G
Gast598
Gast
Lass mich raten... Mining-Shit! Endlich werden sie selbst das Opfer ihrer Fremd-System-Auslaster, woran sich diejenigen auch noch bereichern.
Anzeige
[gelöst] Hilfe, ständig kommt "Trojan:Win32/CryptInject" wieder
- Ersteller Mais:)
- Erstellt am
Lass mich raten... Mining-Shit! Endlich werden sie selbst das Opfer ihrer Fremd-System-Auslaster, woran sich diejenigen auch noch bereichern.
Anzeige
P
Parge Lenis
Gast
Der TE hat seit Eröffnung nicht einmal geantwortet. Er hat hier so viele Anregungen bekommen, von Adblocker für seinen Browser, zusätzliche Software um Schädlinge zu entdecken, sein System zu scannen. Warten wir doch erst einmal ab. Mich würde auch interessieren, wie er sein System bis dato schützt, oder was er sonst noch installiert hat.
tkmopped
gehört zum Inventar
Das müssen nicht mal unbedingt die berühmten dubiosen Seiten gewesen sein. Es reicht schon von irgendeinem "helfenden" Treiberaktualisierungstool sowas untergeschoben zu bekommen. Oder du erhälst auf eine Suchanfrage den berühmten unauffälligen Rechtschreibfehler zuoberst angeboten. Eine fast identisch aufgebaute Seite, die du seit längerem bemühst oder den unauffälligen Anhang einer Mail. Der verseuchte USB-Stick eines Kumpels und die achtlos weggeklickte UAC-Abfrage. Möglichkeiten über Möglichkeiten. In Win10 ist es fast nur möglich etwas zu verändern wenn der Benutzer das erlaubt - oder nicht verbietet.
Wenn man einfach mal so diese Ursache und die Änderungen am System herausfinden könnte - damit kannst du richtig Kohle machen.
Frohlocke das der Defender das Dingens geblockt hat. CryptInject - ist wohl schon ein älterer Verschlüsselungstrojaner. "Mining" würdest du im Taskmanager sehen.
Wenn man einfach mal so diese Ursache und die Änderungen am System herausfinden könnte - damit kannst du richtig Kohle machen.
Frohlocke das der Defender das Dingens geblockt hat. CryptInject - ist wohl schon ein älterer Verschlüsselungstrojaner. "Mining" würdest du im Taskmanager sehen.
G
Gelöschtes Mitglied 78250
Gast
Ich fasse mal zusammen, weil die Spekulationen gerade wild laufen:
isa2.exe im Cache des IE, ggf Edge!?
IE und Edge sollten fragen, wenn eine EXE geladen wird!
Falls das nicht passiert, gibt es drei Optionen:
- beide sind verstellt
- keiner von den beiden, sondern eine dritte Anwendung, die sich so zB ihre Updates zieht
- eine Sicherheitslücke in was auch immer im System. (Live Kacheln und win32k wurde zuletzt genannt)
Neben Adwcleaner/MBAM müsste man mal die Liste der installierten und laufenden Software einsehen.
Es gäbe einen etwas aufwendigeren Weg: Process Monitor
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Man müsste einen passenden Filter erstellen, der speziell auf den "inetcache" und diese Datei filtert.
Siehe Bild.
Sollte die Ergebnisliste länger ausfallen, müsste man die Parameter ergänzen. Derzeit reagiert PM auf den Pfad, auf die Datei, Read & Create.
Ggf müsste man man WD so einstellen, dass der Cache ausgelassen wird bei den aktiven Prüfungen, weil sonst das Ergebnis verfälscht wird, weil direkt gesperrt.
So am Rande, ich würde das mittels "Sandboxie" einsperren, es gibt mit Lizenz die Möglichkeit, forcierte Ordner zu nutzen - danach werden alle Dateien, die zB im inetcache versucht werden zu starten, in die Sandbox (ohne Internet) gepresst, es passiert kein Schaden im eigentlichen System. Nutzen lässt sich der Cache dennoch, Auslesen funktioniert wie gehabt, nur Starts nicht mehr.
isa2.exe im Cache des IE, ggf Edge!?
IE und Edge sollten fragen, wenn eine EXE geladen wird!
Falls das nicht passiert, gibt es drei Optionen:
- beide sind verstellt
- keiner von den beiden, sondern eine dritte Anwendung, die sich so zB ihre Updates zieht
- eine Sicherheitslücke in was auch immer im System. (Live Kacheln und win32k wurde zuletzt genannt)
Neben Adwcleaner/MBAM müsste man mal die Liste der installierten und laufenden Software einsehen.
Es gäbe einen etwas aufwendigeren Weg: Process Monitor
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Man müsste einen passenden Filter erstellen, der speziell auf den "inetcache" und diese Datei filtert.
Siehe Bild.
Sollte die Ergebnisliste länger ausfallen, müsste man die Parameter ergänzen. Derzeit reagiert PM auf den Pfad, auf die Datei, Read & Create.
Ggf müsste man man WD so einstellen, dass der Cache ausgelassen wird bei den aktiven Prüfungen, weil sonst das Ergebnis verfälscht wird, weil direkt gesperrt.
So am Rande, ich würde das mittels "Sandboxie" einsperren, es gibt mit Lizenz die Möglichkeit, forcierte Ordner zu nutzen - danach werden alle Dateien, die zB im inetcache versucht werden zu starten, in die Sandbox (ohne Internet) gepresst, es passiert kein Schaden im eigentlichen System. Nutzen lässt sich der Cache dennoch, Auslesen funktioniert wie gehabt, nur Starts nicht mehr.
Anhänge
Hallo zusammen und schonmal vielen Dank für die vielen Antworten.
Neu installieren möchte ich natürlich eher ungerne, daher halte ich diese Option mal als letzte Lösungsoption offen.
Dubiose E-Mail Anhänge habe ich nie geöffnet, aber bereits geschickt bekommen. Aber es kann natürlich sein, daß Google oder Bing mich auf eine unseriöse Seite gelotst haben.
Ich habe versucht, den Offline-Scan mit dem Windows Defender durchzuführen. Klappt aber nicht so wie ich es gerne hätte. Leider startet nach dem Neustart jedesmal "Dell Backup & Recovery", anstatt des Offline-Scans.
Ich habe jetzt in Edge die Addons: "Video Downloader Professional", "RoboForm" und "Enhancer for YouTube" deinstalliert.
Browserverlauf, Cache etc. habe ich auch gelöscht
Als Adblocker habe ich den Adblock Plus in Edge installiert.
Den Vorschlag mit dem Process Monitor muß ich mir mal in Ruhe anschauen. Ich habe leider selten Gelegenheit mir sowas in Ruhe anzusehen (bin eigentlich nie alleine zu Hause und wenn ständig jemand was will, wie soll man sich da auf sowas konzentrieren...)
Ich werde mal bei Gelegenheit die Daten auf einen externen Datenträger überspielen und dann mich der Sache annehmen.
Waäre schon dankbar, wenn ich wüßte, wie ich diesen Offline-Scan durchführen kann, ohne daß Dell Backup&Recovery startet.
Neu installieren möchte ich natürlich eher ungerne, daher halte ich diese Option mal als letzte Lösungsoption offen.
Dubiose E-Mail Anhänge habe ich nie geöffnet, aber bereits geschickt bekommen. Aber es kann natürlich sein, daß Google oder Bing mich auf eine unseriöse Seite gelotst haben.
Ich habe versucht, den Offline-Scan mit dem Windows Defender durchzuführen. Klappt aber nicht so wie ich es gerne hätte. Leider startet nach dem Neustart jedesmal "Dell Backup & Recovery", anstatt des Offline-Scans.
Ich habe jetzt in Edge die Addons: "Video Downloader Professional", "RoboForm" und "Enhancer for YouTube" deinstalliert.
Browserverlauf, Cache etc. habe ich auch gelöscht
Als Adblocker habe ich den Adblock Plus in Edge installiert.
Den Vorschlag mit dem Process Monitor muß ich mir mal in Ruhe anschauen. Ich habe leider selten Gelegenheit mir sowas in Ruhe anzusehen (bin eigentlich nie alleine zu Hause und wenn ständig jemand was will, wie soll man sich da auf sowas konzentrieren...)
Ich werde mal bei Gelegenheit die Daten auf einen externen Datenträger überspielen und dann mich der Sache annehmen.
Waäre schon dankbar, wenn ich wüßte, wie ich diesen Offline-Scan durchführen kann, ohne daß Dell Backup&Recovery startet.
G
Gelöschtes Mitglied 78250
Gast
Dieses Recovery kurzer Hand raustreten = deinstallieren.
Wenn eine Software eine relevante Sicherheitsroutine blockiert, ist das extremst grenzwertig bis zur Sabotage. Da könnte man auch direkt weiterspekulieren, was Dell noch so alles lahmlegt im Hintergrund, wo dann Tür und Tor offen sind. Warum muss man solche Gedanken eigentlich noch aussprechen?
hmm, alle Alarmlampen an und du ignorierst es. Dann kann man dir auch das Auto vor der Nase klauen und du schaust zu, wird ja eh irgendwann wiedergefunden? Windows Defender verhindert grad den worst case, du gehst Kaffee trinken, deine Daten und Dokumente sind egal.
G
Gelöschtes Mitglied 101996
Gast
Hier auch noch was bei Trojaner-Board.de - Win32.Trojan.Inject.Auto Trojan Virus entfernen
Ich habe das Gerät direkt vom Netz genommen, also es konnten keine Daten mehr gesendet werden.
Das Dell Backup & Recovery ist leider etwas hartnäckig, es läßt sich nicht Deinstallieren. Die Deinstallation stürzt dauernd mit einer Fehlermeldung ab.
Ansonsten habe ich auch alles was ich nicht benötige an Softwaretools und Browsererweiterungen deinstalliert. Alle Temp-Ordner, Caches, Browserverläufe und gespeicherte Registerkarten etc. gelöscht.
Sämtliche Autostart-Einträge und Dienste von Fremdanbietern die ich nicht benötige habe ich deaktiviert.
Ich habe nun heute Mittag die im Link der von Ponderosa vorgestellten Tools durchlaufen lassen und die gefundenen Bedrohungen beseitigt.
Seitdem hat der Windows Defender keine neuen Funde gemeldet. Ist schon ein großer Fortschritt, denn bislang war es so, daß der Schädling sich mehrmals am Tag gemeldet hat. Werde das Gerät mal unter Beobachtung behalten, ob sich da wieder etwas tut und ob die Trojaner-entfernungs-Tools nochmal anschlagen. Es muß ja möglich sein, diesen Trojaner loszuwerden, ohne das Gerät komplett neu aufsetzten zu müssen.
Reiner Lös
treuer Stammgast
Gerade dann, wenn so eine Software vom Computerhersteller herum zickt, gehört das neu aufgesetzt.
Und nein, es ist ohne Spezialsoftware und -wissen im Prinzip nicht möglich, Schadsoftware vom Rechner zu entfernen, besonders, wenn sie mit Administratorrechten auf den Rechner gelangt ist.
Bei Trojaner-Board verwenden sie, so wie ich das gesehen habe, Standard-Wald-und-Wiesensoftware. Wer garantiert dir, dass alles weg ist, nur weil der Defender nichts mehr findet?
Ich würde mich nicht darauf verlassen.
Und nein, es ist ohne Spezialsoftware und -wissen im Prinzip nicht möglich, Schadsoftware vom Rechner zu entfernen, besonders, wenn sie mit Administratorrechten auf den Rechner gelangt ist.
Bei Trojaner-Board verwenden sie, so wie ich das gesehen habe, Standard-Wald-und-Wiesensoftware. Wer garantiert dir, dass alles weg ist, nur weil der Defender nichts mehr findet?
Ich würde mich nicht darauf verlassen.
G
Gelöschtes Mitglied 73230
Gast
Ich nehme an,dieses "Dell BackUp"ist Bloadware die vorinstalliert auf deinem Gerät ist.
https://www.shouldiremoveit.com/Dell-oem-bloatware.aspx
Solchen "Crap"kann man rausschmeissen.
Und wenn du auf normalem Weg dieses Dell Backup nicht loswirst,ist das wieder ein Punkt mehr,der dafür spricht,einen komplett neuen Cleaninstall auf leere Platte zu machen.Dann ist das Zeug nämlich gleich alles weg und du hast ein sauberes,schlankes.schnelles,sicheres und funktionables Windows 10 System.
https://www.shouldiremoveit.com/Dell-oem-bloatware.aspx
Solchen "Crap"kann man rausschmeissen.
Und wenn du auf normalem Weg dieses Dell Backup nicht loswirst,ist das wieder ein Punkt mehr,der dafür spricht,einen komplett neuen Cleaninstall auf leere Platte zu machen.Dann ist das Zeug nämlich gleich alles weg und du hast ein sauberes,schlankes.schnelles,sicheres und funktionables Windows 10 System.
Zuletzt bearbeitet von einem Moderator:
florian-luca
gehört zum Inventar
Hi
zu :
https://www.dell.com/support/contents/de/de/debsdt1/article/product-support/self-support-knowledgebase/software-and-downloads/dell-backup-solutions/dell-backup-and-recovery
komplett deinstallieren
https://thomasheinz.net/dell-backup-and-recovery-manager-deinstallieren/
komplett installieren mit Download
https://www.dell.com/support/home/de/de/debsdt1/drivers/driversdetails?driverid=gx7tx
mfg florian-luca
zu :
was ist das ?
https://www.dell.com/support/contents/de/de/debsdt1/article/product-support/self-support-knowledgebase/software-and-downloads/dell-backup-solutions/dell-backup-and-recovery
komplett deinstallieren
https://thomasheinz.net/dell-backup-and-recovery-manager-deinstallieren/
komplett installieren mit Download
https://www.dell.com/support/home/de/de/debsdt1/drivers/driversdetails?driverid=gx7tx
mfg florian-luca
PeterK
Immer auf der Schraube
Ja das ist schon möglich einen Trojaner loszuwerden, aber wahrscheinlich weder für dich als auch für mich, dazu ist das Thema Trojaner einfach zu komplex.
Ein Trojaner ist ist leider nur ein Mittel zum Zweck, hier mal eine schöne Erklärung https://www.kaspersky.de/resource-center/threats/trojans Grundsätzlich kann man aber sagen, sobald ein AV Programm einen Trojaner auf einem PC entdeckt, gilt der PC schon als infiziert, entweder hat man dann ein Backup was den PC auf einen vorherigen Zeitpunkt zurücksetzt oder aber man installiert eben Neu.
Das ist so ähnlich wie wenn du einen Haustürschlüssel Verlierst an dem deine Adresse angehängt war, in dem Fall ersetzt man das Türschloss einfach durch ein Neues.
G
Gelöschtes Mitglied 78250
Gast
Hast du dich in der verplemperten Zwischenzeit dann auch mal mit Process Monitor wie empfohlen beschäftigt?
Weil die Fronten inzwischen klar sind, wenn du nicht willst, dass ist der Drops gelutscht, sieh zu, wie du selbst zurande kommst, dann sind auch andere Probleme völlig uninteressant. Kein Fortschritt, ich bin raus, das ist zu albern.
Weil die Fronten inzwischen klar sind, wenn du nicht willst, dass ist der Drops gelutscht, sieh zu, wie du selbst zurande kommst, dann sind auch andere Probleme völlig uninteressant. Kein Fortschritt, ich bin raus, das ist zu albern.
Zuletzt bearbeitet von einem Moderator:
Anzeige