| |
| |||||||
Diskussionsforum: kryptowehrmann.comWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
09.08.2023, 15:14
| #35 |
 |  kryptowehrmann.com Das teste ich aus Ist - wie erwartet ein Infostealer. Da läuft eine Variante von RedLine. Zum Nachlesen: https://securityscorecard.com/resear...dline-stealer/ (englisch) https://sectank.net/magazin/2023/05/...nter-der-lupe/ (deutsch) Dass du nach dem Starten der Datei nix gesehen hast, ist Absicht. Es passiert auch nix auf dem Bildschirm. Im Hintergrund hingegen schon. Speziell deine Datei macht folgendes: Sie klaut Zugangsdaten für Kryptowährungen, dabei prüft Sie, ob es folgende Pfade auf dem Rechner gibt: "C:\Users\%USERNAME%\AppData\Roaming\Armory" "%LOCALAPPDATA%\COINOMI\COINOMI\WALLETS" "C:\Users\%USERNAME%\AppData\Roaming\ELECTRUM\WALLETS" "C:\Users\%USERNAME%\AppData\Roaming\ETHEREUM\WALLETS" "C:\Users\%USERNAME%\AppData\Roaming\EXODUS\EXODUS.WALLET" "C:\Users\%USERNAME%\Documents\MONERO\WALLETS" "%LOCALAPPDATA%\COINOMI\COINOMI\WALLETS" "%APPDATA%\ELECTRUM\WALLETS" "%APPDATA%\ETHEREUM\WALLETS" "%APPDATA%\EXODUS\EXODUS.WALLET" "%USERPROFILE%\Documents\MONERO\WALLETS" Wenn die Pfade vorhanden sind, wird versucht, jeweils die Walletadressen zu kopieren. Weiterhin wird versucht, Benutzerdaten auszulesen, unter anderem aus Browsern und von FTP-Zugängen und natürlich Wallets: "C:\Users\%USERNAME%\AppData\Roaming\K-Meleon" "%LOCALAPPDATA%\CHROMIUM\USER DATA" "C:\Users\%USERNAME%\AppData\Local\GOOGLE\CHROME\USER DATA" "C:\Users\%USERNAME%\AppData\Local\MAPLESTUDIO\CHROMEPLUS\USER DATA" "C:\Users\%USERNAME%\AppData\Local\IRIDIUM\USER DATA" "C:\Users\%USERNAME%\AppData\Local\7STAR\7STAR\USER DATA" "C:\Users\%USERNAME%\AppData\Local\CENTBROWSER\USER DATA" "C:\Users\%USERNAME%\AppData\Local\CHEDOT\USER DATA" "C:\Users\%USERNAME%\AppData\Local\VIVALDI\USER DATA" "C:\Users\%USERNAME%\AppData\Local\KOMETA\USER DATA" "C:\Users\%USERNAME%\AppData\Local\ELEMENTS BROWSER\USER DATA" "C:\Users\%USERNAME%\AppData\Local\EPIC PRIVACY BROWSER\USER DATA" "C:\Users\%USERNAME%\AppData\Local\UCOZMEDIA\URAN\USER DATA" "%APPDATA%\Thunderbird" Dann lernt das Programm noch deinen Rechner kennen: IP-Adresse Stadt Land aktueller Benutzername Version des Betriebssystems UAC-Einstellungen Administratorrechte vorhanden? PC-Prozessor Grafikkarte Antiviren-Software Antispyware-Software Firewall All das, was dabei rumkommt, jagt der Infostealer erstmal heim. "Daheim" ist die IP 5.42.65.48 an Port 8477. Die IP ist online und wird von einem russischen Unternehmen gehostet. Das bedeutet: wenn nicht dein Antivirenprogramm dazwischengegrätscht ist, hast du einen aktiven Infostealer auf deinem System, der direkt brav erstmal alles nach Hause telefoniert hat, was er gefunden hat. Das bedeutet: über einen anderen Rechner die Zugangsdaten der Dienste ändern, die du nutzt und in der Liste oben jeweils aufgeführt sind. Bei den Kollegen von trojaner-board.de Bescheid geben und jemanden dort bitten, deinen Rechner aus der Ferne zu überprüfen. Die haben das feste Routinen mit Freeware wie Combofix und RKill. Quelle: https://www.antispam-ev.de/forum/showthread.php?42839-Warnung-kryptowehrmann-com-schickt-Malware/page2 Hat übrigens geklapppt mit den Plugin Sehe keine Facebook Werbeanzeigen mehr |
| Themen zu kryptowehrmann.com |
| .com, administrator, anderen, anhang, anmeldung, archiv, dateien, direkt, erhalte, erkennen, exe, folge, folgen, installation, installiert, laden, länger, meldung, passwörter, programme, virus, wichtig, windows, zone, zusammen |
Baum-Darstellung