesk*.exe
Unlock: C:\Users\Siegfried\AppData\Local\Deployment
Folder: C:\Users\Siegfried\AppData\Local\Deployment
CMD: type "C:\WINDOWS\system32\user.config"
File: C:\WINDOWS\system32\user.config
2024-12-28 13:49 - 2024-04-04 11:30 - 000000000 ____D C:\ProgramData\AnyDesk
2024-12-28 13:51 - 2024-04-04 10:58 - 000000000 ____D C:\Program Files (x86)\UltraViewer
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt die Datei fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Zum Abschluss wird das System neu gestartet.
• Poste mir den Inhalt der Datei fixlog.txt mit deiner nächsten Antwort.

Die Programme waren vorher da, erinnern kann er sich nicht. My Secure habe ich über die Systemsteuerung deinstalliert, SIPCam hat keinen Uninstaller, auch nicht in der Registry, Wie bekommt man das am besten runter?

Vielen Dank für die Logdatei.



Ich baue es in die zweite Reparatur mit ein, kein Problem.

Ich bereite im Moment alles vor.

Wir entfernen letzte Reste und überprüfen die Systemdateien auf Fehler.
Dies kann wieder einige Minuten dauern.





Reparatur mit FRST
HINWEIS AN ALLE MITLESER:
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM-x32\...\Run: [ipc] => C:\Program Files (x86)\SIPCam\ipc.exe [118784 2014-07-16] () [Datei ist nicht signiert]
C:\Program Files (x86)\SIPCam
C:\Users\Siegfried\AppData\Local\Apps\2.0\QJMTJ45Z.MQ9\DWNCK3DR.CH6
C:\Users\Siegfried\AppData\Local\Deployment
C:\WINDOWS\SysWOW64\user.config
C:\WINDOWS\system32\user.config
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt die Datei fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Zum Abschluss wird das System neu gestartet.
• Poste mir den Inhalt der Datei fixlog.txt mit deiner nächsten Antwort.

Danke.

Gern geschehen. :)



Als Nächstes holen wir uns noch eine Zweitmeinung bei MBAM und EOS ein.





Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.




Schritt 2
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Haben beide was gefunden:

Gut gemacht. :daumenhoc


Wurden die Funde von MBAM auch entfernt?
Ich frage, weil in der Logatei
steht.

Dein Bekannter sollte besser auf seine Downloadquellen achten. Wie du selbst gesehen hast, haben MBAM und ESET hier einige Elemente erkannt, die unerwünschte Software und Adware enthalten.



Zur abschließenden Kontrolle bitte neue Scans mit FRST und SecurityCheck ausführen.



Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Danke. Ich habe die Logdatei direkt nach den Funden gespeichert und anschließend alle Funde von MBAM entfernen lassen. Ging alles weg.

Das mit den Downloadquellen sage ich ihm. Ist eine etwas ältere Generation.


FRST Logfile:
--- --- ---

Updates ausführen
Die von SecurityCheck bemängelten Programme solltest du aktualisieren (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt).
Die Downloadlinks dazu findest du in der Logdatei von SecurityCheck.





Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit uns und unserer Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Vielen Dank für die schnelle Hilfe.

Silverlight, Quicktime und viele der Asus-Geschichten habe ich schon deinstalliert, den Rest aktualisiere ich gerade.

Lob und Spende gibt es natürlich. Bei mir sind keine Fragen mehr offen, Thema kann geschlossen werden. Ich wünsche dir einen guten Rutsch.

Vielen Dank für die Logdatei und das Feedback.

Einen guten Rutsch ins neue Jahr 2025!




Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.