Miner und sonstiges eingefangen?

apfelrauch

Ensign
Registriert
Apr. 2022
Beiträge
232
in meinem C: sind plötzlich Log Dateien von einem Miner. Wie mache ich ihn ausfindig und werde ihn los?
Ich hatte sowas schonmal, da konnte ich is per Registry finden und löschen aber diesmal find ich nix. Zudem wurde SCHON wieder, nachdem ich bereits alle Passwörter geändert habe und überall 2FA reingemacht habe (inkl sowas wie Authentificator App fürs Handy), mein Epic Games Account gehackt und jemand hat sich versucht über VPN in meine Email einzuloggen (fehlgeschlagen).

Malwarebytes und WIn Defender finden nix... wie könnte ich manuell suchen?

Unbenannt.PNG

Ergänzung ()

ich weiß auch ehrlich nicht wo ich das Ding herhabe, ich lade außer offizieller Software von deren Herstellerseiten nix runter, achte immer darauf benutzerdefiniert zu installieren und bin nicht auf gefährlichen Seiten im Netz unterwegs
 
Sicher dass dem noch so ist?
Die Log-Dateien stammen aus Januar 2022.
Läuft noch der Prozess kryptex.exe bei Dir?

Es handelte sich wohl um diese Software:
https://www.kryptex.com/de/

Von selbst springt/sprang sowas nicht auf den Rechner.
 
  • Gefällt mir
Reaktionen: Bonanca und Aduasen
ich hatte schonmal sowas vor ner Weile, wie gesagt hatte es damals geschafft zu beseitigen. Die Log Dateien sind aber neu seit heute, ich schaue öfters mal in C: rein aus anderen Gründen.
Außerdem fehlt mir etwas Platz auf der C:, könnte natürlich irgendein Windows Update sein oder so aber ich erinner mich nicht, größere Dateien geladen zu haben. Habe nur noch 4gb frei seit heute...
 
apfelrauch schrieb:
Malwarebytes und WIn Defender finden nix... wie könnte ich manuell suchen?
Bitte zwei FRST-Logs erstellen lassen (FRST.txt und Addition.txt), diese beiden Dateien dann hier einem Beitrag anhägen (unten links am Eingabefeld "Datei-Upload").

https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Info: Bleepingcomputer ist ein seröses Portal, das sich mit vielen Usern u.a. der Malwarebekämpfung gewindmet hat, und hierzu spezielle Analyseprogramme auf der Plattform zur Verfügung stellt.
 
  • Gefällt mir
Reaktionen: apfelrauch
Dr. McCoy schrieb:
Bitte zwei FRST-Logs erstellen lassen (FRST.txt und Addition.txt), diese beiden Dateien dann hier einem Beitrag anhägen (unten links am Eingabefeld "Datei-Upload").

https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Info: Bleepingcomputer ist ein seröses Portal, das sich mit vielen Usern u.a. der Malwarebekämpfung gewindmet hat, und hierzu spezielle Analyseprogramme auf der Plattform zur Verfügung stellt.
windows defender hat die Installation verhindert
 
apfelrauch schrieb:
Ich hatte sowas schonmal, da konnte ich is per Registry finden und löschen aber diesmal find ich nix.
Festplatte formatieren und mal aufpassen auf was man so klickt.
Man kann sein ganzes Leben durchleben ohne auch je eine Malware zu Gesicht zu bekommen.
 
  • Gefällt mir
Reaktionen: wolve666 und Aduasen
OK, danke, ich schaue drauf. Dauert aber einen Moment.
Ergänzung ()

Während ich weiter durch schaue, schon mal zwischendurch die Frage:
Task: {E74DD150-9690-4FE6-A452-9310C55EEBBA} - System32\Tasks\KryptexElevationFromStartup => C:\Users\Jimi\AppData\Local\Programs\kryptex-app\Kryptex.exe --from-startup (Keine Datei)
Task: {E916B1F8-8064-4C65-992F-9EE756DC85B1} - System32\Tasks\KryptexElevation => C:\Users\Jimi\AppData\Local\Programs\kryptex-app\Kryptex.exe (Keine Datei)
Hattest Du Kryptex (Kryptex Miner) mal selbst installiert?
 
  • Gefällt mir
Reaktionen: krsp13 und apfelrauch
ja, aber nur für ca 10 Minuten, habe dann sofort gemerkt dass das Käse ist. Danach hab ich ihn aber deinstalliert
 
apfelrauch schrieb:
ich weiß auch ehrlich nicht wo ich das Ding herhabe, ich lade außer offizieller Software von deren Herstellerseiten nix runter, achte immer darauf benutzerdefiniert zu installieren und bin nicht auf gefährlichen Seiten im Netz unterwegs

Dr. McCoy schrieb:
Hattest Du Kryptex (Kryptex Miner) mal selbst installiert?

apfelrauch schrieb:
ja, aber nur für ca 10 Minuten
-> Platte(n) formatieren. Neu installieren.
 
  • Gefällt mir
Reaktionen: apfelrauch
hatte gesagt ich habs mir danach nochmal eingefangen, und die Logs waren seit kurzem erst da. Ich bin regelmäßig auf C: unterwegs, das war bisher nicht da. Warum muss ich direkt formatieren?
 
apfelrauch schrieb:
ja, aber nur für ca 10 Minuten, habe dann sofort gemerkt dass das Käse ist. Danach hab ich ihn aber deinstalliert
Diese Aussage beißt sich aber dann mit der im Eröffnungsposting:
ich weiß auch ehrlich nicht wo ich das Ding herhabe, ich lade außer offizieller Software von deren Herstellerseiten nix runter, achte immer darauf benutzerdefiniert zu installieren und bin nicht auf gefährlichen Seiten im Netz unterwegs
Wenn Du die Sofware nur für EINE Sekunde drauf hast und dann wieder runterwirfst, reicht das auch aus falls sie schädliche Hintergedanken hat.

Wenn Du SICHER sein willst, dann bleibt nur tabula rasa, also platt machen und frisch installieren.
 
  • Gefällt mir
Reaktionen: DaCrazyP
Passt denn Datum und Uhrzeit bei Dir?
Die Dateien haben explizit Januar 2022 und auch in der Log-Datei ist das selbe Datum genannt (aus den Screenshots).
 
  • Gefällt mir
Reaktionen: apfelrauch und cscmptrbs
apfelrauch schrieb:
warum waren die dann die ganze Zeit bis heute nicht da?
Sie müssen vorher schon vorhanden gewesen sein, denn die dort geloggte Treiber-Version (v497.09) hast Du inzwischen gar nicht mehr installiert. Bei Dir ist derzeit aktiv (das sagt Addition.txt):
NVIDIA Grafiktreiber 516.94 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 516.94 - NVIDIA Corporation)
Und die stammt aus dem August 2022, also nach dem Vorfall:
-> https://www.nvidia.de/Download/driverResults.aspx/193041/de
Version: 516.94
Freigabedatum: 2022.8.9

Eigentlich befindet sich das System seitdem (Januar 2022) schon nicht mehr in einem vertrauenswürdigen Zustand. Das kann auch gut und gerne die wiederholten "Hacks" Deiner Accounts erklären.

Nachtrag: Du hast außerdem veraltete, verwundbare Sofware auf dem System. Denke dran, sowas künftig alles immer zu aktualisieren, sonst bleiben bekannte Schlupflöcher für Dritte offen, die sie ausnutzen und dadurch Dein System kompromittieren können.
 
  • Gefällt mir
Reaktionen: apfelrauch
also sind die von dem alten Kryptex? Dann hab ich ihn mir also nicht nochmal eingefangen? Puuh dann bin ich schonmal sehr beruhigt. Aber dann versteh ich nicht wieso die da nicht die ganze Zeit schon waren. Das macht keinen Sinn
Ergänzung ()

Dr. McCoy schrieb:
Sie müssen vorher schon vorhanden gewesen sein, denn die dort geloggte Treiber-Version (v497.09) hast Du inzwischen gar nicht mehr installiert. Bei Dir ist derzeit aktiv (das sagt Addition.txt):

Und die stammt aus dem August 2022, also nach dem Vorfall:
-> https://www.nvidia.de/Download/driverResults.aspx/193041/de


Eigentlich befindet sich das System seitdem (Januar 2022) schon nicht mehr in einem vertrauenswürdigen Zustand. Das kann auch gut und gerne die wiederholten "Hacks" Deiner Accounts erklären.

Nachtrag: Du hast außerdem veraltete, verwundbare Sofware auf dem System. Denke dran, sowas künftig alles immer zu aktualisieren, sonst bleiben bekannte Schlupflöcher für Dritte offen, die sie ausnutzen und dadurch Dein System kompromittieren können.
kannst du mir per DM verraten, was das genau für verwundbare Sachen sind bzw was du mit nicht vertrauenswürdigem Zustand meinst?
 

Ähnliche Themen

M
Antworten
37
Aufrufe
5.762
MokTripleA
M
Zurück
Oben