Keylogger am Werk?
 

Moin, Moin,

nun muss ich leider auch dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Browserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte "jemand" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe :taenzer: ).

Hier mal meine Beobachtungen und Vermutungen in Stichworten:

• Es muss Scriptgesteuert gewesen sein, da dieser Vorgang auch OHNE Netzwerk weiter ging
• Er legte einige VB-Scripte und com.exe-Dateien in meinem *\AppData\Roaming ab
• Es fanden sich verschiede Reg-Keys unter HKEY_CURRENT_USER\Software\yRkawdXSgdbJmzp
• Im Verzeichnis *\AppData\Roaming\Microsoft\Windows\Templates\ befanden sich ebenfalls JavaScript-Dateien welche die gleiche Benamung wie die Reg-Keys hatte (yRkawdXSgdbJmzp.js)

Inhalt der Datei yRkawdXSgdbJmzp.js:

Ein Registry-Eintrag dazu findet sich hier:

und einer hier:

Hier nun die Logs.. hxxp://5.189.183.113/FIRST.txt

und die hxxp://5.189.183.113/Addition.txt



Zu HiJackThis-Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Mucks.

Ach ja,- wie komme ich auf Keylogger.... Nun es wurde ein Registry-Key erstellt, wo offensichtlich alles abgelegt wurde:

der hat sogar jetzt noch alles mit geloggt.....

Wie bekomme ich den Sch... weg ohne neu zu installieren? Der Aufwand wäre immens zumal ich nicht weis, wie das ganze ins System gelangt ist.

Danke und Gruß aus Hamburg.

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere dein System und melde mich später wieder.



Die Logdateien von FRST oder anderen Tools kannst du zukünftig direkt hier als Antwort in Code-Tags reinposten, z. B. so:

Ich analysiere Logdateien jetzt schon seit über 12 Jahren, aber diese Malware habe ich noch nicht gesehen... es gibt immer was Neues. :D

Skript-basierte Schadsoftware (JS, BAT, VBS, PS, etc.) wie hier ist meist sehr intelligent gemacht, ziemlich "verwinkelt" alles... und schwer zu erkennen.
Wir sollten sie aber entfernen können, insbesondere da du dich am Computer auskennst.


Wir beginnen zuerst mit einer Reparatur mit FRST. Diese kann durchaus einige Minuten dauern.
Damit entfernen wir alle aktiven Komponenten der Malware. Zudem lesen wir ein paar Ordner und Schlüssel aus, um evtl. weitere Komponenten der Malware aufzuspühren. Zudem setzen wir die Windows Firewall zurück und leeren die temporären Speicherbänke.
Ebenso entfernen wir verwaiste Einträge sowie Dateien an ungewöhnlichen Pfaden.

