Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   Trojanerbefall und es gibt kein Ausweg (https://www.trojaner-board.de/203423-trojanerbefall-gibt-kein-ausweg.html)

bittehelft1 31.01.2022 14:02
Trojanerbefall und es gibt kein Ausweg
 
Hallo,

Ich habe ein schweres Problem. Ich war/bin von einem Trojaner / Virus / Rootkit befallen und haben unzähölige neue Laptops, Fritzboxen und sogar Handys neugekauft.

Anfangs dachte ich mit Wrkseinstellungen und neuem Laptop nach unzähligen Neuinstallationen von WIndowns löse ich das Problem: falsch!

Ich hatte den Virus auf dem Iphone, im Router und auf jedem Laptop binnen Sekunden. Später war es klar, dass eine Komponente mit Virus die neue befallen hat. Nun bin ich am verzweifeln. Noch einmal habe ich Fritzbox, Laptop, ein neues Iphone gekauft und der Trojanerr war erneut auf allen Komponenten.

Egal ob ich Partitionen lösche, die ganze Festplatte mit Sicherheitsprogrammen überschreibe. Egal wie: Nach jeder Neuhardware oder Neuinstallation spuckt mir das Mbar wieder den Trojaner aus.

Der erste Scan wirft stets folgendes aus:
Done!
Infected file C:\Windows\System32\atl.dll could not be remediated because backup file is not available
Infected: HKLM\SOFTWARE\CLASSES\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3} --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\CLASSES\ATL.Registrar --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\WOW6432NODE\CLASSES\ATL.Registrar --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\CLASSES\WOW6432NODE\ATL.Registrar --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3} --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3} --> [Trojan.FakeMS.ED]
Infected file C:\Windows\SysWOW64\msinfo32.exe could not be remediated because backup file is not available
Infected file C:\Program Files (x86)\Common Files\Microsoft Shared\MSInfo\msinfo32.exe could not be remediated because backup file is not available
Scan finished
Creating System Restore point...
Cleaning up...
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


Ich spiele weder alte Daten nach einer kompletten Neuinstallation noch stecke ich Wechselmedien (ausser den Maus-Logitech-USB Connector) in ein Laufwerk.

Installiere neue ISO WIndows 11 Systeme. Es gibt weder für mein Mainboard noch für Fritzbox neuere Firmwares.

Bitte helft mir :(

Chriz 31.01.2022 14:15
Hallo, ohne Logfiles wird dir hier niemand helfen können.
Lies dir am besten mal das hier durch:

https://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

lg
Chriz

bittehelft1 31.01.2022 15:10
FRST Additions Logfile:
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-01-2022
durchgeführt von marc (31-01-2022 14:22:29)
Gestartet von C:\Users\USERNAME\AppData\Local\Temp\Temp1_FRST2601.zip
Microsoft Windows 11 Home Version 21H2 22000.469 (X64) (2022-01-30 14:22:00)
Start-Modus: Normal
==========================================================


==================== Konten: =============================


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-1579753822-3021485544-2891836263-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-1579753822-3021485544-2891836263-503 - Limited - Disabled)
Gast (S-1-5-21-1579753822-3021485544-2891836263-501 - Limited - Disabled)
USERNAME(S-1-5-21-1579753822-3021485544-2891836263-1001 - Administrator - Enabled) => C:\Users\USERNAME
WDAGUtilityAccount (S-1-5-21-1579753822-3021485544-2891836263-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 97.0.4692.99 - Google LLC)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 97.0.1072.76 - Microsoft Corporation)
Microsoft Edge WebView2-Laufzeit (HKLM-x32\...\Microsoft EdgeWebView) (Version: 97.0.1072.76 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-1579753822-3021485544-2891836263-1001\...\OneDriveSetup.exe) (Version: 21.220.1024.0005 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{2FA9DAAC-895B-4E99-99D9-DC2965FBE79C}) (Version: 2.87.0.0 - Microsoft Corporation)
Support- und Wiederherstellungs-Assistent von Microsoft (HKU\S-1-5-21-1579753822-3021485544-2891836263-1001\...\a1a734b8150c1d83) (Version: 17.0.7901.7 - Microsoft Corporation)

