Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vermeintliche Infektion mit "murofetweekly" (https://www.trojaner-board.de/200801-vermeintliche-infektion-murofetweekly.html)

rednaxela 19.01.2021 21:24
Zitat:
Zitat von cosinus (Beitrag 1746626)
Wieso hast du tresorit drauf, um es mit so einem hack in der Hosts wieder funktionsunfähig zu machen? :wtf:
:) Das ist für das "Tresorit-Laufwerk".... https://tresorit.com/de/features/tresorit-drive

cosinus 19.01.2021 21:29
Ja das weiß ich auch. Du kannst aber schlecht ein Cloud-Laufwerk benutzen, wenn du die dazu benötigte Adresse auf den localhost umlenkst.

rednaxela 20.01.2021 08:51
Ich nehme an, dass die eigentliche Verbindung über die normale Tresorit-Anwendung geht, die einen andere Serveradresse nutzt. Diese lokale Adresse dient vielleicht als lokaler Proxy (der dann mit der lokalen Anwendung spricht)... Evtl. gibt's davon noch ne andere Variante, wo die Adresse anders belegt wird (Firmen-Tresorit oder so)...

cosinus 20.01.2021 09:07
Scripting/Repair mit FRST64
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    Task: {DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    C:\ProgramData\NTUSER.pol
    cmd: netsh advfirewall reset
    emptytemp:
    hosts:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

rednaxela 20.01.2021 10:33
Hallo Cosinus,

hier das Ergebnis aus der fixlog.txt. Der Rechner wurde neu gestartet.

Danke.
Grüße,
Alex

Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 19-01-2021
durchgeführt von **User** (20-01-2021 09:53:10) Run:1
Gestartet von C:\Users\**User**\Desktop
Geladene Profile: **User**
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
C:\ProgramData\NTUSER.pol
cmd: netsh advfirewall reset
emptytemp:
hosts:

*****************

Prozesse erfolgreich geschlossen.
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager" => nicht gefunden
"C:\ProgramData\NTUSER.pol" => nicht gefunden

========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 55185746 B
Java, Flash, Steam htmlcache => 10725366 B
Windows/system/drivers => 6400429 B
Edge => 11320340 B
Chrome => 0 B
Brave => 0 B
Firefox => 1289017361 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 7818 B
**User** => 93959649 B
**Admin** => 94094122 B

RecycleBin => 3689292743 B
EmptyTemp: => 4.9 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:58:33 ====

cosinus 20.01.2021 10:54
Willst du die Kiste eigentlich jetzt so lassen oder neu installieren?
Irgendwie gibt es so keine klare Ansage.

rednaxela 20.01.2021 10:57
:) Mit mittelfristig meinte ich im Laufe diesen Jahres. Vor Sommer, davon gehe ich aus, wird das Chaos hier meine Zeit fressen ...

cosinus 20.01.2021 13:51
Dann mach nochmal Kontrollscans mit MABM und RK.

rednaxela 20.01.2021 23:49
Here we go...

Malwarebytes:
Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 20.01.21
Scan-Zeit: 22:38
Protokolldatei: db4f02dc-5b67-11eb-b885-f832e4bc5f9c.json

-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1130
Version des Aktualisierungspakets: 1.0.36007
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.746)
CPU: x64
Dateisystem: NTFS
Benutzer: HAL\**User**

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 458276
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 16 Min., 13 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Und RogueKiller:
Code:
RogueKiller Anti-Malware V14.8.4.0 (x64) [Jan 13 2021] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19042) 64 bits
Gestartet in : Normaler Modus
Benutzer : **User** [Administrator]
Gestartet von : C:\Users\**User**\Desktop\RogueKiller_portable64_VTChecked.exe
Signaturen : 20210119_102754, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2021/01/20 22:20:53 (Dauer : 00:10:22)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Danke.
Grüße,
Alex

cosinus 20.01.2021 23:51
Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

rednaxela 21.01.2021 20:53
Yieppie :Boogie:

... der Rest wäre hier:
https://www.trojaner-board.de/200848-danke-cosinus.html#post1746786

M-K-D-B 21.01.2021 22:30
Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:44 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132