Weitere Schritte werden folgen.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box wie folgt:
  Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
ContextMenuHandlers6: [ContMenu] -> {FCF608CF-5716-47C3-A1A8-991D873AF72B} =>  -> Keine Datei
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKU\S-1-5-21-3460856420-2582145234-728948223-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
BHO: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
BHO-x32: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
Toolbar: HKLM - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  Keine Datei
Toolbar: HKLM-x32 - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  Keine Datei
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive GsAofCNyJa"
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive ShidVxuBhh"
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\StartupFolder: => "AppData.exe"
C:\Users\AllUserName\AppData\Roaming\Deskt.exe
C:\Users\AllUserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Winlogon: [Shell] explorer.exe,C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe, <==== ACHTUNG
File: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe
C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] ->
Task: {9FA8515B-F007-4624-90D9-859C02C34812} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
Task: {F9E3B3CF-1D15-41B5-8765-D0ADC55474D5} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
StartupDir: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (Keine Datei)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
Task: {5E0AD918-FE0B-47F9-BE79-CE17564845EC} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Keine Datei)
Task: {58D77E8D-A3B3-4C34-B5E7-D9737015349A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
CMD: type "C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js"
CMD: type "C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js"
Task: {62BCCF6C-F99B-4298-802F-F4E862B9E379} - System32\Tasks\puTcVzRKiKPfhBC => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
Task: {97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6} - System32\Tasks\yRkawdXSgdbJmzp => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
File: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
File: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
Edge Notifications: Default -> hxxps://web.whatsapp.com
CHR Notifications: Default -> hxxps://app.sipgate.com; hxxps://calendar.google.com; hxxps://community.symcon.de; hxxps://forum-ukraine.de; hxxps://forum.fritzing.org; hxxps://kundenbereich.check24.de; hxxps://nas.thomas-reichel.com; hxxps://web.telegram.org; hxxps://www.facebook.com; hxxps://www.instagram.com; hxxps://www.lieferando.de; hxxps://www.romeo.com; hxxps://www.scenic-forum.de
FF user.js: detected! => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Mozilla\Firefox\Profiles\5pbxmky2.default\user.js [2023-06-10]
FF user.js: detected! => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Mozilla\Firefox\Profiles\37niltkt.default-release\user.js [2023-06-10]
FF HKLM\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
FF HKLM-x32\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
S3 semav6msr64; \??\C:\Windows\system32\drivers\semav6msr64.sys [X]
2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\MSBuild.exe
2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\RegSvcs.exe
Unlock: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Teams
2023-03-11 19:31 - 2023-03-11 19:31 - 000000069 _____ () C:\Program Files (x86)\dialogysclip.bat
2023-03-11 19:29 - 2023-03-11 19:55 - 000001785 _____ () C:\Program Files (x86)\DialogysUninstWPS.bat
2022-02-26 14:35 - 2022-02-26 14:35 - 000000030 _____ () C:\Program Files (x86)\Exiferupdate.ini
2023-03-11 19:29 - 2023-03-11 19:29 - 000000844 _____ () C:\Program Files (x86)\INSTALL.LOG
2023-10-07 17:08 - 2023-10-07 17:08 - 000001082 _____ () C:\Program Files (x86)\MacroRecorder.lnk
2023-03-11 19:29 - 2017-11-08 16:09 - 000176040 _____ () C:\Program Files (x86)\UninstScript.EXE
2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\MSBuild.exe
2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\RegSvcs.exe
2024-03-11 15:12 - 2024-03-11 15:12 - 000174062 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\rvhost.vbe.zaak
2021-02-03 04:26 - 2024-03-19 21:50 - 000000128 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\winscp.rnd
2022-09-25 10:16 - 2022-09-25 10:35 - 001163406 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\WrapAnGo_Install.log
2021-12-19 16:02 - 2021-12-19 16:02 - 000001456 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Local\Adobe Für Web speichern 13.0 Prefs
2021-02-03 06:28 - 2021-10-29 18:02 - 000018432 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Local\https_www.amazon.de_0.localstorage
2022-08-21 05:36 - 2022-08-21 05:36 - 000000000 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Local\{9F850872-AAD4-4482-A31A-2969AE3AEF22}
CMD: reg query "HKCU\Software\yRkawdXSgdbJmzp" /S
DeleteKey: HKCU\Software\yRkawdXSgdbJmzp
CMD: reg query "HKCU\Software\3cec14c682a69cb8fafb5026acd55133" /S
DeleteKey: HKCU\Software\3cec14c682a69cb8fafb5026acd55133
CMD: reg query "HKCU\Software"
CMD: reg query "HKLM\Software" /reg:32
CMD: reg query "HKLM\Software" /reg:64
CMD: dir /A "c:\users\public"
CMD: dir /A "C:\Users\Thomas.THOMAS-REICHEL"
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

erst einmal danke für deine Unterstützung. Hier das Log:

Nachtrag:

In der Nacht ist mir noch aufgefallen, dass die Firewall fast 20.000 versuche blockiert hat. Immer zur gleichen URL:

hxxp://5.189.183.113/Screenshot2024-03-25151555.png

hxxp://5.189.183.113/Screenshot2024-03-25151655.png

Vielen Dank für die Logdatei und den Nachtrag.
Du hast ja einiges schon selbst entfernt gehabt.

Meldet die Firewall nun (nach dem Fix) immer noch das Blockieren von Seiten?



Bitte lösche diesen Schlüssel (der scheint auch von der Malware zu stammen):
HKEY_CURRENT_USER\Software\B0A95C82BA6D3B5A9F4A




Ich würde nun zwei Kontrollen mit MBAM und ESET vorschlagen.



Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.



Schritt 2
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Moin, Moin,

so,- fertig.... Eset hat sehr lange gedauert, aber beide Scans sind jetzt fertig.

Hier das Log von MB:

und hier das Log von Eset:

(URL´s und Domänen habe ich geändert) Die Datei von von Eset halte ich zwar für false Positiv. Da es aber eine Sehr alte Sicherung ist, habe ich die Datei trotz dem löschen lassen.

In der Firewall sind keine ungewöhnlichen Ereignisse mehr verzeichnet.

Ich glaube, es war eine gute Idee,- sofort die c:\Windows\System32\WindowsPowerShelll\v1.0\powershell.exe umzubenennen. Es waren locker 10 Prozesse der Powershell im Taskmanager zu sehen. Die hatte ich gekillt und es entstanden eigentlich schnell wieder neue Prozesse. Daher hatte ich die Powershell.exe umbenannt und damit konnte ich mit allen Möglichen Tools den Rechner überhaupt erst einmal scannen und untersuchen. Es scheint aber jetzt wirklich alles weg zu sein.

Ich verbäuge mich zutiefst und Bedanke mich für die Unterstützung!!!!

Vielen Dank für die Rückmeldung. :daumenhoc

Die Funde von MBAM hast du auch entfernen lassen, oder?
In der Logdatei steht nämlich "Keine Aktion durch Benutzer".

Zum Abschluss würde ich gerne eine Kontrolle mit FRST und SecurityCheck ausführen.
Ich hoffe, das ist ok für dich.



Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Ja,- habe ich und das war dann auch leider der Grund, warum ich mein Chrome verabschiedet hatte und alle 144 TAB weg waren :heulen: ABER.... ich konnte alle aus dem Verlauf wiederherstellen :Boogie:

Hier die gewünschten Logs

FIRST.txt: hxxp://5.189.183.113/FIRST-neu.txt

Addition.txt: hxxp://5.189.183.113/Addition-neu.txt

Securitycheck.txt: hxxp://5.189.183.113/securitycheck.txt

Vielen Dank für die neuen Logdateien.

Wie du der Logdatei von SecurityCheck wohl schon entnommen hast, ist deine Softwarepflege mangelhaft (Note 5). :pfui: :D ;)

Du solltest die Software deinstallieren und sofern noch benötigt die aktuellste Version installieren. Ich kopiere für dich mal alles hier rein:

The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^

Malwarebytes version 5.1.0.102 v.5.1.0.102 Warning! Download Update
Notepad++ (64-bit x64) v.8.6.2 Warning! Download Update
PuTTY release 0.78 (64-bit) v.0.78.0.0 Warning! Download Update
VMware Workstation v.16.2.3 Warning! Download Update
WinSCP v.1.0 Warning! Download Update
Microsoft Visual Studio Code (User) v.1.80.0 Warning! Download Update
VeraCrypt v.1.25.9 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Warning! Download Update
Microsoft Office 2007 Service Pack 3 (SP3) Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Warning! Download Update
7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! Download Update
GIMP 2.10.32-1 v.2.10.32 Warning! Download Update
Signal 6.10.1 v.6.10.1 Warning! Download Update
Microsoft Teams v.1.6.00.27573 Warning! Download Update
Telegram Desktop v.4.14.13 Warning! Download Update
Vuze v.5.7.7.0 Warning! Ad-supported P2P-client.
Java(TM) 6 Update 45 (64-bit) v.6.0.450 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u401-windows-x64.exe).
Java(TM) SE Development Kit 6 Update 45 (64-bit) v.1.6.0.450 Warning! This software is no longer supported. Please uninstall it and use Java SE Development Kit (jdk-21_windows-x64_bin.exe).
Opera Stable 108.0.5067.29 v.108.0.5067.29 Warning! Download Update
Microsoft Edge v.122.0.2365.92 Warning! Download Update

CCleaner v.6.22 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
VdhCoApp 1.6.3 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
Bonjour v.3.0.0.10 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
cyberJack DriverPackage 1.3.1 v.1.3.1 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
Zapptales Whatsapp 2.0.8 v.2.0.8 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
JDownloader 2 v.2.0 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
CCleaner 6.21.0.10918 v.6.21.0.10918 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
Ashampoo WinOptimizer 25 v.25.00.18 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.








Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

OK,- ich versuche mich al auf die Note 4 zu rechtfertigen :pfeiff:

The elevation prompt for administrators disabled
Die liebe UAC ... ich tue mal einfach so, als wäre das deaktivieren normal :-) .. gehen wir pfeifend zu den nächsten Punkten ....

Microsoft Edge v.122.0.2365.92 Warning!
false positiv ... ich habe die aktuellste Version

Opera Stable 108.0.5067.29 v.108.0.5067.29 Warning!
false positiv ... ich habe die aktuellste Version

Java(TM) 6 Update 45 & Java(TM) SE Development Kit 6 Update 45
Die Versionen brauche ich leider. Wenn es nach mir ginge, hätte ich gar kein Java auf meinem Rechner. Diverse HP-Switche auf Arbeit und ILO´s setzen noch auf Java und hier funktioniert der Zugriff nur mit dieser völlig veralteten Java-Version.

Vuze v.5.7.7.0 Warning!
Das werde ich löschen. Es war nur ganz nützlich, weil diverse OpenSouce-Software auch auf diesem Weg downloadbar ist. Jetzt ist meine Internetanbindung schnell genug, sodass ich den direkten Weg gehen kann und nichts benötige, wo ich den Download einschränken kann.

Telegram Desktop v.4.14.13 Warning!
Habe ich soeben geupdatet

Telegram Desktop v.4.14.13 Warning!
Habe ich eben geupdatet

Signal 6.10.1 v.6.10.1 Warning!
Habe ich eben geupdatet

7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! & GIMP 2.10.32-1 v.2.10.32 Warning!
Jep,- muss ich die Tage machen. Ich muss aber ein Paket für die automatische Softwareverteilung in der Firma schnüren und es erst an meinem Rechner testen.

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Warning!
eben geupdatet

Microsoft Office 2007 Service Pack 3 (SP3) Warning!
Ja, ist EOL und ich habe ja auch ein aktuelleres Office installiert. Ich benötige aber aus dem 2007er Office das OCR-Modul was es nur bis zu dieser Version gab. Mehr habe ich aus diesem Office-Paket auch nicht installiert.

VeraCrypt v.1.25.9 Warning!
geupdatet

Microsoft Visual Studio Code (User) v.1.80.0 Warning!
geupdatet

WinSCP v.1.0 Warning!
false positiv ... Wie auch immer der auf diese Version kommt. Ich habe die aktuellste Version 6.3.2 installiert. Ich habe den SecurityCheck eben noch einmal durchlaufen lassen,- es bleibt bei der falschen Versionierung. Installiert ist die aktuellste Version

VMware Workstation v.16.2.3 Warning!
Jep,- ist mir bekannt,- da muss ich die aktuellste Version über den Arbeitgeber beziehen.

PuTTY release 0.78 (64-bit) v.0.78.0.0 Warning!
Jep,- eben aktualisiert

Notepad++ (64-bit x64) v.8.6.2 Warning!
Wurde eben geupdatet

Malwarebytes version 5.1.0.102 v.5.1.0.102 Warning!
false positiv ... hmmm... habe ich doch erst vorgestern installiert und er sagt auch, dass ich die aktuellste Version habe.

Das restliche Gedöns habe ich deinstalliert. CCleaner, Ashampoo und Malwarebytes lasse ich noch ein paar Tage und deinstalliere sie dann.


Eine Bewertung gebe ich gleich ab und eine Spende ist eben via PayPal raus gegangen. ABER Ich habe gestern schon nach einer Möglichkeit gesucht, zu spenden. Entweder bin ich zu doof oder das ist wirklich zu versteckt platziert. Das solltet ihr wie ein Impressum, von jeder Seite aus zugänglich platzieren.

Vielen Dank für dein ausführliches Feedback. :party:

Ja, ich weiß, die Meldungen von SecurityCheck sind nicht immer richtig. :)

Ich bin zufrieden... Note 3. Setzen! :lach:

Alle Infos zu Spenden findest du hier... es gibt nur die Möglichkeiten via PayPal oder Überweisung.

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.