Packages:
=========
Bang & Olufsen Audio Control -> C:\Program Files\WindowsApps\AD2F1837.BangOlufsenAudioControl_1.26.249.0_x64__v10thvhv+

6ke6 [2022-01-30] (HP Inc.)
Disney+ -> C:\Program Files\WindowsApps\Disney.54664B2CE_1.22.3.0_x64__6rarftub7jt [2022-01-30] (Disney)
Intel® Optane™ Memory and Storage Management -> C:\Program Files\WindowsApps\AppUp.IntelOptaneMemoryandStorageManagement_18.1.1021.0_x64__8j3loiuqe6ctt [2022-01-30] (INTEL CORP)
Microsoft Solitaire Collection -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.6.3102.0_x64__kyg6gzgzbbwe [2022-01-30] (Microsoft Studios) [MS Ad]
Spotify Music -> C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0 [2022-01-30] (Spotify AB) [Startup Task]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [  OptaneIconOverlay] -> {A3AF6F6C-8BED-3D93-8B5D-XXXXXXXXXXXX => C:\Windows\System32\DriverStore\FileRepository\iastorpinningcomponent.inf_amd64_651bb7838aa\OptaneShellExt.dll [2021-08-26] (Intel Corporation -> )
ContextMenuHandlers3: [OptaneContextMenu] -> {AD7EBB13-617D-3270-8FA8-XXXXXXXXXXXX} => C:\Windows\System32\DriverStore\FileRepository\iastorpinningcomponent.inf_amd64_651bb78e61a\OptaneShellExt.dll [2021-08-26] (Intel Corporation -> )

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

2022-01-30 16:09 - 2022-01-30 16:09 - 000137184 _____ (Microsoft Windows -> Microsoft Corporation) [Datei ist nicht signiert] C:\Program Files\WindowsApps\MicrosoftWindows.Client.WebExperience_421.20050.505.0_x64__cw5n1h2txyewy\Dashboard\WebView2Loader.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========


==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2021-06-05 13:08 - 2021-06-05 13:08 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1579854562-3021478544-2891858263-1041\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.179.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{E2D00473-2F5D-46F0-AE68-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_22006.600.1133.7409_x64__8wekyb3d8bbwe\msteams.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{74794379-9AC6-4C57-935A-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_22006.600.1133.7409_x64__8wekyb3d8bbwe\msteams.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{4z89h654-4BC2-41C4-B4EC-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{gre6uh7f-B14E-4BE5-8DC4-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{zg6u699F-4083-A82F-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{2hz5crFD-FC34-4A21-8269-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{AFCB4204-02C6-4C7D-B436-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{7A464161-6B32-4439-AB29-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{0F046A5A-3D5F-4741-B0A4-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{29E2774B-C0EF-47BD-9F92-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{DCF02AD8-A351-4F9E-8966-XXXXXXXXXXXX}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [{39D69602-5403-4DB7-AFA3-XXXXXXXXXXXX}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\97.0.1072.76\msedgewebview2.exe (Microsoft Corporation -> Microsoft Corporation)

==================== Wiederherstellungspunkte =========================

30-01-2022 16:14:39 Windows Modules Installer
30-01-2022 18:13:37 Malwarebytes Anti-Rootkit Restore Point

