Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Trojan.SmartService (A
RacingPaul
Beitrag 20.04.2017, 06:56
Beitrag #1



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 38
Mitglied seit: 27.07.2006
Mitglieds-Nr.: 5.165

Betriebssystem:
Win 8.1 Pro 64 Bit
Virenscanner:
KIS 2015
Firewall:
KIS 2015



Trojaner eingefangen

5 gefunden
4 entfernt

was kann ich tun ?
was macht dieser Trojaner ?
Anmerkung: mein Password Manger Password Depot v.9 füllt die Eingabefelder bei einer Anmeldung nicht mehr automatisch aus

Nachtrag:
Nach dem 2. oder 3. mal booten ist der Trojaner wieder voll da - wie oben vermerkt, 5 gefunden 4 entfernt

gescannt mit Emsisoft Emergency Kit


Scan-Beginn: 20.04.2017 07:30:40
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287272]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287272]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Gefunden: Trojan.SmartService (A) [287273]

Gescannt: 138611
Gefunden 5

Scan-Ende: 20.04.2017 07:31:46
Scan-Zeit: 0:01:06

Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A)

Quarantäne 4

Der Beitrag wurde von RacingPaul bearbeitet: 20.04.2017, 08:37
Go to the top of the page
 
+Quote Post
simracer
Beitrag 20.04.2017, 09:31
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.369
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
F-Secure
Firewall:
GlassWire Free



Wenn du kein Backup zum einspielen hast und auch dein System nicht neu aufsetzen willst, mein Vorschlag: melde dich im TB an und mache dort: http://www.trojaner-board.de/plagegeister-...en-bekaempfung/ ein neues Thema auf. Oder warte hier ab ob es bei Rokop jemand gibt der dir hilft.


--------------------
Go to the top of the page
 
+Quote Post
Ford Prefect
Beitrag 20.04.2017, 09:49
Beitrag #3



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.041
Mitglied seit: 11.05.2006
Mitglieds-Nr.: 4.898

Betriebssystem:
win7 x64
Virenscanner:
G Data TotalProtection
Firewall:
G Data TotalProtection



Schau Dir mal diesen thread an: https://www.bleepingcomputer.com/forums/t/6...-trojanrootkit/


--------------------
Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein
Go to the top of the page
 
+Quote Post
RacingPaul
Beitrag 21.04.2017, 01:35
Beitrag #4


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 38
Mitglied seit: 27.07.2006
Mitglieds-Nr.: 5.165

Betriebssystem:
Win 8.1 Pro 64 Bit
Virenscanner:
KIS 2015
Firewall:
KIS 2015



jo, fang mal an:

nachdem mir klar wurde dass ich mit meinen Mitteln das Teil nicht losbekomme und alle möglichen Programme zur Entfernung verwendet habe...habe ich an einen PC im Heimnetzwerk eine ext. HDD angeschlossen, Freigabe Verzeichnis und dann kopieren was geht.

Jetzt war ja nur die SystemHDD betroffen mit ca. 300 GByte Nutzdaten.

Nach ca. 280 GByte gabs "einen Knall", plötzlich wurde der Sichererungsvorgang unterbrochen und die Daten wurden auf dem BackupPC gelöscht - ist jetzt kein Witz.

Parallel habe ich dann noch meinen Notebook mit dem EM-Kit überprüft und den gleichen Sachverhalt feststellen müssen wie am PC

Habe dann versuchsweise einfach mal den DSL Stecker gezogen, also kein Internet, aber noch Intranet

dann auf beiden Maschinen das EM-Kit laufen lassen, kein Befund mehr, plötzlich waren auch beide Maschinen wieder wesentlich schneller, reagierten wieder mit normaler Geschwindigkeit

auf den verseuchten Maschinen konnte ich zwar ohne Probleme alle möglichen Entwanzer-Programme laufen lassen, wenn auch ohne Erflog

was aber nicht gelang war das AV Programm SecureAPlus korrekt zum laufen zu bringen auf den Seuchenmaschinen. Konnte das Programm installieren, aber ein vollständiger Check der Maschinen war nicht möglich - SecrueAPlus konnte keine Verbindung zum Server/Cloud aufbauen. Auf meinen beiden anderen Maschinen auf denen SecureAPlus schon sein längerer Zeit installiert war läuft das Programm ohne Beanstandung.

Nachdem ich das Internet gekappt hatte konnte ich die Daten sichern. Habe dann die SSD komplett überschrieben und dann Windows neu installiert
morgen nehme ich mir das Notebook vor

PS: für mich sieht das so aus, dass - ich sage jetzt mal Angreifer - alle meine Sicherheitsprogramme nicht nur unterlaufen, sondern auch noch selbst bestimmen konnte wann er aktiv sein wollte und welche Aktionen er durchführen möchte
möglicherweise, da ich ein politischer Aktivist bin, hängt es damit zusammen

Der Beitrag wurde von RacingPaul bearbeitet: 21.04.2017, 01:39
Go to the top of the page
 
+Quote Post
RacingPaul
Beitrag 22.04.2017, 06:28
Beitrag #5


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 38
Mitglied seit: 27.07.2006
Mitglieds-Nr.: 5.165

Betriebssystem:
Win 8.1 Pro 64 Bit
Virenscanner:
KIS 2015
Firewall:
KIS 2015



Trojaner
Angehängte Datei(en)
Angehängte Datei  Staatstrojaner.pdf ( 92.69KB ) Anzahl der Downloads: 17
 
Go to the top of the page
 
+Quote Post
raman
Beitrag 22.04.2017, 07:30
Beitrag #6



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Wie schon von simracer empfohlen, kannst du beim Trojaner-Board deinen Rechner pruefen lassen. Dort gibt es Helfer, die sich damit bestens auskennen...


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
RacingPaul
Beitrag 05.05.2017, 20:17
Beitrag #7


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 38
Mitglied seit: 27.07.2006
Mitglieds-Nr.: 5.165

Betriebssystem:
Win 8.1 Pro 64 Bit
Virenscanner:
KIS 2015
Firewall:
KIS 2015



habe alles wie von

Ford Prefect

abgearbeitet. Auch das Trojaner-Board durchgearbeitet

nur,

Fakt ist: nur Emsisoft erkennt den Trojaner

nachdem das System neu aufgesetzt wurde und direkt Emsisoft installiert wurde war ein paar Tage ruhe.

Dieser Trojaner wird durch Downloads bzw. durch Thunderbird (bei meinem Vater) bzw. durch Postbox (nutze ich als 2. eMail Client) eingeschleust

jetzt kommt aber Emsisoft in`s Spiel
scheinbar ist es so, dass wenn Emsisoft bereits installiert wurde bevor der Trojaner aktiv wird, dann findet Emsisoft 4 von Trojaner und kann auch 4 löschen (vorher 5 gefunden und 4 können gelöscht werden)

jetzt der Hammer: wenn man nach dem löschen bootet ist der Trojaner wieder da

wenn man aber den PC vom Netz nimmt, ein paar Minuten wartet bis alles Elkos entladen sind, keinerlei Spannung wo auch immer mehr anliegt -

und man dann bootet und das System überprüft ist der Trojaner weg -
zumindest bis zum Zeitpunkt x wo er sich über einen Download wieder installieren kann

Die Frage ist einfach, warum nur Emsisoft (außer Kaspersky hab` ich so ziemlich alles ausprobiert) kein Programm den Virus erkennt, geschweige den löschen kann

Übrigens: habe mit aktivem Trojaner Malwarebytes, SUPERAntispyware und mehrere andere Scanner laufen lassen, keines der Programme hat den Trojaner erkannt, außer Emsisoft


Emsisoft Anti-Malware – Version 2017.4.0.7424
Letztes Update: 05.05.2017 20:18:36
Benutzerkonto: PC\HH
Computer name: PC
OS version: Windows 10x64

Scan-Einstellungen:

Scan-Methode:
Objekte: Rootkits, Speicher, Traces, C:\

Erkenne PUPs: An
Archive scannen: An
ADS-Scan: An
Dateierweiterungen: Aus
Direkter Festplattenzugriff: An

Scan-Beginn: 05.05.2017 20:44:30
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287271]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287272]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Trojan.SmartService (A) [287273]

Gescannt 292553
Gefunden 4

Scan-Ende: 05.05.2017 20:47:46
Scan-Zeit: 0:03:16

Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C} Unter Quarantäne: Trojan.SmartService (A)

Unter Quarantäne: 4


Go to the top of the page
 
+Quote Post
citro
Beitrag 05.05.2017, 23:36
Beitrag #8



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



Du kannst ja auch direkt im Emsisoft-Forum nachfragen, von denen kommt die Signatur Trojan.SmartService (A)

https://support.emsisoft.com/forum/11-hilfe...-ist-infiziert/

Der Beitrag wurde von citro bearbeitet: 05.05.2017, 23:39
Go to the top of the page
 
+Quote Post
RacingPaul
Beitrag 06.05.2017, 05:23
Beitrag #9


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 38
Mitglied seit: 27.07.2006
Mitglieds-Nr.: 5.165

Betriebssystem:
Win 8.1 Pro 64 Bit
Virenscanner:
KIS 2015
Firewall:
KIS 2015



ja klar, hatte ich ja auch sofort getan, eMail Verkehr liegt vor


Anmerkung: Ein sicheres Zeichen dass der Trojaner aktiv ist, wenn der PC langsamer wird, zäh reagiert

Der Beitrag wurde von RacingPaul bearbeitet: 06.05.2017, 05:25
Go to the top of the page
 
+Quote Post
Nyte
Beitrag 06.05.2017, 07:58
Beitrag #10



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 480
Mitglied seit: 28.04.2010
Mitglieds-Nr.: 8.059



ZITAT(RacingPaul @ 05.05.2017, 21:17) *
Auch das Trojaner-Board durchgearbeitet


Soll heißen?

