Guten Abend!

Gestern hatte ich über Adobe Portfolie angefangen mal ne Webseite zu erstellen, parallel dazu hatte ich ne Datei herundergeladen zum Thema Manteltarifvertag Nord Baden Württemberg.
Kurze Zeit später meldete Windows das ein Bedrohung gestoppt wurde.
Namentlich: Trojan Dropper:Win64/Tnega!MSR GetX64BTIT.exe
Über das Windows eigene Tool scannte ich die Partitionen und anschließend war Augenscheinlich nichts mehr da. Zur Sicherheit führte ich noch SpybotSearch & Destroy sowie AdwareCleaner und Malewarebytes aus. Die gefunden Infektion wurden in Quarantäne verschoben und nach Neustart gelöscht.
Da ich mir nicht wirklich sicher bin ob auch alle entfernt habe bzw noch ein akute Infektion besteht wende ich mich hoffnungsvoll an euch.

Beste Grüße Micha

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Na da müssen wir aber noch ran.







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKU\S-1-5-21-938536078-584101839-1503160825-1000\...\Policies\Explorer: [] 
  HKU\S-1-5-21-938536078-584101839-1503160825-1000\Environment: [Ordensburg] "powershell.exe"  -windowstyle hidden  -En "PAAjACAAaABvAGkAagBnAGkAcwBmAGcAdQByAHgAIAAjAD4AJAB1AD0AJABlAG4AdgA6AFUAcwBlAHIATgBhAG0AZQA7AGYAbwByACAAKAAkAGkAPQAwADsAJABpACAALQBsAGUAIAAxADMAMAAwADsAJABp (Der Dateneintrag hat 1243 mehr Zeichen). <==== ACHTUNG
  HKU\S-1-5-18\...\Winlogon: [Shell] c:\windows\explorer.exe [4708328 2021-01-14] (Microsoft Windows -> Microsoft Corporation) <==== ACHTUNG
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar243.lnk [2019-11-26]
  ShortcutTarget: Sidebar243.lnk ->  (Keine Datei)
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar365.lnk [2019-11-27]
  ShortcutTarget: Sidebar365.lnk ->  (Keine Datei)
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar410.lnk [2019-11-27]
  ShortcutTarget: Sidebar410.lnk ->  (Keine Datei)
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar68.lnk [2019-11-27]
  ShortcutTarget: Sidebar68.lnk ->  (Keine Datei)
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar764.lnk [2019-11-26]
  ShortcutTarget: Sidebar764.lnk ->  (Keine Datei)
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar855.lnk [2019-11-26]
  ShortcutTarget: Sidebar855.lnk ->  (Keine Datei)
  Startup: C:\Users\Ordensburg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar874.lnk [2019-11-26]
  ShortcutTarget: Sidebar874.lnk ->  (Keine Datei)
  GroupPolicy: Beschränkung ? <==== ACHTUNG
  GroupPolicyUsers\S-1-5-21-938536078-584101839-1503160825-1000\User: Beschränkung <==== ACHTUNG
  GroupPolicyScripts: Beschränkung <==== ACHTUNG
  Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
  Task: {183E5E22-E0F0-48A3-B326-BBFFDBA6C4E4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
  Task: {271CE773-30A2-4538-AB6C-023DE41AA198} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
  Task: {2729263A-2AD0-43DB-8851-D8F08D5B7773} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
  Task: {2930C020-B0F5-4ED2-8279-384A80BE41D0} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
  Task: {2FA94526-0721-48FA-9327-71BBCD3058A2} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Keine Datei <==== ACHTUNG
  Task: {348D0977-82B0-4ED5-86DF-75AAAEAF7938} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
  Task: {41098053-8F0C-448C-8EDB-C9D6BD5CB259} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
  Task: {7629088A-CD98-4F3E-8179-9992F80003F9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
  Task: {91069AE5-6CBB-4047-898C-B0893D723F9A} - System32\Tasks\{425FCB58-7D0E-4FE1-B098-4A9CF784F17C} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\Ordensburg\Desktop\k50v102.EXE -d C:\Users\Ordensburg\Desktop
  Task: {9E2E7F07-76A5-4CEF-826F-54B952E1E457} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Keine Datei <==== ACHTUNG
  Task: {C45DEE3A-F39C-4D9B-8E61-17888B8FC446} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
  Task: {CECCF55C-F699-49B5-8274-A9D5EDF0A780} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
  Task: {D74D0C40-39B1-4578-AD98-941BB2298103} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG
  Task: {E857B83F-DD63-4D35-9926-24A39F0B2EA7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
  Task: {EA619BFD-0DEE-432B-94D1-E82F869FDF80} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
  Task: {F10805DB-DF19-4297-AE4C-448DBD36AA38} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG
  Task: {FED66A4B-3CC9-4C5A-8137-74B0EFA28F6A} - \Microsoft\Windows\Setup\EOONotify -> Keine Datei <==== ACHTUNG