==================== Fehlerhafte Geräte im Gerätemanager ============


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (01/31/2022 02:13:59 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Microsoft.Sara.exe, Version: 17.0.7901.7, Zeitstempel: 0xb4af6f41
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 10.0.22000.434, Zeitstempel: 0x78dc11b6
Ausnahmecode: 0xe0434352
Fehleroffset: 0x0013ec52
ID des fehlerhaften Prozesses: 0x1d70
Startzeit der fehlerhaften Anwendung: 0x01d816a466559dd5
Pfad der fehlerhaften Anwendung: C:\Users\USERNAME\AppData\Local\Apps\2.0\OR9YCBM3.XG8\NWG990M8.8TR\micr..tion_bdc860fzknb9_0011.0000_bb5a9jizj7j61c2\Microsoft.Sara.exe
Pfad des fehlerhaften Moduls: C:\Windows\System32\KERNELBASE.dll
Berichtskennung: a07e016edb-35ef-4fac-a072-dad3e194dr4db106
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (01/31/2022 02:13:59 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Anwendung: Microsoft.Sara.exe
Frameworkversion: v4.0.30319
Beschreibung: Der Prozess wurde aufgrund einer unbehandelten Ausnahme beendet.
Ausnahmeinformationen: System.Threading.AbandonedMutexException
  bei System.Threading.WaitHandle.InternalWaitOne(System.Runtime.InteropServices.SafeHandle, Int64, Boolean, Boolean)
  bei System.Threading.WaitHandle.WaitOne(System.TimeSpan, Boolean)
  bei Microsoft.Sara.Framework.UI.App.Main(System.String[])

Error: (01/30/2022 04:10:12 PM) (Source: VSS) (EventID: 13) (User: )
Description: Volumenschattenkopie-Dienst-Informationen: Der COM-Server mit CLSID {4mfgtfgz7f-2h22-11d1-9977-c04fbb755} und dem Namen "CEventSystem" kann nicht gestartet werden. [0x8007045b, Der Computer wird heruntergefahren.
]

Error: (01/30/2022 04:10:01 PM) (Source: Microsoft-Windows-AppModel-State) (EventID: 11) (User: COMPUTER)
Description: Microsoft.Windows.ContentDeliveryManager_cw5n1h2tdrcgnhyewy-21777

Error: (01/30/2022 03:25:44 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0x80072EE7
Befehlszeilenargumente:
RuleId= ;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6evfc3f16059f;SkuId=1d87v31h9dtgc49-8da7-4f-92-48g98a1vfv3v31vfv32-f09f-4eb2-bf5a-2ehzih4935e8;NotificationInterval=1440;Trigger=TimerEvent

Error: (01/30/2022 03:25:44 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=31h9dtgc49-8da7-4a7f-ad92-48g98a13

Error: (01/30/2022 03:25:44 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: )
Description: Lizenzerwerb-Fehlerdetails.
hr=0x80072EE7

Error: (01/30/2022 03:25:43 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=31h9dtgc49-8da7-4a7f-ad92-48g98a13


Systemfehler:
=============
Error: (01/31/2022 01:49:40 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{31e7dtgc49-6da7-4a2f-ad92-45d98a1c} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/31/2022 01:49:30 PM) (Source: Microsoft-Windows-NDIS) (EventID: 10317) (User: )
Description: Für den Miniport "Microsoft Wi-Fi Direct Virtual Adapter #2, {99bec9ca-f4a0-45ae-92o7-2c06fa978541}" ist das Ereignis "74" aufgetreten.

Error: (01/30/2022 07:21:35 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.
Error: (01/30/2022 07:07:40 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/30/2022 07:05:14 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/30/2022 05:48:29 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/30/2022 04:20:14 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80240016 fehlgeschlagen: Intel - HIDClass - 3.1.0.4466

Error: (01/30/2022 04:19:57 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80240016 fehlgeschlagen: Intel - HIDClass - 3.1.0.4466


==================== Speicherinformationen ===========================

BIOS: AMI F.08 07/26/2021
Hauptplatine: HP 8811
Prozessor: 11th Gen Intel(R) Core(TM) i7-1165G7 @ 2.80GHz
Prozentuale Nutzung des RAM: 32%
Installierter physikalischer RAM: 16023.54 MB
Verfügbarer physikalischer RAM: 10828.73 MB
Summe virtueller Speicher: 18967.54 MB
Verfügbarer virtueller Speicher: 13648.32 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:953.15 GB) (Free:915.6 GB) (Protected) NTFS

\\?\Volume{o1b3fe8e-85b6-4de9-9c1c-5f9adac2f815}\ () (Fixed) (Total:0.6 GB) (Free:0.08 GB) NTFS
\\?\Volume{4515a2bc-2b77-1d79-87h0-b79c197f741d}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (Size: 953.9 GB) (Disk ID: 9ED9DD77)

Partition: GPT.

==================== Ende von Addition.txt =======================
--- --- ---

cosinus 31.01.2022 15:16
Eine Analyse/Bereinigung ist hier völlig fehl am Platz, macht überhaupt keinen Sinn irgendein frisch nu installiertes Windows sich anzuschauen. Ich weiß auch nicht was dieser Quatsch mit MBAR soll. Was ist denn das für ne Hysterie, dass man auf einem gerade frisch installierten System mit einem Anti-Rootkit-Tool draufgeht :balla:

Ich verschiebe nach Diskussion :kaffee:

bittehelft1 31.01.2022 15:56
Es tut mir leid wenn ich etwas im Zuge des Hilfegesuch falsch gemacht habe. Ich hoffe jemand beteiligt sich auch in diesem Forum um mir helfen zu können.

Mir fehlt in dem Bereich leider das Know How. Dass man hier "drauf geht" mit Quatsch, Hyterie und co ... naja.

Für mein Verständnis und der nochmaligen Anmerkung "Ich habe schon 20 mal das Windows neu gemacht" ist es egal ob es eine alte oder neue Windows Version ist? Ansonsten definiere ich GERADE den Begriff "Rootkit" falsch.

Ich habe hier Hilfe gesucht, da ich GERADE mit neuem Windows ab Minute 1 Probleme habe die nur aus solch einer Richtung stammen können.

Meine Browser geben mit ab Sekunde 1 nur Google.com Ergebnisse mit immer den selben "Domains / Subdomains" aus ... sind trotz Kaspersky und Popupblocker voll mit eingeschobenene Werbereitern und anderem Schrott.

Dass Virenscanner nichts finden - aber Rootkitscanner ist für mich (als Laie) nur logisch - sorry. Übertrieben finde ich es nicht mit immer dem selben Verghalten mit komplett neuen Partitionen, Festplatten-Sektoren Überschreibungen, neuem Windows aus einer ISO (gezogen von gesunden Internetverbindungen / Rechnern) und per Rufus bootbar gemacht.

Diverse psecex CMD Abfragen als NT User mit dem Ergebnis von unfassbar vielen Usern / TCP Verbindungen sind für mcih sehr besorgniserregend. Wenn dann ncoh ein MBAR das einzige ist welches Maleware findet ...

Ich hoffe trotzdem auf eure Hilfe

cosinus 31.01.2022 16:02
Solche Leute wie dich hatten wir schon häufiger. Es ist viel Halbwissen im Spiel und alles was man nicht versteht wird als Indiz oder gar Beweis für ein ultra super fieses rootkit gewertet.

Leute, das führt so zu nix. Wenn deine "erste" Installation befallen war, dann war nur nie, spätestens nach einem Formatieren sind keine der Schädlinge aus der alten Installation bzw aus dem Dateisystem mehr adressierbar.


Zitat:
Diverse psecex CMD Abfragen als NT User mit dem Ergebnis von unfassbar vielen Usern / TCP Verbindungen sind für mcih sehr besorgniserregend
Aha, jetzt kommst du mit psexec an?
Darf man mal erfahren wie du das alles feststellst und warum TCP-Verbindungen, die du nicht näher nennst, unbedingt besorgniserregend sind? Und auch zur Vorgeschichte kein Wort von dir :balla:

schlawack 31.01.2022 16:06
Schon mal auf die Idee gekommen, das es ein Fehlalarm des Malwarebytes Anti-Rootkit-Tool sein könnte? und wenn ich mich recht entsinne, war das immer eine Beta Version, nie eine fertige.

