Trojaner-Board - Mögliche Infektion am Arbeits-PC, möchte sicher gehen das nichts ist!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mögliche Infektion am Arbeits-PC, möchte sicher gehen das nichts ist! (https://www.trojaner-board.de/207234-moegliche-infektion-arbeits-pc-moechte-sicher-gehen-nichts.html)

Zitat:

Ich möchte 100% sicher gehen, sodas ich endlich schlafen kann.

100 % Sicherheit gibt es nicht und wird es auch niemals geben. Schon garnicht wenn du ein Betriebssystem von Microsoft benutzt. Deutlich mehr Sicherheit hast du da mit Linux, aber auch da keine 100 %.

Und mit sowas wie GDATA reduzierst du die Sicherheit, weil du das System komplexer machst. GDATA deinstallieren und Windows Defender verwenden, dann zusätzlich mit eingeschaltetem Gehirn am Windows-PC arbeiten und nicht gedankenlos alles anklicken.

Zitat:

Zitat von cosinus (Beitrag 1775865)

... dann zusätzlich mit eingeschaltetem Gehirn am Windows-PC arbeiten und nicht gedankenlos alles anklicken.

Ja das mache ich, es gibt offensichtlich NICHTS UMSONST.

Aber nochmal zu meinen geposteten Logs, ist da etwas ungewöhnliches zu finden.
Bitte sagen sie es mir.

Muss jetzt noch ein wenig arbeiten und schaue heute Abend hier nochmal vorbei.
Im übrigen, könnte man eventuell dem trojaner-board etwas spenden, so dass ich ein wenig Hilfe bekomme.

Zuerst mal würde ich dir einen Baldriantee empfehlen :)
Und nein, wenn da was wäre hätt ich mich schon dazu geäußert. Wenn da was wäre, dann hätte dein PC schon vorher ein Problem bzw. Befall gehabt, da die heruntergeladene Datei (falls diese denn überhaupt malware enthielt) schon im Vorfeld abgewürgt wurde.

Ich kann dem nur zustimmen:
In den Logdateien von FRST ist keine Malware zu erkennen.

Man könnte noch SecurityCheck ausführen. Es überprüft, ob die Programme alle aktuell sind.

Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

O.K. habe ich gemacht!

Code:

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]

WebSite: www.safezone.cc

DateLog: 11.08.2023 13:51:57

Path starting: C:\Users\Tilo-Work\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Tilo-Work

VersionXML: 10.62is-08.07.2023

___________________________________________________________________________
 

Windows 10(6.3.19045) (x64) Professional Release: 2009 Lang: German(0407)

Installation date OS: 05.06.2021 11:24:44

LicenseStatus: Windows(R), Professional edition The machine is permanently activated.

Boot Mode: Normal

Default Browser: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe

SystemDrive: C: FS: [NTFS] Capacity: [476.3 Gb] Used: [100.3 Gb] Free: [376 Gb]

------------------------------- [ Windows ] -------------------------------

User Account Control enabled (Level 3)

Sicherheitscenter (wscsvc) - The service is running

Remoteregistrierung (RemoteRegistry) - The service has stopped

SSDP-Suche (SSDPSRV) - The service is running

Remotedesktopdienste (TermService) - The service has stopped

Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped

---------------------------- [ Antivirus_WMI ] ----------------------------

G DATA INTERNET SECURITY (disabled)

G DATA INTERNET SECURITY (disabled and out of date)

G DATA INTERNET SECURITY (disabled and out of date)

G DATA INTERNET SECURITY (disabled and out of date)

G DATA INTERNET SECURITY (disabled and out of date)

Windows Defender (disabled and out of date)

G DATA INTERNET SECURITY (enabled and up to date)

G DATA INTERNET SECURITY (disabled and out of date)

---------------------------- [ Firewall_WMI ] -----------------------------

G DATA INTERNET SECURITY (disabled)

G DATA INTERNET SECURITY (disabled)

G DATA INTERNET SECURITY (enabled)

G DATA INTERNET SECURITY (disabled)

G DATA INTERNET SECURITY (disabled)

G DATA INTERNET SECURITY (disabled)

G DATA INTERNET SECURITY (disabled)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

G DATA INTERNET SECURITY v.25.5.16.125

G DATA VPN v.1.1.23145.43

------------------------------- [ Backup ] --------------------------------

Microsoft OneDrive v.23.147.0716.0001 [+]

------------------------------ [ ArchAndFM ] ------------------------------

7-Zip 19.00 (x64) v.19.00 Warning! Download Update
 Uninstall old version and install new one.

-------------------------------- [ Media ] --------------------------------

Mp3tag v3.21 v.3.21

VLC media player v.3.0.18

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox (x64 de) v.116.0.2 [+]

Microsoft Edge v.115.0.1901.200 [+]

------------------ [ AntivirusFirewallProcessServices ] -------------------

G*DATA Scanner (GDScan) - The service is running

C:\Program Files (x86)\Common Files\G Data\GDScan\GDScan.exe v.1.4.23192.1152

G DATA Dateisystem Wächter (AVKWCtl) - The service is running

C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlx64.exe v.27.0.23192.1157

G DATA ANTIVIRUS Proxy (AVKProxy) - The service is running

C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe v.1.5.23192.1174

G DATA Backup Service (GDBackupSvc) - The service has stopped

G*DATA Personal Firewall (GDFwSvc) - The service is running

C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe v.4.1.23192.1147

C:\Program Files (x86)\G DATA\InternetSecurity\AVKTray\AVKTray.exe v.25.1.23192.1154

C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe v.2.7.23192.1143

C:\Program Files (x86)\Common Files\G Data\AVKProxy\GDKBFltExe32.exe v.3.0.27.22040

Microsoft Defender Antivirus-Dienst (WinDefend) - The service has stopped

Microsoft Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service has stopped

---------------------------- [ UnwantedApps ] -----------------------------

JDownloader 2 v.2.0.1 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!

----------------------------- [ End of Log ] ------------------------------

7-Zip deinstallieren und die neueste Version installieren.
Den Downloadlink dazu findest du in der Logdatei von SecurityCheck.

Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Nee... leider Probleme...

Auf meinem alten PC ist ebenfalls 7Zip aufgespielt, allerdings 7Zip 21.02 Alpha (x64) (17.07.21)
Das habe ich bei Apps und Features deinstalliert aber dort steht immer noch der (alte) Eintrag (7Zip 21.02 Alpha (x64) / 5.10MB / 17.07.2021),
wie bekomme ich den dort weg?
Ich habe die neueste Version hier noch nicht installiert.

2. Dann habe ich KpRm unter Ihrem angegebenen Link gedownloadet, wie es dort steht.
Dann folgte mit meinem G Data eine Virusmeldung :

G Data Dateisystemwächter
Beim Schließen der Datei "C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)

Datei: C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b
Virus: Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)
Engines: Engine A: AVA 25.36351, Engine B: GD 27.32746

Beim Schließen der Datei "C:\Users\Tilo-Work\Downloads\fce5d0df-1974-467a-9849-ede06e6dc670.tmp" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)
Beim Schließen der Datei "C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)

Was ist jetzt schon wieder los?
Ist mein alter Home-Rechner jetzt befallen?

WEITERE ergänzende Anmerkungen:
Ich habe unter dem angegebenen Link : C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b
die Datei gesucht und auch gefunden und habe sie mit G Data gescannt, sie ist tatsächlich infiziert und sie anschließend in Quarantäne geschickt.
Sie läßt sich nicht reparieren, also bleibt sie erstmal dort, bis Sie mir weitere Anweisungen geben.
Anschließend habe ich im Powershell (unter Adminbedingungen) : sfc /scannow ausgeführt und es wurden einige Dateien erfolgreich repariert.
Dann dasselbe nochmal: sfc /scannow und hat dann KEINE Integritätsfehler mehr gefunden. Ist das richtig so? Anscheinend wurde da etwas zerstört.
Was jetzt mit meinem Opera los ist weiß ich nicht!

An meinem Arbeits-PC konnte ich jedoch 7Zip ordentlich deinstallieren und habe die neueste Version installiert.

Wir können Reste von 7-Zip mit FRST aufspühren und anschließend mit FRST enfernen.

Zum Aufspühren der Reste bitte FRST erneut ausführen, dieses Mal aber so:

Schritt 1

Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:

Code:

SearchAll: 7-Zip
Klicke auf den Button Datei-Suche.
FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
Am Ende wird eine Textdatei Search.txt erstellt.
Poste mir deren Inhalt mit deiner nächsten Antwort.

Ich glaube es hat sich erledigt, habe das neueste 7-Zip installiert und promt war der alte Eintrag weg und nun steht bei START im Ordner 7-ZIP ==> 7-Zip 23.1 (x64) 2023-06-20

Es scheint nun O.K. zu sein, aber abzuwarten wenn ich das Programm mal deinstallieren sollte ob dann ein Resteintrag bleibt, aber gut den kann ich nun mit FRST nach Ihrer gegebenen Anleitung das wieder löschen.

Was mir aber nun mehr Sorgen macht ist das Programm KpRm das ich laut Ihrer Anleitung downloaden und installlieren sollte.
Promt gedownloadet hat G-Data ein virus Erkannt:

G Data Dateisystemwächter
Beim Schließen der Datei "C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)

Datei: C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b
Virus: Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)
Engines: Engine A: AVA 25.36351, Engine B: GD 27.32746

Beim Schließen der Datei "C:\Users\Tilo-Work\Downloads\fce5d0df-1974-467a-9849-ede06e6dc670.tmp" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)
Beim Schließen der Datei "C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)

Trotzallerdem habe ich unter dem Pfad :
C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b

die Datei entsprechende gesucht und auch gefunden und habe sie mit G Data gescannt, sie ist tatsächlich infiziert und sie anschließend in Quarantäne geschickt.

Sie läßt sich nicht reparieren, also blieb sie erstmal dort, inzwischen habe ich sie gelöscht, aber NICHT zurückgeführt, ganz gelöscht.

Anschließend habe ich im Powershell (unter Adminbedingungen) : sfc /scannow ausgeführt und es wurden einige Dateien erfolgreich repariert.
Dann dasselbe nochmal: sfc /scannow und hat dann KEINE Integritätsfehler mehr gefunden. Ist das richtig so? Anscheinend wurde da etwas zerstört.

Was jetzt mit meinem Opera los ist weiß ich nicht!

Inzwischen habe ich mehrmals mit G-Data C:\Benutzer/Tilo-Work/AppData/Local/OperaSoftware gescannt, mit keinem negativen Ergebnis. Die Datei ist nun Weg.

Zitat:

Zitat von Grooover (Beitrag 1775903)

Trotzallerdem habe ich unter dem Pfad :
C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b

Was jetzt mit meinem Opera los ist weiß ich nicht!

Da ist doch wenn überhaupt nur was im Browsercache. Also kein Grund für Schnappatmung :)

Grundsätzlich sollte man den Browser so einstellen, dass er beim Beenden seinen Cache löscht. Jedenfalls stelle ich Firefox immer so ein. Ob und wie das mit Opera geht weiß ich nicht, ich nutze diesen Browser nicht. Ich empfehle als Hauptbrowser Firefox und als Ausweichbrowser Microsoft Edge.

Ja, das ist auch beim Opera möglich, habe es nun so eingestellt.

C:\Users\Tilo-Work\Downloads\ ist leer, dort ist nichts mehr.

Also dieses Program downloade ich NICHT mehr.

P.S.: Muss jetzt ein wenig arbeiten. Bis heute Abend.

Zitat:

Zitat von Grooover (Beitrag 1775903)

Was mir aber nun mehr Sorgen macht ist das Programm KpRm das ich laut Ihrer Anleitung downloaden und installlieren sollte.
Promt gedownloadet hat G-Data ein virus Erkannt:

G Data Dateisystemwächter
Beim Schließen der Datei "C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)

Datei: C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b
Virus: Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)
Engines: Engine A: AVA 25.36351, Engine B: GD 27.32746

Beim Schließen der Datei "C:\Users\Tilo-Work\Downloads\fce5d0df-1974-467a-9849-ede06e6dc670.tmp" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)
Beim Schließen der Datei "C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b" wurde der Virus "Win32.Trojan-Ransom.Filecoder.RMGYSS@gen (Engine B)" entdeckt. Zugriff verweigert. (Engine B: GD 27.32746)

Trotzallerdem habe ich unter dem Pfad :
C:\Users\Tilo-Work\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\f_00001b

die Datei entsprechende gesucht und auch gefunden und habe sie mit G Data gescannt, sie ist tatsächlich infiziert und sie anschließend in Quarantäne geschickt.

Das ist ein Fehlalarm von Bitdefender.

Zitat:

Fehlalarme
Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Antimalwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst.

Nachzulesen hier.

Dann musst du die verwendeten Programme (FRST und SecurityCheck) eben selbst manuell entfernen. ;)

Du musst dir also keine Sorgen machen... Malware ist keine auf dem System zu erkennen und der letzte "Fund" von Bitdefender entpuppte sich als Fehlalarm. :)

Ich mache mir allerdings Sorgen um dein eigenständiges Denken.
Du bist viel zu sehr auf dein "Antivirenprogramm" fixiert und vertraust blind darauf... so als wäre es "Gesetz", was diese Software von sich gibt. ;)

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.