Der PC war auf jeden Fall sauber, bis ich mich heute im Büro verbunden habe und es auf meinem Domain-Profil zugegriffen hat (zumindest so viel ich daraus verstehe, vielleicht ist das auch völlig falsch, auf jeden Fall gibt es die E-Banking Meldung wieder, i.e. der Rechner ist nun wieder infiziert).

Wegen des Keyloggers bin ich auch nicht selber auf die Idee gekommen, dies habe ich in einem Post von Tom's Hardware gelesen, habe später aber auf Reddit gelesen, dass es eventuell mit Windows Update verbunden sein kann.

Zitat:

auf jeden Fall gibt es die E-Banking Meldung wieder, i.e. der Rechner ist nun wieder infiziert).

Sag nicht, dass du da immer noch mit Google Chrome rumwurschtelst?

Zitat:

Zitat von cosinus

Sag nicht, dass du da immer noch mit Google Chrome rumwurschtelst?

Die Meldung ist unabhängig vom Browser, habe es jeweils mit FireFox, Chrome und IE ausprobiert. Chrome hatte ich bisher aber nicht deinstalliert, habe ich erst jetzt gemacht.

Dann sollte eure gesamte Firmen-IT mal auf den Prüfstand wenn das tatsächlich so ist

Dies war eigentlich schon der Fall, als ich den Beitrag erstellt hatte und als es gestern gelöst wurde, ging dies auch in allen Browser. Anderen Rechner im Büro können die E-Banking Seite ohne jegliche Meldung besuchen.

Danke auf jeden Fall für den Hinweis, dann werde ich mal eine IT-Beratung kontaktieren.

Naja, Malwarebytes auf den Domaincontroller kannste ja selbst machen

Also vielleicht doch kurz einen Update zum Stand...

Ich habe erst Malwarebytes, dann ESET Online Scanner und anschliessend SecurityCheck laufen lassen. Kein Scan hat eigentlich was gefunden, doch irgendwann entweder nach dem Abschluss von ESET oder SecurityCheck (ganz sicher nicht schon nach dem Abschluss von MBAM). War die E-Banking Meldung wieder verschwunden...

Dieses Mal habe ich vor dem Neustart mein Profil auf dem Server gelöscht (eigentlich nur verschoben, aber so dass er beim Neustart nicht darauf zugreift). Nun scheint die Meldung endgültig verschwunden zu sein, auch nach Neustart im Büro-Domain.

Ich hatte die Beratungsfirma kurz am Telefon, aber da waren die zwei letzten Checks zu Ende und die E-Banking Seite ging wieder wie gewöhnt. Da die Checks auch nichts gefunden haben meinte die Firma es wäre in Ordnung.

Auf jeden Fall bin ich wirklich wahnsinnig dankbar für deine Hilfe cosinus. Die Idee mal Malwarebytes auf dem Domaincontroller laufen zu lassen werde ich auch umsetzten, dankeschön!!

Tja, was ein Abenteuer hier... als ich wieder nach Hause kam war die Malware wieder da. Doch, ich glaub ich habs endlich rausgefunden

Ich poste nun mal hier was das Problem war, vielleicht kann das mal jemanden helfen.

Alle meine HTTPS Zertifikate waren gefälscht, es sah zwar fast alles korrekt aus, nur die Serial Numbers und SHA Codes waren unstimmig. In den ersten FRST Logs, die ich gepostet habe sieht man, dass es eine merkwürdige Datei hat, die in den Whitelists vorkommt. C:\Users\jch\AppData\Roaming\Microsoft\Windows\Contrrt\Everysummer.dll.

Ich habe kurz gegoogled und absolut gar nix zu diesem Name gefunden. Darauf habe ich erst versucht die Datei mit einem DLL Decompiler aufzumachen, doch diese wurde nicht als DLL erkannt. Ich habe sie mit dem Notepad untersucht und in den ganzen Hieroglyphen hab ich "COMODO RSA CA" als Text lesen können. Die Datei war in taskhostw.exe im Hintergrund benutzt.

Ich habe die Datei gelöscht sowie die Einträge im Registry, darauf verschwinden die gefälschten Zertifikate und die Probleme mit dem "^". Dass ich immer wieder infiziert wurde lag wohl am Domän-Profil, der die Sachen im AppData neu lädt.

So kann ich es mir zumindest erklären aber ich bin kein Expert und werde auch gerne belehrt, falls ich etwas falsches gesagt habe.

Zitat:

Alle meine HTTPS Zertifikate waren gefälscht, es sah zwar fast alles korrekt aus, nur die Serial Numbers und SHA Codes waren unstimmig. In den ersten FRST Logs, die ich gepostet habe sieht man, dass es eine merkwürdige Datei hat, die in den Whitelists vorkommt. C:\Users\jch\AppData\Roaming\Microsoft\Windows\Contrrt\Everysummer.dll.

Wie bist du auf diese Datei gekommen? Die wird zwar in FRST aufgelistet, geht aber i.A. eher unter und ich hab auch sonst keinen Anhaltspunkt zu dieser Datei gesehen.

Auswertung dieser Datei bei Virustotal?

Ich habe einfach die FRST Logs angeguckt und Contrrt sowie Everysummer, fand ich relativ merwürkdig. Ich habs gegoogled und das wars. Ich habe sie ganz sicher vom FireFox Installer, der im ersten Malwarebytes Scan gefunden wurde erwischt. Sie hatte nämlich das gleiche Erstellungsdatum und der Installer wurde als Trojan.Malpack erkannt.

Hier die Virustotal Auswertung: https://www.virustotal.com/#/file/96b1120ef417a807c30b3a017ce9462a87371867fe05dbc49a081a7e67d5699d/detection

(Danke für die Website, zum Glück hatte ich die Datei noch im Korb )

Fett. Da war ich wohl betriebssblind.
Auch geil: die Malware wird weder von Malwarebytes noch von ESET gesehen
Derartige Malware macht sich normalerweise woanders noch im FRST-Log sichtbar also sowas hatten wir (bzw ich) schon lange nicht mehr hier


kannst ja nochmal mit Emsi EK rübergehen, Emsisoft AV das ist der einzige scanner den ich noch empfehle außer Windows Defender

Lade Dir bitte von hier Emsisoft Emergency Kit herunter.

• Bitte installiere das Programm in den vorgegebenen Pfad.
• Starte das Programm durch Doppelklick der Desktopverknüpfung.
• Das EEK ist nach dem Laden der Malwaresignaturen für den Scan bereit.
• Folge nun bitte der bebilderten Bildanleitung zu Emergency Kit, entferne alle Funde und poste am Ende des Scans bzw. der Bereinigung das Log.
  

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Emergency Kit - Version 2018.3
Dernière mise à jour : 18.04.2018 23:12:07
Compte utilisateur : SANDERSG\jch
Nom de l'ordinateur : NBJCH
Version du système d'exploitation : Windows 10x64 

Paramètres d'analyse :

Type d'analyse : Analyse anti-malware
Éléments : Rootkits, Mémoire, Traces, Fichiers

Détecter des PUP : Activé
Archives d'analyse : Désactivé
Analyser les e-mails archivés : Désactivé
Analyse ADS : Activé
Filtre d'extensions de fichier : Désactivé
Accès direct au disque : Désactivé

Début d'analyse :	18.04.2018 23:12:47
C:\$Recycle.Bin\S-1-5-21-4260820389-203242751-2565199900-1108\$R61M0CU.dll 	Détectés : Trojan.GenericKD.30612988 (B) [krnl.xmd]

Analysés	78556
Trouvés	1

Fin de l'analyse :	18.04.2018 23:13:57
Durée de l'analyse :	0:01:10

C:\$Recycle.Bin\S-1-5-21-4260820389-203242751-2565199900-1108\$R61M0CU.dll	 Trojan.GenericKD.30612988 (B)

En quarantaine	1
         

Es steht zwar dass ich es in die Quarantäne getan habe, habs danach aber aus der Quarantäne gelöscht.

Sollte ich FireFox eigentlich neu installieren oder wurde die Malware nur mitgeliefert quasi.

Ok - irgendeine Idee wie das Ding reingekommen ist? Das Teil hat nen Datumsstempel vom 29. März (also drei Wochen her und weder Malwarebytes noch ESET sehen das ) - ich tippe auf Schrott-E-Mail

Zitat:

Zitat von RSLB

Ich habe sie ganz sicher vom FireFox Installer, der im ersten Malwarebytes Scan gefunden wurde erwischt. Sie hatte nämlich das gleiche Erstellungsdatum und der Installer wurde als Trojan.Malpack erkannt.

Siehe mein ganz erster Malwarebytes Log im ersten Beitrag.

Leider habe ich Chrome deinstalliert, ich kann nicht schauen woher ich sie habe.

Hier noch der VirusTotal scan für den Installer: https://www.virustotal.com/ui-public/index.html#/file/53cb0911f430570e3e2e1458bbb8518ae71283098316cb3ffbf36d0b5c32e9f2/details

Zitat:

Trojan.MalPack, C:\USERS\JCH\DESKTOP\FIREFOX_SETUP_STUB_58.0.EXE, Quarantined, [3882], [508707],1.0.4754

Davon??
Ist die Frage woher dieser Installer kommt. Der Stubinstaller selbst ist ja sowas wie ein online-installer, lädt sich also während des Setups die zu installierenden Dateien aus dem Netz.

Diese Datei kannst du dir mit allem herunterladen. Dafür ist kein Firefox nötig!

Ne ich meine das war der Installer für FireFox, ich habs mit Chrome heruntergeladen.