Windows 10:Trojan:Win32/Ymacco.AA84
 

Hey. Jemand hat mir Link zu einem Torrent geschickt mit einem Spiel und meinte ich soll es mir mal ausprobieren..normalerweise halte ich mich ja von solchem Kram fern, ich hab das nur damals in meiner Jugend vielleicht hier und da mal gemacht (sonst wäre mein Steamaccount mittlerweile ein wenig Geldverschwendung). Nun ja kommen wir mal zum Punkt. .exe ausgeführt, Windows blockiert wegen Trojaner..ich denke mir Windows irrt sich einfach und erlaube es trotzdem..nichts passiert außer eine Meldung von GIMP irgendetwas nicht richtig installiert (in diesem Moment hab ich erfahren das die Person scheinbar einfach den erst besten Link rausgesucht hat und sich die Dateien gar nicht angeschaut hat..).

Danach hab ich das ganze mal auf Virustotal geworfen, wo folgendes rauskam:

Link von VirusTotal: https://www.virustotal.com/gui/file/843aaa8076501d2ad8dba88525640162f4b9bb96312f0937472c75d8543393f1/behavior


Nach dem Löschen der Dateien findet Windows & Malwarebytes hat Windows nichts mehr gefunden. Das einzige was ich bisher getan habe (außer Malwarebytes & Windows Scan) war nur die IP-Adressen-Bereich (1-255) die damit verbunden waren zu sperren.

Addition.txt

FRST.txt ist zu lang und folgt im nächstem Beitrag.

FRST.txt

FRST Logfile:
--- --- ---

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Du hast MBAM ausgeführt? Dann poste doch bitte die dazugehörige Logdatei.

Hallo, danke für die Antwort.

Ist es das hier was du brauchst?

Das genügt auch, danke. :)



Wofür benötigst du diese Software?


Über diverse Torrent-Systeme wird oft Malware verbreitet. Du solltest dir gut überlegen, so etwas weiter zu verwenden, zudem du bei derartiger Software ganz schnell im illegalen Bereich bist. Oder sind diese Informationen neu für dich?


AdwCleaner hast du auch ausgeführt. Die Logdatei möchtest du nicht posten? ;)



Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\Users\AllUserName\Downloads\Poly Bridge 2 v1.23
C:\Users\AllUserName\Downloads\Poly.Bridge.2.v1.23.rar
C:\ProgramData\krosqm.txt
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
powershell: Set-MpPreference -DisableScanningNetworkFiles 0
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Beantwortung der gestellten Fragen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Bin leider zu doof für zitieren.

Wofür benötigst du diese Software?

Brauche Node.js für die Entwicklung in Typescript/Javascript

Über diverse Torrent-Systeme wird oft Malware verbreitet. Du solltest dir gut überlegen, so etwas weiter zu verwenden, zudem du bei derartiger Software ganz schnell im illegalen Bereich bist. Oder sind diese Informationen neu für dich?

Nein, ist keine neue Information, in der Tat benutze ich Torrents meist für das downloaden von Systemabbildern (ISO Datein), da sind Torrents in der Regel praktischer weil eben keine Downloadfehler gibt (ja, ist das gleiche als ob man den Hash vom Download vergleicht aber man hat ja nicht immer von Seiten des Uploaders den Hash.

AdwCleaner hast du auch ausgeführt. Die Logdatei möchtest du nicht posten?

Sorry, hab ich vergessen.


fixlog.txt
Danach wurde ein Neustart durchgeführt.

Addition.txt
[CODE]
Sir.FRST Additions Logfile:
--- --- ---


FRST.txt folgt

FRST.txt


FRST Logfile:
--- --- ---

Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alles gelesen, danke für schnelle und gute Hilfe :)

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.