Hast Du Dich dort nur eingelesen oder hast Du dort eine Bereinigung durchführen lassen?

Im ersteren Fall solltest Du im entsprechenden Subforum eine Bereinigung von einem Helfer durchführen lassen, im letzteren Fall die Problematik direkt mit Deinem Helfer im Originalthread abklären.


--------------------
Cheers,
Nyte


Coffee junkie and Blogger with a good sense of humor.
Go to the top of the page
 
+Quote Post
RacingPaul
Beitrag 06.05.2017, 09:10
Beitrag #11


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 38
Mitglied seit: 27.07.2006
Mitglieds-Nr.: 5.165

Betriebssystem:
Win 8.1 Pro 64 Bit
Virenscanner:
KIS 2015
Firewall:
KIS 2015



eingelesen und Schritt für Schritt alles gemacht was empfohlen wurde -
in Wiederholung: nur der Scanner von Emsisoft fand den Trojaner

interessanter war da schon
https://www.bleepingcomputer.com/forums/t/6...-trojanrootkit/
hat aber auch nichts gebracht
kein Scanner hat was erkannt

eigentlich hab ich den Trojaner erst unter Kontrolle seit der Neuinstallation, der sofortigen Installation von Emsisoft. Nach dem entfernen muss man aber den PC mit dem Netzschalter off stellen damit alles vollständig aus dem Speicher entfernt wird
Go to the top of the page
 
+Quote Post
Nyte
Beitrag 06.05.2017, 10:15
Beitrag #12



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 480
Mitglied seit: 28.04.2010
Mitglieds-Nr.: 8.059



Mal ehrlich ... das ist doch alles nur Halbgares.

ZITAT
Nach dem entfernen muss man aber den PC mit dem Netzschalter off stellen damit alles vollständig aus dem Speicher entfernt wird


ZITAT
wenn man aber den PC vom Netz nimmt, ein paar Minuten wartet bis alles Elkos entladen sind, keinerlei Spannung wo auch immer mehr anliegt -

und man dann bootet und das System überprüft ist der Trojaner weg -
zumindest bis zum Zeitpunkt x wo er sich über einen Download wieder installieren kann


Mache eine vernünftige Bereinigung wie vorgeschlagen, sonst wird das nichts.

ZITAT
nachdem das System neu aufgesetzt wurde und direkt Emsisoft installiert wurde war ein paar Tage ruhe.

Dieser Trojaner wird durch Downloads bzw. durch Thunderbird (bei meinem Vater) bzw. durch Postbox (nutze ich als 2. eMail Client) eingeschleust


Hmm ... Ohne Dir zu nahe treten zu wollen, aber irgendwie kann ich mir das nicht vorstellen: Du formatierst Deine Festplatte, setzt Windows neu auf und installierst die zwei genannten Programme aus seriösen Download-Quellen und schon wird Dein Rechner infiziert? Irgendwas anderes ist hier im Argen. Nochmal: erstelle am besten einen Bereinigungsthread bei TB.






--------------------
Cheers,
Nyte


Coffee junkie and Blogger with a good sense of humor.
Go to the top of the page
 
+Quote Post
simracer
Beitrag 06.05.2017, 16:36
Beitrag #13



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.369
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
F-Secure
Firewall:
GlassWire Free



ZITAT(RacingPaul @ 06.05.2017, 10:10) *
eingelesen und Schritt für Schritt alles gemacht was empfohlen wurde -
in Wiederholung: nur der Scanner von Emsisoft fand den Trojaner

interessanter war da schon
https://www.bleepingcomputer.com/forums/t/6...-trojanrootkit/
hat aber auch nichts gebracht
kein Scanner hat was erkannt

eigentlich hab ich den Trojaner erst unter Kontrolle seit der Neuinstallation, der sofortigen Installation von Emsisoft. Nach dem entfernen muss man aber den PC mit dem Netzschalter off stellen damit alles vollständig aus dem Speicher entfernt wird

Und wo findet man deinen Thread im TB Forum? verlinke den doch mal. Falls du dein System dort nicht hast bereinigen lassen, so folge dem Rat von Nyte und mach in der Bereinigungssektion: http://www.trojaner-board.de/plagegeister-...en-bekaempfung/ ein Thema auf, poste dein Anliegen und dann wird sich ein Helfer melden der dir hilft und dir auch sagen wird ob dein System bereinigt werden kann oder du besser alles formatierst und neu aufsetzt.


--------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 16.11.2024, 15:40
Impressum