"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Wie Trojaner entfernen?

pirate man 10.03.2023 - 15:59 5069 11
Posts

pirate man

Here to stay
Registered: Jul 2001
Location: @ home
Posts: 5562
Hallo Leute,

leider hat es mich nun zum ersten Mal erwischt und ich hab mir einen Trojaner eingefangen nach bald 25 Jahren Herumwerken mit PCs.
Keine Ahnung wie, Hauptsache ich predige immer allen, nicht einfach jeden Dreck anzuklicken oder runterzuladen :bash:

Einige Tage zuvor bekam ich eine Warnmail von Google, dass ein "komischer Zugriff" stattgefunden hat und auch das Amazon-Konto meiner Frau und mir wurde vorübergehend gesperrt. Auf die Dienst-Mailbox meiner Frau (Zugriff teilweise über den privaten Laptop) kam eine Mail von wegen gehackt mit der Angabe des korrekten Passwortes.
Passt also alles zusammen und da wären wir gleich beim Thema, für jeden Account ein eigenes Passwort zu verwenden :rolleyes:

Am Windows 10 ist kein externer Virenschutz drauf, der Windows Defender wird verwendet. Der Echtzeitschutz ist nicht angesprungen, erst bei einem vollständigen Systemscan wurde eine Bedrohung gefunden -> win32/Lazy!MSR
Finder mit genau der Bezeichnung nix im Google, aber Win32/Lazy.RDB!MTB ist wohl relativ gleich.

Kann nicht gelöscht und auch nicht in Quarantäne verschoben werden, vermutlich weil gerade aktiv.
Ich lese immer wieder, dass man es im abgesicherten Modus versuchen soll. Doch dort startet der Scan mit dem Windows Defender nicht, die Anzahl der gescannten Dateien bleibt auf 0 und auch die Restzeit bleibt auf 0. Festplatten LED am Notebook zeigt keine Aktivität.

Hab dann den Avast Free runtergeladen, der findet im normalen Windows Mode nix. Im abgesicherten Modus startet er nicht.

Bin für jeden Tipp offen!
Dankeschön!

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3543
Das System ist kompromittiert, du kannst ihm nichtmehr vertrauen.
Platt machen und neu anfangen.
Ein trusted device nehmen und _ALLE_ Passwörter ändern. 2FA verwenden wos geht.

Alles andere ist sinnlos.

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Was UnleashThebeast schreibt.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19689
Ack, anfangen mit wichtigen Dingen wie Email Accounts, Bank Accounts > dort unbedingt 2FA (und sollte jeder seriöser Anbieter haben) und dann kann man sich so langsam an den Rest heran wagen.

Ohne Passwort-Manager könnte ich nicht mehr leben, habe überall ein random generiertes Passwort. Wenn jemand irgendwo Zugriff auf einen Account bekommt aus welchen Gründen auch immer hilft ihm das genau nur dort und sonst nirgends. Nutze aber immer noch normales KeePass und traue den Online Cloud Pass Anbietern (aus gutem Grund) nicht.
Mit einem längeren Passwort das man sich merken kann hat man damit auch am Smartphone kein Problem idR.

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6455
Was du machen kannst ist ein Windows Defender offline Scan, hier steht beschrieben wie du einen starten kannst:

https://support.microsoft.com/en-us...80-ff533f183d6c

Dennoch, nach Sicherung deiner Daten, neu installieren!

pirate man

Here to stay
Registered: Jul 2001
Location: @ home
Posts: 5562
Hab ich schon vermutet, dass ich um ein Neuinstallieren nicht herum komm.
Natürlich schon etliches googelt bzgl. Virenscanner und extrem verwundert, dass der Defender im abgesicherten Modus nicht tut.

Defender Offline ist der nächste Step.
Mal schauen, ob ich den Dreck damit runterbekomm.

Danke für Erste!

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4281
von Heise gibts

pirate man

Here to stay
Registered: Jul 2001
Location: @ home
Posts: 5562
Windows Defender offline hat nix gefunden. Scheinbar ist das aber nur eine Schnellüberprüfung, war nach 10 Minuten fertig.
Hab danach nochmal einen vollständigen Scan machen lassen mit ca. 1 Stunde Laufzeit. Da wurde der ursprüngliche Virus auch nicht mehr gefunden.
Dafür aber ein anderer mit Namen BAT/ExlusionTamper.A in den KMSTools, die ich schon seit Jahren fürs Office freischalten verwende :rolleyes:
Aber solche Tools und Keygens werden ja gerne als Virus erkannt. Trotzdem sicherheitshalber gelöscht.

Ich habe gestern manuell einige Dateien gelöscht, von denen ich vermutet habe, dass dort der Trojaner versteckt sein könnte. Diese waren auf meiner Datenpartition, also nicht C:
Erscheint mir allerdings als zu einfach, dass der Schädling durch das Löschen jetzt einfach verschwunden wäre?

Ich traue der Sache nicht so ganz!?

Den Bausatz von Heise schaue ich mir an.
Danke, kleinerChemiker

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3543
Zitat aus einem Post von pirate man
Ich habe gestern manuell einige Dateien gelöscht, von denen ich vermutet habe, dass dort der Trojaner versteckt sein könnte. Diese waren auf meiner Datenpartition, also nicht C:
Erscheint mir allerdings als zu einfach, dass der Schädling durch das Löschen jetzt einfach verschwunden wäre?

Ich traue der Sache nicht so ganz!?

Noch einmal:

Zitat aus einem Post von UnleashThebeast
Das System ist kompromittiert, du kannst ihm nichtmehr vertrauen.
Platt machen und neu anfangen.
Ein trusted device nehmen und _ALLE_ Passwörter ändern. 2FA verwenden wos geht.

Alles andere ist sinnlos.

WONDERMIKE

Administrator
kenough
Avatar
Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10666
Zitat aus einem Post von pirate man
Auf die Dienst-Mailbox meiner Frau (Zugriff teilweise über den privaten Laptop) kam eine Mail von wegen gehackt mit der Angabe des korrekten Passwortes.

Nicht vergessen das beim Arbeitgeber zu melden.

pirate man

Here to stay
Registered: Jul 2001
Location: @ home
Posts: 5562
@Unleash

Ja, wird eh platt gemacht. Der Zeitpunkt ****ed mich nur grad extrem an, da ich demnächst einen neuen Laptop checken wollte :rolleyes:
Ich würd halt gern verstehen, warum etwas ist wie es ist :D

@ Wondermike

Wurde natürlich gemacht.
Bearbeitet von pirate man am 10.03.2023, 20:41

pirate man

Here to stay
Registered: Jul 2001
Location: @ home
Posts: 5562
Problem (hoffentlich) behoben.

2-maliger Komplettcheck durch Avira und Antivir Boot Image -> nix gefunden.
Windows neu installiert.
Passwörter geändert.

Danke für die Tipps. War eigentlich alles logisch, aber erster und hoffentlich auch letzter Virus.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz