Windows 10 : Malware durch Downloader (LightningMediaPlayer?)
 

Einen schönen guten Abend zusammen.
Meine Ziehtochter beichtete mir heute das sie vor 2-3 Tagen ein Programm an meinem Rechner downloaden wollte. (WebCamMax-ohne es mit mir abzusprechen)
Bei "Apps & Features" habe ich das Programm - LightningMediaPlayer.ink
gefunden was sich nicht löschen ließ. (erst später)
Beim suchen im Netz stieß ich auf den Eintrag
https://www.trojaner-board.de/202055-windows-10-merkwuerdige-dienste-appservicea-appserviceb.html
und führte 2 x Scan´s mit MalwareBytes Anti-Malware aus.
Danach mit AdwCleaner & FRST.
Anbei natürlich auch die Logfiles.
Habe unsere gesamten Passwörter nun geändert,...aber bin mir ABSOLUT unsicher ob das nun reicht oder ich definitiv noch mehr machen muss?!?!
Ich bitte um Hilfe!

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Bitte MBAM und AdwCleaner erneut ausführen und die Logdateien posten.

Anschließend den Rechner neu starten.

Danach bitte nochmal FRST ausführen, Haken setzen vor Shortcut.txt und wieder einen Suchlauf starten, alle drei neuen Logdateien posten.

Dann sehen wir weiter... aber es wird auf jeden Fall noch was zu tun geben. ;)

Einen schönen guten Tag Matthias und im Vorfeld vielen Dank für Deine Zeit.

Anbei die beiden gewünschten Files.

Starte eben neu und sende dann die 3 anderen Files.

Nach dem Neustart wie gewünscht nochmal FRST ausgeführt & auch Shortcuts angeklickt.
Anbei natürlich die 3 Dokumente.

Ich bin gespannt wie "schlimm" es um meinen Rechner steht.....& was noch alles zu tun sein wird!

Nochmals Danke (...finde es super das Du mir hilfst!!!)...& freu mich von Dir zu lesen.

Vielen Dank für die Logdateien! :abklatsch:


Es ist noch einiges an Malware vorhanden und der Update-Dienst wurde auch zerschossen.
Wir versuchen mit den nächsten Schritten, das wieder in Ordnung zu bringen.

Ich bitte um Geduld bei den einzelnen Schritten, es kann u. U. etwas dauern. Avast bitte temporär deaktivieren, damit es nicht stört.






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Unlock: C:\WINDOWS\system32\config\SYSTEM
SystemRestore: On
CreateRestorePoint:
Unlock: C:\WINDOWS\system32\Drivers\9cdX9bus.sys
VirusTotal: C:\WINDOWS\system32\Drivers\9cdX9bus.sys
C:\WINDOWS\system32\Drivers\9cdX9bus.sys
Unlock: C:\Users\Fr33z\AppData\Roaming\Goyca
C:\Users\Fr33z\AppData\Roaming\Goyca
Unlock: C:\Users\Fr33z\AppData\Roaming\nailedp
C:\Users\Fr33z\AppData\Roaming\nailedp
Unlock: C:\Program Files (x86)\Company
C:\Program Files (x86)\Company
Unlock: C:\Program Files (x86)\a4VP40x.sys
VirusTotal: C:\Program Files (x86)\a4VP40x.sys
C:\Program Files (x86)\a4VP40x.sys
2021-06-24 11:15 - 2021-06-24 11:15 - 000000014 _____ C:\ProgramData\kaosdma.txt
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\Users\Fr33z\AppData\LocalLow\nW6mI-7yS1k
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\Users\Fr33z\AppData\Local\Yandex
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\ProgramData\SGX3RQVZPPBJDN0WDYF4XLPHG
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\ProgramData\PEWUQNR3B32KWOY2N38KIRQ2X
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\Program Files\temp_files
Unlock: C:\BITAAD6.tmp
C:\BITAAD6.tmp
Unlock: C:\Users\Fr33z\AppData\Roaming\gasurda
VirusTotal: C:\Users\Fr33z\AppData\Roaming\gasurda
C:\Users\Fr33z\AppData\Roaming\gasurda
Unlock: C:\$AV_ASW
Folder: C:\$AV_ASW
Unlock: C:\WINDOWS\system32\C_32770.NLS
VirusTotal: C:\WINDOWS\system32\C_32770.NLS

HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
FF Plugin: @videolan.org/vlc,version=3.0.2
FF Plugin: @videolan.org/vlc,version=3.0.6
FF Plugin: @videolan.org/vlc,version=3.0.7.1
S2 WCMVCAM; \SystemRoot\System32\drivers\wcmvcam64.sys [X]
AlternateDataStreams: C:\Users\Fr33z\AppData\Local\Temp:$DATA​ [16]
AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"SvcMemHardLimitInMB"=dword:000000f6
"SvcMemMidLimitInMB"=dword:000000a7
"SvcMemSoftLimitInMB"=dword:00000058
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="WUServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50
EndRegedit:

CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: Lightening;9cdX9bus.sys;a4VP40x.sys;gasurda;cc5f00fa

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hi Matthias,
erstmal Danke für die schnelle & super verständliche Antwort. :dankeschoen:
(Ja,...sogar ein Noob wie ich hat das hinbekommen!!!)

Anbei natürlich die gewünschten Dateien.

Wusste gar nicht wie schlimm es um den Rechner steht, dass sogar der Update-Dienst zerschossen wurde. Das mir sowas auch nicht auffällt....:headbang:

Freu mich wieder von Dir zu hören! ;)

Wieder sehr gut gemacht. :daumenhoc

Ich sehe immer noch eine verdächtige Datei, die sich allerdings nicht entfernen lässt.
Wir versuchen es nochmal... wenn es nicht klappt, müssen wir "von außen" ran. :D






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Unlock: C:\WINDOWS\system32\config\SYSTEM
Unlock: C:\WINDOWS\system32\Drivers\9cdX9bus.sys
C:\WINDOWS\system32\Drivers\9cdX9bus.sys
CMD: sfc /scannow
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 4

• Starte FRST erneut.
• Setzte jeweils einen Haken vor BCD auflisten und SigCheckExt.
• klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von RogueKiller
• die Logdatei von ESET
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Guten Morgen Matthias,
tut mir Leid für die späte Störung allerdings hat der Platzregen vorhin unseren Keller unter Wasser gesetzt! :daumenrunter:

Zumindest konnte ich die Zeit von den Scans somit gut nutzen. ^^

Anbei wie gewünscht alle Logdateien.

Ich bin gespannt ob es geklappt hat oder was Du mit "von außen ran" meinst! :P

Freu mich auf Nachricht von Dir. :daumenhoc

Vielen Dank für die Logdateien. Du hast alles vorbildlich gemacht.
Leider kommen wir hier auf "normalem" Wege nicht ans Ziel.

Ah... das ist nicht schön... vollgelaufener Keller... hatte ich mal bei meiner Tante gesehen und geholfen... :balla:
Ich hoffe, es ist nicht allzu schlimm und ihr habt keine größeren Schäden. :abklatsch:


Sobald du Zeit hast:
Wir müssen über die Wiederherstellungsumgebung (Recovery Environment) das Tool FRST ausführen, sonst bekommen wir das nicht hin, die Malware schützt sich im normalen/abgesicherten Modus. :kloppen::D

Bitte lesen und umsetzen:
Ausführen von Farbar Recovery Scan Tool (FRST) in der Wiederherstellungsumgebung

Mahlzeit Matthias!
Vielen Dank "für die Blumen"! ^^
...allerdings bei einer so guten Führung/Anleitung "kann" man kaum was falsch machen. ;)

Bzgl. dem Keller => Da hatten wir Glück im Unglück,...haben es zu Zweit hinbekommen und soweit ich das bis jetzt sehen kann, hält sich der Schaden in Grenzen.

Habe soweit alles ausgeführt,...allerdings beim hochladen der FRST.txt diese Meldung bekommen : Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 106,4 KB groß.

Hoffe mal es ist so okay?


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Sehr gut gemacht. :)




FRST hat die Malware gleich beim Suchlauf eliminiert :lach:




FRST bitte jetzt wieder im normalen Modus ausführen, wir müssen noch Reste entfernen und die Windows Systemdateien überprüfen:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Guten Abend ;)

Na das hört sich doch positiv an! :daumenhoc

Anbei natürlich auch die beiden gewünschten Dateien.

Wir haben es bald geschafft. :abklatsch:





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
Unlock: C:\WINDOWS\system32\C_32770.NLS
C:\WINDOWS\system32\C_32770.NLS
Unlock: C:\WINDOWS\system32\config\BCD00000000
C:\WINDOWS\system32\config\BCD00000000
Unlock: C:\FRST
CMD: sfc /scannow
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Öffne den Ordner C:\FRST.
• Rechtsklicke auf den Unterordner Quarantine und wähle Senden an > Zip-komprimierter Ordner.
• Das Archiv Quarantine.zip wird erstellt.
• Besuche die Seite Submit a Malware Sample auf BleepingComputer.
• Klicke auf Durchsuchen.
• Wähle das erstellte Archiv C:\FRST\Quarantine.zip aus und klicke auf Öffnen.
• Schreibe in das untere, leere Textfeld for M-K-D-B hinein und klicke auf den darunter liegenden Button Daten absenden.
• Vielen Dank für deine Mitarbeit. Die hochgeladenen Dateien dienen zur Verbesserung der verwendeten Programme.

Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• eine Rückmeldung bezüglich des Hochladens des .zip Archivs
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Na das hört sich doch mehr als Klasse an! :P

Einen schönen guten Morgen erstmal,...(soviel Zeit muss sein!)

Anbei die 3 x gewünschten Dateien.

Hab ein kleines Problem beim hochladen des Zip-Archivs...habe auf der Seite folgende Nachricht bekommen :
The size of your file is greater than maximum file size of 10 MBs.

Das Quarantine.zip Archiv ist allerdings 15,87 MB groß!
Gibt es eine Möglichkeit es weiter zu kompremieren?
Oder kann man es öffnen und evtl. auf 2 x Archive zippen?

Freu mich wie immer von Dir zu lesen! :abklatsch:

Guten Morgen Matthias,
bin mir unsicher ob die Info für das Problem wichtig ist.
Allerdings hat Malwarebytes heute Nacht einen "geplanten Scan" unternommen und direkt 1 x Bedrohung in die Quarantäne verschoben.
Anbei natürlich die Datei.

Bin gespannt was Du dazu sagst und freu mich auf eine Antwort! ;)

Der Fund von MBAM ist unbedenklich, das war nur ein Überbleibsel, der wohl aufgrund eines Updates der Datenbank nun erkannt wurde.


Erst bitte folgendes tun:
Lade die Datei C:\FRST\Quarantine.zip bei VirusTotal hoch.
Klicke auf Choose File, wähle das .zip Archiv aus und klicke auf Confirm upload.
Die Datei wird hochgeladen und analysiert.
Am Ende der Analyse kopierst du mir bitte die Internetadresse dieser Seite (z. B. https://www.virustotal.com/gui/file/<<<zufällige Nummern>>>/detection) in deine nächste Antwort.



Versuch bitte auch folgendes:

Öffne den Ordner C:\FRST\Quarantine

Dort sollte sich der Ordner C befinden. Wenn du diesen öffnest, werden dir mehrere Unterordner (z. B. Windows, Programdata, Programme, Programfiles, users) angezeigt.

Du könntest jetzt von jedem dieser Unterordner jeweils ein .zip Archiv erstellen und diese einzelen hochladen.

Ginge das? Wäre super! :daumenhoc

Gib bitte kurz Rückmeldung.

Nabend Matthias,
das ist gut zu lesen.... dann bin ich ja beruhigt!^^

Hier der gewünschte Link :

https://www.virustotal.com/gui/file/c76513fbc0ff2134f6be4a9889338895ddad6d4be33f1e17ec6c98dcaa83f0cf/detection

Habe bereits auch die gewünschten Ordner von FRST als Zip Dateien umgewandelt...
meine Frage ist nur : "Wo" soll ich diese hochladen?
Auf BleepingComputer wird das WindowsZip nicht funktionieren da dieses 13,51 MB groß ist.

Soll ich die 5 Ordner auch nach Virustotal hochladen und Dir die Links schicken?
Eine kurze Rückantwort wäre super,...dann mache ich sofort weiter! ;)

Der VirusTotal-Link genügt mir, alles gut. :)




Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 21H1.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
• Wähle das Funktionsupdates aus, downloade und installiere es.
• Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
  Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hi Matthias ;)

:abklatsch: Ja super geil! :dankeschoen:

Fixlog.txt hab ich eingefügt...
Funktionsupdate von Windows wurde installiert...
CleanUpTool ausgeführt...
Anleitung gelesen...(und mir für meine Zieh-Tochter direkt gespeichert!!!)

Werde auch nochmal bei "Lob/Kritik & Wünsche" vorbeischauen und meine sehr positive Meinung kundtun! ^^
Würd gerne mit Dir anstoßen und persönlich Danke sagen,...hoffe aber das eine "kleine" Spende auch gern gesehen wird! :party: :daumenhoc

Wir freuen uns über jede Spende, sie dient zur Erhaltung des Forums. Vielen Dank! :)
:daumenhoc :abklatsch: :dankeschoen:

Ein großes Danke auch für deine tolle Mitarbeit, die man wirklich als vorbildich bezeichnen muss. Dadurch lief alles problemlos. :D


Ein letzter Hinweis:
Aufgrund der Infektion ist nicht auszuschließen, dass auch Passwörter/Zugangsdaten abgegriffen wurden. Daher empfehle ich die Änderung aller Passwörter.
Die Malware war seit Mitte Juni auf dem System und kam wohl mit dem Downloader.






Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.