Windows 10: Trojaner [Trojan:Win32/Occamy.C] und Browsermodifier aufgetaucht.
 

Hallo, heute habe ich von meinem Windows-Defender durch die Schnellsuche eine Trojaner-Datei gefunden (wenn man das so nennen kann). Eine gesamte Durchsuchung gab noch weitere Treffer (siehe Jpg-Anhang).

Die 2 Trojaner die gefunden wurden heißen [Trojan:Win32/Occamy.C] und [Trojan:Win32/Bitrep.B]. Die restlichen schädlichen Dateien sind anscheinend
Browser Modifier. Zum Beispiel [BrowserModifier:Win32/Diplugem].

Ich würde mich sehr über Hilfe freuen, da ich gelesen habe, dass dieser Trojaner ziemlich böse sein kann.

Finn-Jakob

Anbei die Logfiles des Systemscans mit FRST

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Es fehlt die Addition.txt und die .jpg Datei.
Bitte nachreichen.

Addition und Jpg
 

Sry,

hier die Addition:

Windows 10: Trojaner [Trojan:Win32/Occamy.C] und Browsermodifier aufgetaucht.
 

Hi, habe alles gelöscht was mit Tmuf zu tun hat. Das ist ein PC-Spiel. An sich war das nur die unvollständige Demo-Version, die eigentlich gar nicht illegal ist. Ich weiß nur nicht mehr wo ich es heruntergeladen habe, vielleicht hat sich dort der Trojaner eingeschlichen.

Soll ich als Beweis nochmal die Logfiles schicken?

Hi nochmal,

ich habe das Spiel bei Heise.de heruntergeladen. Eigentlich doch seriös oder? Anscheinend gab es dort 2019 einen Hacker-Angriff auf das Netzwerk.

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
E:\ProgramData\{8f9f2fec-619d-08cb-8f9f-f2fec619bfb1}
CloseProcesses:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Windows 10: Trojaner [Trojan:Win32/Occamy.C] und Browsermodifier aufgetaucht.
 

Danke für deine weitere Hilfe =)
Anbei die gewünschten Dateien.

Schritt 1
Führe Emsisoft Emergency Kit gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von Emsisoft
• die Logdatei von RogueKiller

Windows 10: Trojaner [Trojan:Win32/Occamy.C] und Browsermodifier aufgetaucht.
 

So hier die neuen Scans.

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteKey: HKEY_USERS\S-1-5-21-2971441624-1949969398-1562293958-1001\Software\OCS
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich führe jetzt noch den Clean-Up durch und würde danach nochmal vom Windows-Defender eine komplett-Durchsuchung machen lassen. Wenn der nichts mehr findet schreibe ich dir nochmal ob alles geklappt hat. (Ich hoffe das ist ok, würde mir nochmal Sicherheit geben...)

Anbei noch der Inhalt der Fixlog.txt.

Leider wurde Malwarebytes durch das Clean-Up nicht deinstalliert, ist das normal?

Könnte es sein dass das Clean-Up nur funktioniert wenn die Anwendungen und Dateien direkt auf dem Desktop sind? Ich habe sie in einem Ordner auf dem Desktop abgespeichert. Auch die anderen Anwendungen und Dateien wurden nicht entfernt.

MBAM wird nicht entfernt, das stimmt.
Wir empfehlen jedoch sowieso dieses Programm als Zweitmeinung, d. h. zweimal im Monat damit einen Suchlauf starten.



Das Tool durchsucht rekursiv den Desktop und entfernt alles. Das "Problem" bei dir ist, dass du "deinen Desktop" nicht standardmäßig angelegt hast bzw. du dir deinen Desktop auf ein anderes Laufwerk gelegt hast. ;)

Dein Betriebssystem befindet sich auf dem Laufwerk C:\.
Folglich befindet sich der "Standard-Desktop" normalerweise unter C:\users\benutzername\Desktop\.

Bei dir befindet er sich allerdings unter d:
Daher wird bei dir das nicht erkannt. ;)


Es wäre ein leichtes, das Tool so zu ändern, dass es einfach rekusiv auch das Laufwerk D: absucht, aber das würde dann nur unnötig lange dauern und manche user wären verursichert... :D

Wieso musst du auch deinen Desktop auf D:\ anlegen? :zunge: ;)

Danke für die Infos :daumenhoc

Den Desktop habe ich auf D: damit ich so wenig Datein wie möglich auf C: habe. (ist nur eine 120GB SSD wo ich Windows und ein paar Programme drauf haben möchte).

Ok dann verschiebe ich die Dateien und Anwendungen einfach auf den "richtigen Desktop" und starte nochmal den Clean-Up.

Der Scan von Windows-Defender dauert noch ein paar Stunden, hat aber schon jetzt Bedrohungen gefunden. :wtf: Ich schicke dir dann die Ergebnisse vom Scan, wenn er fertig ist.

Soll ich dann zusätzlich nochmal mit was anderem scannen? dann lasse ich FRST und den Rest nämlich noch auf dem Rechner.

Bin jetzt bis heute abend weg, nicht wundern wenn eine Antwort ein paar minuten länger braucht als sonst.

Wir warten die Ergebnisse des Scans ab, dann sehen wir weiter. :)

So Windows-Defender findet einfach mal mehr als beim letzten mal. Passt nichtmal auf 1 Seite. XD :balla:

Also anbei die 2 Jpgs.

Habe 1-mal auf "Aktionen starten" gedrückt.

Also vom Windows-Defender wurden ein paar Anwendungen in Quarantäne gesetzt, andere wurden deaktiviert, bei machen steht "Wartung unvollständig", ich gehe mal nicht davon aus dass der Defender alles rausgeholt hat...

Ich vermute, dass der Windows Defender auch die Quarantäne von AdwCleaner und Co anmeckert.
Ich schaue mir das mal kurz mit FRST an:

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
powershell: Get-MpThreat
powershell: Get-MpThreatDetection
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Ok, hier die Datei. :abklatsch:

Und die nächste "Überraschung"... wieder so eine "Besonderheit" bei dir... ein weiteres Nutzerprofil, dieses mal auf dem Laufwerk E:\, auch noch %Programdata% unter E:\ :rofl:

Auf dem Laufwerk E:\ befindet sich bei dir auch die Quarantäne von AdwCleaner, normal wäre C:\.
Daran sind fast alle Funde von Windows Defender... d. h. Windows Defender meckert Funde an, die AdwCleaner bereits in seine Quarantäne verschoben hat, also bedeutungslos. ;)





Keines Update:
Das TBCleanUpTool entfernt nun auch Tools unter D:\users\benutzername\desktop\. :lach: ;)





Wir entfernen noch die letzten paar Reste, die ich finden kann:

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
HKU\S-1-5-21-2971441624-1949969398-1562293958-1001\Software\Classes\regfile: regedit.exe "%1" <==== ACHTUNG
E:\AdwCleaner
E:\Users\Finn.Katharina-PC\AppData\Local\Temp\*.exe
E:\$Recycle.Bin\S-1-5-21-1340611331-2738064446-3359332511-1002\*.exe
E:\Users\Finn.Katharina-PC\Downloads\*.exe
E:\ProgramData\{B7FE5F3D-E77C-8EBB-56FA-FE3986782DB7}
E:\Users\Finn.Katharina-PC\AppData\Local\Temp\DMR
E:\Users\Katharina\AppData\Local\Temp\OCS
E:\Users\Finn.Katharina-PC\AppData\Local\Temp\*.exe.part
E:\ProgramData\aLhTGOXHapr
E:\Users\Finn\AppData\Local\Temp\*.exe
E:\Users\Finn\Downloads\*.exe
E:\Users\Finn.Katharina-PC\AppData\Local\*.tmp
E:\ProgramData\{8f9f2fec-619d-08cb-8f9f-f2fec619bfb1}
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Danke für die schnelle Antwort, ich werde mich leider erst morgen darum kümmern können.
Dann schicke ich nochmal die geforderten Sachen. Vll kann man dann noch lösen dass der Windows defender nicht mehr meckert... (vll muss ich dafür erst verstehen was die „Quarantäne“
bedeutet, ist ja irgendwie nicht ganz entfernt, oder?).

Sry dass mein PC so „besonders“ ist 😂🙈🙈 sind Festplatten von nem anderen alten pc drin, vll daher die komischen %programmdata% Verzeichnisse.

Wenn du den FRST-Fix ausführst und dann das TBCleanUpTool ausführst, sollte das passen.
Gib einfach wieder Bescheid, sobald zu Zeit hast... kein Stress.

So, hier noch der neue Fixlog.

Ich probiere jetzt auch mal den clean-up nochmal aus. Praktisch fände ich ja schon, wenn der Windows Defender keine Bedrohungen mehr anzeigt die schon in Quarantäne sind. Vll kannst du mir da helfen? Evtl. das Dateisystem anders strukturieren?

Also die folgenden Ordner musst du evtl. noch per Hand löschen:
E:\ProgramData\aLhTGOXHapr
E:\ProgramData\{B7FE5F3D-E77C-8EBB-56FA-FE3986782DB7}
E:\AdwCleaner

Scheinbar hatte FRST da Zugriffsprobleme auf die Festplatte.



Daran können wir nichts ändern, das liegt am Defender.
Wenn er die Quarantäne anderer Tools scannt und basierend auf seiner Datenbank Schadsoftware findet, wird er anschlagen.
Wenn du aber den Ordner E:\AdwCleaner per Hand entfernt hast, sollte das passen. Alles andere sollten wir entfernt haben.



Wenn du das TBCleanUpTool ausgeführt hast, sollte so ziemlich alles an Tools weg sein.


Gib Bescheid, wenn alles erledigt ist. :)

OK, habe die restlichen Verzeichnise gelöscht. Das Clean-Up Tool hat alles entfernt außer die Emisoft-Anwendung und den RogueKiller. Malwarebytes bleibt wie gehabt da, das soll ja auch so sein.

Eine Frage noch, die Trojaner, die in Quarantäne verschoben wurden, können doch eigentlich komplett gelöscht werden oder? Da sollte doch nichts systemrelevantes dabei sein, würde ich jetzt mal denken (verbesser mich wenn ich falsch liege). Dann würde der Windows Defender vll auch nichts mehr anzeigen (Obwohl der anscheinend deaktiviert ist, während Malwarebytes aktiv ist).

Ok.
Dann poste mir bitte die genauen Pfade, wo sich bei dir EEK und RogueKiller befinden bzw. befunden haben.
Dann kann ich mein Tool noch verbessern.



Klar kannst du den Windows Defender auch alles löschen lassen.

Sobald du den Echtzeitschutz von Malwarebytes deaktivierst, sollte sich der Windows Defender selbst aktivieren (oder du machst es unter Einstellungen > Update und Sicherheit > Windows-Sicherheit).

D:\Users\fkrap\Desktop\Virus\RougeKiller
D:\Users\fkrap\Desktop\Virus\Emisoft

Das wären die Dateipfade. In den Ordnern befinden sich dann die Anwendungen und logfiles.

Windows-Defender konnte ich aktivieren =)

Ich werde Malwarebytes ab jetzt ab und zu durchlaufen lassen.

Wenn es für dich ok ist würde ich morgen einen letzten kompletten Durchlauf machen und auch die Dateien in Quarantäne löschen. Danach würde ich dir schreiben ob alles geklappt hat und natürlich eine Bewertung dalassen! ;)

Ok, danke.

Gib Bescheid, wenn alles erledigt ist. :daumenhoc

So Scan ist fertig.
Es wurden keine Bedrohungen gefunden!! :taenzer::applaus:

Jetzt erstmal ein großes

Dankeschön!

Du warst sehr freundlich und hast ohne groß zu reden klare, verständliche Anweisungen gegeben.:daumenhoc
Werde natürlich auch eine Bewertung dalassen.

Falls das selbe Problem nochmal auftaucht weiß ich ja wo ich dich finde =)

Wenn du willst, teste ich noch das Clean-UP Tool für dich. Schreib einfach wenn du es nochmal angepasst hat. Benötigen tu ich es jetzt selber aber nicht mehr.

Damit wäre alles geregelt, du kannst das Thema bei dir rausnehmen.

Dann wünsche ich dir noch alles Gute in unserem schönen Freistaat und bis hoffentlich nie wieder XD (du verstehst....) :abklatsch:

Danke für die gute Zusammenarbeit. :abklatsch:




Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.