Windows Defender meldet Trojan:Win32/Occamy.C
 

Seit kurzem bekommen ich von Windows Defender die Meldung, dass der Trojaner Occamy.C gefunden und in die Quarantäne verschoben wurde.
Wie werde ich das Problem wieder los?

Vielen Dank für die Unterstützung.

Anbei die Logfiles des Systemscans mit FRST

Systemscan mit FRST - Addition.txt
 

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Zuerst musst du deine illegal installierte Software entfernen, denn davon hast du dir die Malware eingefangen (bzw. von einem Crack, Keygen, etc., den du dafür verwendet hast):
Microsoft Office Professional Plus 2016 - de-de


Bitte lesen:
Cracks, Keygens und andere illegale Software

Zitat von Microsoft:

Gib Bescheid, wenn das erledigt ist.

Hallo Matthias,

Das ist eine überraschende Neuigkeit. Ich habe MS Office 2016 Professional Plus ganz offiziell erworben und im Januar 2018 über hxxp://www.office.com/setup runtergeladen. Anschließend erfolgte die Aktivierung mit dem entsprechenden Lizenzschlüssel.
Soll ich die Software nun deinstallieren und neu aufspielen? Oder gibt es ein Problem mit meinem Lizenzschlüssel?

Ich finde das gar nicht überraschend.

Wir hatten hier schon zahlreiche Themen mit genau dieser Malware.
Alle diese User hatten Microsoft Office illegal aktiviert und sich dabei diese Malware mit auf den Rechner geholt.
Du wärst jetzt der Erste, bei dem das nicht so ist... ;)


Von wo hast du denn deinen Office-Lizenzschlüssel erworben?
Den Kaufbeleg dazu kannst du vorweisen?

Hallo Matthias,

den Lizenzschlüssel habe ich bei atw-Software erworben (highendcomputerstore UG vertreten durch Wolfgang Brockmann). Einen Kaufvertrag bzw. eine Rechnung dazu habe ich auch und kann diese auch vorweisen. Aufgrund meiner persönlichen Daten (Anschrift) möchte ich die Rechnung nur ungerne öffentlich hochladen.

Grüße Frederik.

Servus,



Zum einen sagst du, dass du MSO schon seit 2018 besitzt, andererseits ist in den Logdateien ganz klar zu sehen, dass du das Programm erst vor kurzem installiert hast.
Dann kommt noch hinzu, dass Windows Defender die Schadsoftware erst findet, seitdem Office installiert wurde.

Mir persönlich sind hier zu viele Ungereimtheiten im Spiel. Versteh das bitte nicht falsch, aber das stinkt nach illegaler Software.

Daher bereinige ich den Rechner nur, wenn du Microsoft Office deinstallierst und so lange deinstalliert lässt, bis wir mit der Bereinigung fertig sind.

Das alles ist wirklich seltsam - da gebe ich dir Recht.
Beim Deinstallieren mit Revo Uninstaller ist mir aufgefallen, dass MSO anscheinend am 19.05.19 installiert wurde, obwohl ich eigentlich Anfang 2018 die Lizenz gekauft und installiert habe. Irgendwas stimmt da nicht.
Auf jeden Fall ist Microsoft Office jetzt deinstalliert und ein neuer Scan mit FRST durchgeführt.
Die Logfiles anbei. Wie sehen die nächsten Schritte aus?

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Task: {2F18DDEE-9C8E-4F7E-B68C-97E55EDC0DA8} - System32\Tasks\Clientlizenzdienst(ClipSVC)Mobile => C:\Program Files (x86)\nodejs\node.exe <==== ACHTUNG
C:\Program Files (x86)\nodejs
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
BHO: Kein Name -> {1E144C2A-F9AB-46FE-8A61-4D2B67469C56}' -> Keine Datei
BHO-x32: Kein Name -> {1E144C2A-F9AB-46FE-8A61-4D2B67469C56}' -> Keine Datei
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Ich habe die beiden Schritte durchgeführt. Anbei die Logdateien.

Fixlog
FRST

Addition

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Bereinigen & Neu Starten.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Bereinigen & Neu Starten.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware (MBAM) auf deinen Desktop (Bebilderte Anleitung).

• Installiere das Programm in den vorgegebenen Pfad.
• Starte MBAM.
• Klicke im Anschluss auf Jetzt Scannen, um den Suchlauf zu starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM.

Hallo Matthias,

ich habe die beiden Schritte durchgeführt und die Logdateien beigefügt.

AdwCleaner
MBAM

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich habe den letzten Schritt mit FRST ausgeführt