bittehelft1 31.01.2022 16:25
Zitat:
Zitat von cosinus (Beitrag 1762148)
Eine Analyse/Bereinigung ist hier völlig fehl am Platz, macht überhaupt keinen Sinn irgendein frisch nu installiertes Windows sich anzuschauen. Ich weiß auch nicht was dieser Quatsch mit MBAR soll. Was ist denn das für ne Hysterie, dass man auf einem gerade frisch installierten System mit einem Anti-Rootkit-Tool draufgeht :balla:

Ich verschiebe nach Diskussion :kaffee:

Es ist kein Halbwissen sondern noch weniger. Mit Glück Hinweise die helfen meine Situation einzuschätzen.
Ich frage mich wirklich wie man in so einer unsympatischen, unangebrachten Art sein Feedback geben kann. Deine ganzen Aufführungen haben nicht geholfen sondern gingen charakterschwach gegen Hilfesuchende.

Klopfst du dir selbst nach solchem Feedback auf die Schulter und freust dich? :(

Wenn hier Admin/Inhaber/Mod bist dann gratuliere ich dir dazu den Sinn/Zweck dieses Boards verstanden zu haben. Du führst lieber sicher Gespräche mit virenfreien Experten. Denk mal nach? Logik-Fail der Güteklasse A

schlawack 31.01.2022 16:34
Zitat:
Meine Browser geben mit ab Sekunde 1 nur Google.com Ergebnisse mit immer den selben "Domains / Subdomains" aus ... sind trotz Kaspersky und Popupblocker voll mit eingeschobenene Werbereitern und anderem Schrott.
Dazu: belasse es bei dem Windows 10 Defender Virenschutz und nimm für all deine Browser uBlock Orgin als Werbeblocker. Ausserdem: wenn du deine Browser installierst, übernehme mal nix von vorherigen Browserinstallationen. Wenn du den Verdacht hast, Adware könnte sich in deine Browser eingenistet haben, dann scanne mal mit Adwcleaner und lasse Funde damit bereinigen. Zur Kontrolle kannst du auch mit Malwarebytes scannen welches du in den Kontoeinstellungen gleich auf Malwarebytes Free umschalten lassen kannst. Scans mit dem Anti Rootkit Tool von Malwarebytes lass bitte künftig sein.

cosinus 31.01.2022 16:35
Was bitte willst du denn noch hören? Es wurde jetzt deutlich gesagt, dass Schädlinge ein Formatieren nicht überleben.

Und mein Ton war recht deutlich, weil du hier Vermutungen als Fakten hinstellst, iPhone und Router befallen, Schädling greift auf alle Geräteklassen und Betriebssysteme, ohne das und die Vorgeschichte mal zu erläutern.

Jetzt sagt du sogar es sei noch weniger als Halbwissen, was dich aber nicht davon abhält die TCP-Verbindungen und irgendwas mit psexec in deinem Rechner zu prüfen und alles ohne ne Ahnung und nen Plan zu haben als fürchterlich besorgniserregend einzustufen...WAT, echt jetzt? :wtf:

schlawack 31.01.2022 16:42
Zitat:
iPhone und Router befallen
Beides könnte er doch auf Werkseinstellungen zurücksetzen nachdem er beim iPhone eine Datensicherung gemacht hat damit er Bilder usw. darauf nicht verliert. Und beim Router kann er schauen, ob es per Update eine neuere Firmware gibt und ausserdem könnte er das jetztige Gerätepasswort sowie das bisherige W-Lan Passwort ändern.

cosinus 31.01.2022 18:04
Natürlich kann er das machen. Wird ihm aber nicht reichen, da er dann immer noch überall Viren sieht. Denn nur bei ihm schlug der Supervirus zu, der alle Geräteklassen und Betriebssysteme gleichzeitig befallen kann :)

schlawack 31.01.2022 18:18
Zitat:
Zitat von cosinus (Beitrag 1762170)
Natürlich kann er das machen. Wird ihm aber nicht reichen, da er dann immer noch überall Viren sieht. Denn nur bei ihm schlug der Supervirus zu, der alle Geräteklassen und Betriebssysteme gleichzeitig befallen kann :)
Das könnte man dann Paranoia nennen cosinus:crazy:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131