Windows 10 (21H2): Windowsdefender meldet: Trojan:MSIL/Bladabindi.OE!MTB
 

Hallo zusammen,

seit heute Morgen zeigt mir der Windows Defender die o.g. Meldung an.
Ich habe schon mit Autoruns die Dateien, Registry, Services, Autostart und TaskScheduler Einträge gelöscht.

Leider zeigt mir aber der Defender auch noch nach einem Neustart die Meldung an, obwohl es diese Dateien/Pfade nicht mehr gibt.

Leider sind die Logdateien zu groß. Deswegen hier ein Teil des Addition Logs:
Addition:

Hier ist der 2. Teil der Logs:
https://www.trojaner-board.de/205322-addition-log-teil2-windows-10-21h2-windowsdefender-meldet-trojan-msil-bladabindi-oe-mtb-log-teil2.html#post1768780

(Addition Log Teil2) Windows 10 (21H2): Windowsdefender meldet: Trojan:MSIL/Bladabindi.OE!MTB (Log Teil2)
 

Hier der 2. Teil vom Additionlog und danach der FRST Log

FRST:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Bitte beachte unsere Regeln während der Bereinigung!






Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,

vielen Dank für die Hilfe und Zeit.
Hier findest du alle Logs. In den Programmen habe ich jeweils CheatEngine als Programm ausgenommen, da diese das Programm als false positive gescannt haben.

MBAM:im nächsten Beitrag folgen die anderen Logs, da diese wieder die 12k Zeichen Marke sprengen.

Addition:
Additionlog folgt und die anderen auch.

Addition Teil2:
AdwCleaner:
FRST:

Finger weg von KMSpico, dadurch kommt Schadsoftware auf das System.



Nun kommt ein Fix mit FRST, ein Upload sowie ein neuer Scan.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {A74D69AE-9E3A-4B5D-B0E6-3FD358E630D1} - System32\Tasks\start midi-oz => C:\Windows\System32\cmd.exe /c "C:\temp\startup.cmd" <==== ACHTUNG
C:\temp
Shortcut: C:\Users\lucap\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\My.com Games\MY.GAMES Игровой центр.lnk -> C:\Users\lucap\AppData\Local\GameCenter\GameCenter.exe (Keine Datei) <==== Cyrillic
HKU\S-1-5-21-3740623257-3560467387-1776860099-1001\...\StartupApproved\Run: => "GameCenter"
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
Edge Notifications: Default -> hxxp://127.0.0.1
S1 khaqlkqk; \??\C:\WINDOWS\system32\drivers\khaqlkqk.sys [X]
S1 oerkaavk; \??\C:\WINDOWS\system32\drivers\oerkaavk.sys [X]
2022-10-08 03:09 - 2022-10-08 03:09 - 000000000 ____D C:\Users\lucap\AppData\Local\Manager_V2
2022-10-08 02:54 - 2022-10-08 02:55 - 000000000 ____D C:\Users\lucap\AppData\Roaming\dll 2.0
2022-10-08 02:53 - 2022-10-09 14:19 - 000000000 ____D C:\Users\lucap\AppData\Roaming\1337
CMD: type "C:\WINDOWS\system32\default_error_stack-000045-000000.txt"
C:\Users\lucap\AppData\Local\Temp\Server.exe
c:\Users\lucap\AppData\Roaming\Google Chrome.exe
C:\Users\lucap\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Java update.exe
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3442]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk:075A04AA92 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Badlion Client.lnk:8BD81608B2 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2017.lnk:7F26D44B90 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeePass 2.lnk:CF2917E869 [10]
AlternateDataStreams: C:\Users\lucap\Anwendungsdaten:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\lucap\Anwendungsdaten:0b3c2611a8001a318a8f9e5790a4bd7d [394]
AlternateDataStreams: C:\Users\lucap\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\lucap\AppData\Roaming:0b3c2611a8001a318a8f9e5790a4bd7d [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9040]

startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
Zip: C:\FRST\Quarantine
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Mit Schritt 1 wurde ein .zip Archiv mit dem Schema < Datum_Uhrzeit.zip > (z. B. 20.02.2021_11.33.52.zip) auf deinem Desktop erstellt.

• Besuche die Seite Submit a Malware Sample auf BleepingComputer.
• Klicke auf Durchsuchen.
• Wähle das erstellte .zip Archiv aus und klicke auf Öffnen.
• Schreibe in das untere, leere Textfeld for M-K-D-B hinein und klicke auf den darunter liegenden Button Daten absenden.
• Vielen Dank für deine Mitarbeit. Die hochgeladenen Dateien dienen zur Verbesserung der verwendeten Programme.

Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• eine Rückmeldung bezüglich des Uploads
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,

vielen Dank für die Mühe. Das mit KMSpico wusste ich nicht und werde ich deinstallieren! Ich habe den Defender nun nochmal laufen lassen und dieser findet auch keine Bedrohungen mehr! Reicht der Defender grundsätzlich oder sollte man sich nach einem externen Antiviren Programm umschauen? Beim ersten fix hat das Programm nach 30min nichts mehr gemacht und ich hab den PC neugestartet und den Fix erneut angestoßen. Dabei musste ich eine Datei im Quarantäne Ordner von Hand löschen, da diese Kyrillische Zeichen enthalten hatte. Dann ist es durch gelaufen und deswegen sind hier nun 2 Fix Logs:

Fix Log 1(aufgehangen):
Fixlog 2(erfolgreich):

Addition:

FRST:

Die Empfehlungen bezüglich AV, etc. gibts am Ende. Vielen Dank für den Upload. :)

Ich bitte dich nun um einen weiteren Fix mit FRST (wird etwas dauern) sowie eine Kontrolle mit ESET.






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -SignatureScheduleDay Everyday -force
set-mppreference -RealTimeProtectionEnabled $true -force
set-mppreference -OnAccessProtectionEnabled $true -force
endpowershell:

CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von ESET Online Scanner

Hallo,

vielen Dank für das wieder eröffnen meines Threads. Ich habe alle internen Laufwerke scannen lassen, welche sich bei mir knapp um 5,5TB handelt, deswegen dauert der Scan wahrscheinlich auch so lange. Ich habe ihn wie gewünscht abgebrochen. Beim Scan wurden keine schädlichen Dateien gefunden.
Hier der Log:
Hier der FRST Log:

Wir führen noch einen Sicherheitscheck durch.




Schritt 1
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hier das Log vom Security Check:

Wieso wurde das gecrackte Microsoft Office nicht deinstalliert? :pfui: