Trojaner eingefangen
5 gefunden
4 entfernt
was kann ich tun ?
was macht dieser Trojaner ?
Anmerkung: mein Password Manger Password Depot v.9 füllt die Eingabefelder bei einer Anmeldung nicht mehr automatisch aus
Nachtrag:
Nach dem 2. oder 3. mal booten ist der Trojaner wieder voll da - wie oben vermerkt, 5 gefunden 4 entfernt
gescannt mit Emsisoft Emergency Kit
Scan-Beginn: 20.04.2017 07:30:40
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287272]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287272]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287273]
Gescannt: 138611
Gefunden 5
Scan-Ende: 20.04.2017 07:31:46
Scan-Zeit: 0:01:06
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Quarantäne 4
Wenn du kein Backup zum einspielen hast und auch dein System nicht neu aufsetzen willst, mein Vorschlag: melde dich im TB an und mache dort: http://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/ ein neues Thema auf. Oder warte hier ab ob es bei Rokop jemand gibt der dir hilft.
Schau Dir mal diesen thread an: https://www.bleepingcomputer.com/forums/t/644498/smart-service-trojanrootkit/
jo, fang mal an:
nachdem mir klar wurde dass ich mit meinen Mitteln das Teil nicht losbekomme und alle möglichen Programme zur Entfernung verwendet habe...habe ich an einen PC im Heimnetzwerk eine ext. HDD angeschlossen, Freigabe Verzeichnis und dann kopieren was geht.
Jetzt war ja nur die SystemHDD betroffen mit ca. 300 GByte Nutzdaten.
Nach ca. 280 GByte gabs "einen Knall", plötzlich wurde der Sichererungsvorgang unterbrochen und die Daten wurden auf dem BackupPC gelöscht - ist jetzt kein Witz.
Parallel habe ich dann noch meinen Notebook mit dem EM-Kit überprüft und den gleichen Sachverhalt feststellen müssen wie am PC
Habe dann versuchsweise einfach mal den DSL Stecker gezogen, also kein Internet, aber noch Intranet
dann auf beiden Maschinen das EM-Kit laufen lassen, kein Befund mehr, plötzlich waren auch beide Maschinen wieder wesentlich schneller, reagierten wieder mit normaler Geschwindigkeit
auf den verseuchten Maschinen konnte ich zwar ohne Probleme alle möglichen Entwanzer-Programme laufen lassen, wenn auch ohne Erflog
was aber nicht gelang war das AV Programm SecureAPlus korrekt zum laufen zu bringen auf den Seuchenmaschinen. Konnte das Programm installieren, aber ein vollständiger Check der Maschinen war nicht möglich - SecrueAPlus konnte keine Verbindung zum Server/Cloud aufbauen. Auf meinen beiden anderen Maschinen auf denen SecureAPlus schon sein längerer Zeit installiert war läuft das Programm ohne Beanstandung.
Nachdem ich das Internet gekappt hatte konnte ich die Daten sichern. Habe dann die SSD komplett überschrieben und dann Windows neu installiert
morgen nehme ich mir das Notebook vor
PS: für mich sieht das so aus, dass - ich sage jetzt mal Angreifer - alle meine Sicherheitsprogramme nicht nur unterlaufen, sondern auch noch selbst bestimmen konnte wann er aktiv sein wollte und welche Aktionen er durchführen möchte
möglicherweise, da ich ein politischer Aktivist bin, hängt es damit zusammen
Wie schon von simracer empfohlen, kannst du beim Trojaner-Board deinen Rechner pruefen lassen. Dort gibt es Helfer, die sich damit bestens auskennen...
habe alles wie von
Ford Prefect
abgearbeitet. Auch das Trojaner-Board durchgearbeitet
nur,
Fakt ist: nur Emsisoft erkennt den Trojaner
nachdem das System neu aufgesetzt wurde und direkt Emsisoft installiert wurde war ein paar Tage ruhe.
Dieser Trojaner wird durch Downloads bzw. durch Thunderbird (bei meinem Vater) bzw. durch Postbox (nutze ich als 2. eMail Client) eingeschleust
jetzt kommt aber Emsisoft in`s Spiel
scheinbar ist es so, dass wenn Emsisoft bereits installiert wurde bevor der Trojaner aktiv wird, dann findet Emsisoft 4 von Trojaner und kann auch 4 löschen (vorher 5 gefunden und 4 können gelöscht werden)
jetzt der Hammer: wenn man nach dem löschen bootet ist der Trojaner wieder da
wenn man aber den PC vom Netz nimmt, ein paar Minuten wartet bis alles Elkos entladen sind, keinerlei Spannung wo auch immer mehr anliegt -
und man dann bootet und das System überprüft ist der Trojaner weg -
zumindest bis zum Zeitpunkt x wo er sich über einen Download wieder installieren kann
Die Frage ist einfach, warum nur Emsisoft (außer Kaspersky hab` ich so ziemlich alles ausprobiert) kein Programm den Virus erkennt, geschweige den löschen kann
Übrigens: habe mit aktivem Trojaner Malwarebytes, SUPERAntispyware und mehrere andere Scanner laufen lassen, keines der Programme hat den Trojaner erkannt, außer Emsisoft
Emsisoft Anti-Malware – Version 2017.4.0.7424
Letztes Update: 05.05.2017 20:18:36
Benutzerkonto: PC\HH
Computer name: PC
OS version: Windows 10x64
Scan-Einstellungen:
Scan-Methode:
Objekte: Rootkits, Speicher, Traces, C:\
Erkenne PUPs: An
Archive scannen: An
ADS-Scan: An
Dateierweiterungen: Aus
Direkter Festplattenzugriff: An
Scan-Beginn: 05.05.2017 20:44:30
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287272]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287273]
Gescannt 292553
Gefunden 4
Scan-Ende: 05.05.2017 20:47:46
Scan-Zeit: 0:03:16
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Unter Quarantäne: 4
Du kannst ja auch direkt im Emsisoft-Forum nachfragen, von denen kommt die Signatur Trojan.SmartService (A)
https://support.emsisoft.com/forum/11-hilfe-mein-pc-ist-infiziert/
ja klar, hatte ich ja auch sofort getan, eMail Verkehr liegt vor
Anmerkung: Ein sicheres Zeichen dass der Trojaner aktiv ist, wenn der PC langsamer wird, zäh reagiert
eingelesen und Schritt für Schritt alles gemacht was empfohlen wurde -
in Wiederholung: nur der Scanner von Emsisoft fand den Trojaner
interessanter war da schon
https://www.bleepingcomputer.com/forums/t/6...-trojanrootkit/
hat aber auch nichts gebracht
kein Scanner hat was erkannt
eigentlich hab ich den Trojaner erst unter Kontrolle seit der Neuinstallation, der sofortigen Installation von Emsisoft. Nach dem entfernen muss man aber den PC mit dem Netzschalter off stellen damit alles vollständig aus dem Speicher entfernt wird
Mal ehrlich ... das ist doch alles nur Halbgares.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)