  Task: {FFA7908C-0395-4122-8C64-F7DC1798EEC5} - \Microsoft\Windows\Setup\gwx\rundetector -> Keine Datei <==== ACHTUNG
  FF NewTab: Mozilla\Firefox\Profiles\pr11fjmq.default -> hxxps://de.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10118__190127__yaff
  FF NetworkProxy: Mozilla\Firefox\Profiles\pr11fjmq.default -> proxy_over_tls", false
  FF SearchPlugin: C:\Users\Ordensburg\AppData\Roaming\Mozilla\Firefox\Profiles\pr11fjmq.default\searchplugins\yahoo-lavasoft.xml [2019-01-27]
  FF Plugin: @esn/npbattlelog,version=2.7.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.1\npbattlelogx64.dll [Keine Datei]
  FF Plugin: @videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Keine Datei]
  FF Plugin: @videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Keine Datei]
  FF Plugin: @videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Keine Datei]
  FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Keine Datei]
  CHR DefaultSearchURL: Profile 1 -> hxxps://de.search.yahoo.com/search?p={searchTerms}&fr=yset_chr_syc_oracle&type=default
  CHR DefaultSearchKeyword: Profile 1 -> Yahoo
  CHR DefaultSuggestURL: Profile 1 -> hxxps://de.search.yahoo.com/sugg/ie?output=fxjson&command={searchTerms}&nResults=10
  VirusTotal: C:\Users\Ordensburg\AppData\Roaming\Ordensburg.exe
  C:\Users\Ordensburg\AppData\Roaming\Ordensburg.exe
  AS: Trend Micro Maximum Security (Enabled - Up to date) {2B599D90-3A6C-9B0A-B38C-B1AEC9172680}
  ShellIconOverlayIdentifiers: [     FSOverlayIcon] -> {C0829D19-E5A0-44F5-B56E-D15030C53BB9} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [   FSOverlayIcon] -> {C0829D19-E5A0-44F5-B56E-D15030C53BB9} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Keine Datei
  ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Keine Datei
  ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Keine Datei
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
  HKU\S-1-5-21-938536078-584101839-1503160825-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://de.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10118__190127__yaie
  HKU\S-1-5-21-938536078-584101839-1503160825-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com
  SearchScopes: HKU\S-1-5-21-938536078-584101839-1503160825-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  SearchScopes: HKU\S-1-5-21-938536078-584101839-1503160825-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  SearchScopes: HKU\S-1-5-21-938536078-584101839-1503160825-1000 -> {64959AB7-5700-4F57-9979-2B064C6C16CC} URL = hxxps://de.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default
  SearchScopes: HKU\S-1-5-21-938536078-584101839-1503160825-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://de.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10118__190127__yaie&p={searchTerms}
  BHO: Trend Micro IE-Schutz -> {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} -> Keine Datei
  BHO-x32: Trend Micro IE-Schutz -> {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} -> Keine Datei
  Handler: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} -  Keine Datei
  CMD: reg query HKCU\Software
  CMD: reg query HKCU\Environment
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,
Herzlichen Dank das du dich um mein Problem kümmerst

Den Fix hast du sehr gut ausgeführt.

Zitat:

Gestartet von E:\OneDrive\Desktop

Ähm... warum hast du FRST nicht wieder von "C:\Users\Ordensburg\Downloads\" ausgeführt?
Das mit OneDrive fangen wir gar nicht an, da gabs schon Probleme mit anderen Nutzern.
Ist nicht böse gemeint... ich will nur nicht, dass es unnötige Probleme gibt.


Bitte den FRST-Suchlauf erneut ausführen, dieses Mal wieder vom Download-Ordner oder vom normalen Desktop ("C:\Users\Ordensburg\Desktop\").

Danke für den Hinweis

Gerne!
Gut gemacht.


Schritt 1
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hallo Matthias,
hier der Scan, warum auch immer der nen KMS gefunden hat???
Windows ist legal und das seit Vista Zeiten und Text verarbeitung wird mit OpenOffice bewerkstelligt.

Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
  DeleteQuarantine:
  Unlock: C:\FRST
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Danke für deine Hilfe
anbei der letzte Scan.
Ich hoffe das es das war, herzlichen Dank für deine Mühe.
Eine Spende an das Board folgt

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums.



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.