| |
| |||||||
Log-Analyse und Auswertung: Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.05.2023, 07:03
| #1 |
| |  Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Hallo zusammen, ein Freund von mir hat auf seinem PC einen Emailverlauf geöffnet, Absender war augenscheinlich bekannt, und es war eine Rückanwort. Blöderweise hat er das angehängte PDF geöffnet, was nach meiner ersten Prüfung die Installation eines Trojaners, namens Qakbot-G zur Folge gehabt hat. Bevor ich jetzt weiter schreibe, möchte ich sagen das der PC für die Selbstständigkeit meines Freundes (2 Mann Betrieb, keine GmbH oder sonstiges) verwendet wird und es sich damit strenggenommen um einen Firmenrechner handelt. Ich habe versucht mittels Malewarebytes und dem Microsoft Safty Scanner den Befall los zu werden aber mangels Kenntnis über diese Tools weiß ich leider überhaupt nicht ob es etwas gebracht hat. Ich habe nun die Logfiles FRST erstellt und wollte fragen ob ihr euch das mal ansehen könnt. Am Ende vom Tag denke ich das es Zeit ist dem PC eine SSD zu verpassen und das System neu auf zu setzen aber könnte man den Rechner so noch gefahrlos betreiben oder sollte der nicht mehr ans Netz genommen werden? Vielen Dank führ eure Hilfe. |
|
01.05.2023, 11:03
| #2 | |||
| /// TB-Ausbilder   | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen. Zitat:
Zitat:
In FRST werden einige Reste und verwaiste Einträge eingezeigt. Diese könnte man entfernen. Es werden aber Fehler bzw. Probleme angezeigt, die dringend sind (siehe weiter unten). Zitat:
Error: (05/01/2023 06:28:53 AM) (Source: disk) (EventID: 7) (User: ) Description: Fehlerhafter Block bei Gerät \Device\Harddisk0\DR0. Daher schlage ich folgende Vorgehensweise vor: 1. Alle privaten Daten extern sichern. 2. SSD kaufen und einbauen. 3. Eine saubere Neuinstallation durchführen. |
|
01.05.2023, 11:26
| #3 |
| | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Leider habe ich Malwarebytes schon wieder gelöscht, meines Erachtens samt aller Logdateien, aber ich werde gleich noch mal nachschauen. Das gleiche gilt für die Logdateien von Microsoft.
__________________Ich werde deinen Vorschlag befolgen, eine SSD einbauen und das System neu aufsetzen, könnte mein Kumpel aber den PC die nächsten zwei Wochen so noch am Netz betreiben oder ist davon ab zu raten? Fast alles läuft aktuell bei ihm online, deshalb ist er mindestens auf ein System angewiesen welcher er im Netz betreiben kann. Idealerweise ohne das alle Passwörter abgegriffen werden. Das hier habe ich noch gefunden. Ich hoffe ich habe das richtig verstanden mit dem Posten zwischen Code Tags, wenn das so falsch ist entschuldige ich mich dafür. Code:
ATTFilter
---------------------------------------------------------------------------------------
Microsoft Safety Scanner v1.387, (build 1.387.2703.0)
Started On Sun Apr 30 08:42:50 2023
Engine: 1.1.20200.4
Signatures: 1.387.2703.0
MpGear: 1.1.16330.1
Run Mode: Interactive Graphical Mode
Results Summary:
----------------
No infection found.
Successfully Submitted Heartbeat Report
Microsoft Safety Scanner Finished On Sun Apr 30 08:44:41 2023
Return code: 0 (0x0)
---------------------------------------------------------------------------------------
Microsoft Safety Scanner v1.387, (build 1.387.2703.0)
Started On Sun Apr 30 09:20:13 2023
Engine: 1.1.20200.4
Signatures: 1.387.2703.0
MpGear: 1.1.16330.1
Run Mode: Interactive Graphical Mode
Results Summary:
----------------
No infection found.
Failed to submit MAPS report: 0x80072742
Failed to Create Heartbeat Error task: 0x80070003
Failed to submit clean hearbeat MAPS report: 0x80072742
Failed to Create Heartbeat Error task: 0x80070003
Microsoft Safety Scanner Finished On Sun Apr 30 11:44:45 2023
Return code: 0 (0x0)
---------------------------------------------------------------------------------------
Microsoft Safety Scanner v1.387, (build 1.387.2756.0)
Started On Sun Apr 30 19:44:53 2023
Engine: 1.1.20200.4
Signatures: 1.387.2756.0
MpGear: 1.1.16330.1
Run Mode: Interactive Graphical Mode
Results Summary:
----------------
No infection found.
Successfully Submitted MAPS Report
Successfully Submitted Heartbeat Report
Microsoft Safety Scanner Finished On Sun Apr 30 23:09:45 2023
Return code: 0 (0x0)
Geändert von Dirk955i (01.05.2023 um 11:48 Uhr) |
|
01.05.2023, 13:06
| #4 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen?Zitat:
 HDD sind für das System schon lange nicht mehr zeitgemäß, seit locker 10 Jahren nimmt man ne SSD. Das OS und die Porgramme werden dann darauf installiert, wenn man sehr viele Daten noch hat, muss entweder eine größere SSD her oder man packt die auf eine HDD, die zusätzlich eingebaut wird. Zitat:
 Zustand der HDD/SSD ermittelnUm den Zustand deiner internen HDD/SSD zu ermitteln, benötigen wir die sog. SMART-Werte. Gehe dazu bitte nach dieser Anleitung vor. Das Log von Crystal Disk Info bitte in CODE-Tags posten. Übrigens, der Rechner ist auch schon locker 10 Jahre alt: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.05.2023, 13:53
| #5 | |
| /// TB-Ausbilder | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen?Zitat:
Was wir empfehlen, hat cosinus ja bereits gesagt. |
|
01.05.2023, 15:13
| #6 |
| | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Vielen Dank für eure Antworten und Hilfe. Ich werde eure Ratschläge befolgen und das System mit einer SSD neu aufsetzen, auch wenn man natürlich einen neuen Rechner kaufen könnte. Da aber von dem Gerät null Leistung verlangt wird und Nachhaltigkeit auch ein Thema ist, werde ich ihn eben nochmal retten. Die SSD kann später immer noch Verwendung in einem anderen System finden. Alle weiteren Ratschläge bzgl. wie man ein System sichert, Backups erstellt etc. Versuche ich Mal bei meinem Kumpel zu verinnerlichen aber ob das was wird? Danke euch allen für den Support, dann kann das Thema hier wohl erstmal zu. |
|
01.05.2023, 15:16
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Wenn es egal ist, wie langsam das Gerät läuft, dann kannst du die HDD auch drin lassen und wir bereinigen. Vorausgesetzt, die HDD ist nocht ok.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.05.2023, 17:45
| #8 |
| | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Ich hatte irgendwie für mich mitgenommen das die HDD Schrott ist. Ich werde den Zustand gemäß deiner Anleitung mal auslesen. Code:
ATTFilter
----------------------------------------------------------------------------
CrystalDiskInfo 8.1.0 (C) 2008-2019 hiyohiyo
Crystal Dew World : https://crystalmark.info/
----------------------------------------------------------------------------
OS : Windows 10 [10.0 Build 19045] (x64)
Date : 2023/05/01 17:53:11
-- Controller Map ----------------------------------------------------------
+ Intel(R) 8 Series/C220 Chipset Family SATA AHCI Controller [ATA]
- WDC WD10EZEX-75M2NA0
- PLDS DVD+-RW DH-16AES
- Microsoft-Controller für Speicherplätze [SCSI]
-- Disk List ---------------------------------------------------------------
(1) WDC WD10EZEX-75M2NA0 : 1000,2 GB [0/0/0, pd1] - wd
----------------------------------------------------------------------------
(1) WDC WD10EZEX-75M2NA0
----------------------------------------------------------------------------
Model : WDC WD10EZEX-75M2NA0
Firmware : 01.01A01
Serial Number : WD-WCC3FHNXHS1T
Disk Size : 1000,2 GB (8,4/137,4/1000,2/----)
Buffer Size : Unbekannt
Queue Depth : 32
# of Sectors : 1953525168
Rotation Rate : 7200 RPM
Interface : Serial ATA
Major Version : ACS-2
Minor Version : ACS-3 Revision 3b
Transfer Mode : SATA/600 | SATA/600
Power On Hours : 23233 Std.
Power On Count : 2466 mal
Host Reads : 56165 GB
Host Writes : 67536 GB
Temperature : 23 C (73 F)
Health Status : Vorsicht
Features : S.M.A.R.T., 48bit LBA, NCQ
APM Level : ----
AAM Level : ----
Drive Letter : C:
-- S.M.A.R.T. --------------------------------------------------------------
ID Cur Wor Thr RawValues(6) Attribute Name
01 200 200 _51 000000000857 Lesefehlerrate
03 175 167 _21 0000000008A8 Mittlere Anlaufzeit
04 _98 _98 __0 0000000009AA Start/Stopp-Zyklen der Spindel
05 200 200 140 000000000000 Wiederzugewiesene Sektoren
07 200 200 __0 000000000000 Suchfehler
09 _69 _69 __0 000000005AC1 Betriebsstunden
0A 100 100 __0 000000000000 Misslungene Spindelanläufe
0B 100 100 __0 000000000000 Nnotwendige Rekalibrierungen
0C _98 _98 __0 0000000009A2 Geräte-Einschaltvorgänge
C0 199 199 __0 000000000345 Ausschaltungsabbrüche
C1 134 134 __0 000000030D9F Laden/Entladen-Zyklen
C2 120 _95 __0 000000000017 Temperatur
C4 200 200 __0 000000000000 Wiederzuweisungsereignisse
C5 200 200 __0 000000000006 Aktuell ausstehende Sektoren
C6 200 200 __0 000000000000 Nicht korrigierbare Sektoren
C7 200 200 __0 000000000000 UltraDMA-CRC-Fehler
C8 200 200 __0 000000000000 Schreibfehlerrate
F0 _72 _72 __0 00000000516F Kopfpositionierungszeit
F1 200 200 __0 0020FA03B026 LBA geschrieben (gesamt)
F2 200 200 __0 001B6CB749BD LBA gelesen (gesamt)
-- IDENTIFY_DEVICE ---------------------------------------------------------
0 1 2 3 4 5 6 7 8 9
000: 427A 3FFF C837 0010 0000 0000 003F 0000 0000 0000
010: 2020 2020 2057 442D 5743 4333 4648 4E58 4853 3154
020: 0000 0000 0000 3031 2E30 3141 3031 5744 4320 5744
030: 3130 455A 4558 2D37 354D 324E 4130 2020 2020 2020
040: 2020 2020 2020 2020 2020 2020 2020 8010 4000 2F00
050: 4001 0000 0000 0007 3FFF 0010 003F FC10 00FB 0110
060: FFFF 0FFF 0000 0007 0003 0078 0078 0078 0078 0000
070: 0000 0000 0000 0000 0000 001F 970E 0006 004C 004C
080: 03FE 001F 746B 7D61 4123 7469 BC41 4123 407F 003C
090: 003C 0000 FFFE 0000 0000 0000 0000 0000 0000 0000
100: 6DB0 7470 0000 0000 0000 0000 6003 0000 5001 4EE2
110: B583 A4E4 0000 0000 0000 0000 0000 0000 0000 4018
120: 4018 0000 0000 0000 0000 0000 0000 0000 0029 0000
130: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
140: 0000 0000 0004 0000 0000 0000 0000 0000 0000 0000
150: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
160: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
170: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
180: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
190: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
200: 0000 0000 0000 0000 0000 0000 3035 0000 0000 0000
210: 0000 0000 0000 0000 0000 0000 0000 1C20 0000 0000
220: 0000 0000 107E 0000 0000 0000 0000 0000 0000 0000
230: 0000 0000 0000 0000 0001 1000 0000 0000 0000 0000
240: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
250: 0000 0000 0000 0000 0000 6FA5
-- SMART_READ_DATA ---------------------------------------------------------
+0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +F
000: 10 00 01 2F 00 C8 C8 57 08 00 00 00 00 00 03 27
010: 00 AF A7 A8 08 00 00 00 00 00 04 32 00 62 62 AA
020: 09 00 00 00 00 00 05 33 00 C8 C8 00 00 00 00 00
030: 00 00 07 2E 00 C8 C8 00 00 00 00 00 00 00 09 32
040: 00 45 45 C1 5A 00 00 00 00 00 0A 32 00 64 64 00
050: 00 00 00 00 00 00 0B 32 00 64 64 00 00 00 00 00
060: 00 00 0C 32 00 62 62 A2 09 00 00 00 00 00 C0 32
070: 00 C7 C7 45 03 00 00 00 00 00 C1 32 00 86 86 9F
080: 0D 03 00 00 00 00 C2 22 00 78 5F 17 00 00 00 00
090: 00 00 C4 32 00 C8 C8 00 00 00 00 00 00 00 C5 32
0A0: 00 C8 C8 06 00 00 00 00 00 00 C6 30 00 C8 C8 00
0B0: 00 00 00 00 00 00 C7 32 00 C8 C8 00 00 00 00 00
0C0: 00 00 C8 08 00 C8 C8 00 00 00 00 00 00 00 F0 32
0D0: 00 48 48 6F 51 00 00 00 00 00 F1 32 00 C8 C8 26
0E0: B0 03 FA 20 00 00 F2 32 00 C8 C8 BD 49 B7 6C 1B
0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
100: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
160: 00 00 00 00 00 00 00 00 00 00 84 00 10 2C 01 7B
170: 03 00 01 00 02 75 05 00 00 00 00 00 00 00 00 00
180: 00 00 01 02 00 00 00 00 00 00 00 00 00 00 00 00
190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 38
-- SMART_READ_THRESHOLD ----------------------------------------------------
+0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +F
000: 10 00 01 33 C8 C8 00 00 00 00 00 00 00 00 03 15
010: 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00
020: 00 00 00 00 00 00 05 8C 00 00 00 00 00 00 00 00
030: 00 00 07 00 C8 C8 00 00 00 00 00 00 00 00 09 00
040: 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 00 00
050: 00 00 00 00 00 00 0B 00 00 00 00 00 00 00 00 00
060: 00 00 0C 00 00 00 00 00 00 00 00 00 00 00 C0 00
070: 00 00 00 00 00 00 00 00 00 00 C1 00 00 00 00 00
080: 00 00 00 00 00 00 C2 00 00 00 00 00 00 00 00 00
090: 00 00 C4 00 00 00 00 00 00 00 00 00 00 00 C5 00
0A0: 00 00 00 00 00 00 00 00 00 00 C6 00 00 00 00 00
0B0: 00 00 00 00 00 00 C7 00 00 00 00 00 00 00 00 00
0C0: 00 00 C8 00 C8 C8 00 00 00 00 00 00 00 00 F0 00
0D0: 00 00 00 00 00 00 00 00 00 00 F1 00 00 00 00 00
0E0: 00 00 00 00 00 00 F2 00 00 00 00 00 00 00 00 00
0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
100: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 3A
|
|
01.05.2023, 17:51
| #9 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.05.2023, 17:55
| #10 | |
| | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen?Zitat:
Soweit ich weiß ist auf dem Rechner so gut wie nichts mehr lokal gespeichert was benötigt wird, die ganzen wichtigen Daten sind auf irgendwelchen Servern und die benötigten Programme sind alle online und browserbasiert. Dann sind sowohl die Schadsoftware als auch die ganzen alten Installationen verschwunden. |
|
01.05.2023, 20:54
| #11 |
| /// TB-Ausbilder | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Das halte ich für die beste Entscheidung.  |
|
03.05.2023, 16:30
| #12 |
| /// TB-Ausbilder | Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema. Jeder andere bitte hier klicken und ein eigenes Thema erstellen. |
|
| Themen zu Qakbot-G Befall durch Mailanhang - Entfernung möglich oder System neu aufsetzen? |
| absender, aufsetzen, befall, betrieb, entfernung, erstellt, folge, frage, fragen, freund, hallo zusammen, installation, logfiles, microsoft, namens, neu, nicht mehr, pdf, qakbot, rechner, scan, scanner, system, tools, überhaupt, zusammen |
Linear-Darstellung
