So entfernen Sie den Banking-Trojaner Lampion

Was ist Lampion?

Lampion ist ein Schadprogramm, ein Banking-Trojaner, den Cyberkriminelle durch das Versenden von E-Mails verbreiten. Die Nachrichten enthalten einen Link, über den eine Archivdatei (ZIP) mit schädlichen Dateien heruntergeladen wird. Da Lampion ein Banking-Trojaner ist, haben Cyberkriminelle ihn so konzipiert, dass er Informationen stiehlt, die für betrügerische Transaktionen verwendet werden können, sowie andere Daten.

Das Bild unten ist ein Screenshot einer E-Mail, mit der Menschen dazu verleitet werden sollen, ihre Systeme mit Lampion zu infizieren. Es können jedoch auch andere Vorlagen verwendet werden. Wir empfehlen Ihnen dringend, diese E-Mail zu ignorieren und keine Dateien zu öffnen, die über den enthaltenen Link heruntergeladen werden.

Lampion im Überblick

Wenn Sie auf die bösartige URL in der von Cyberkriminellen versendeten E-Mail klicken, wird eine ZIP-Datei heruntergeladen. Diese enthält ein PDF-Dokument sowie .vbs- (Visual Basic Script) und .txt- (Text) Dateien. Bei Ausführung lädt die .vbs-Datei eine Reihe weiterer Dateien mit den Namen P-19-2.dll und 0.zip herunter.

Die Datei P-19-2.dll ist der Lampion-Trojaner, eine Dynamic-Link-Library-Datei, die dafür zuständig ist, sensible Informationen zu stehlen und an den von Cyberkriminellen/Angreifern kontrollierten Command & Control-Server zu senden. Lampion sammelt Daten aus der Zwischenablage und den installierten Browsern eines infizierten Systems.

Cyberkriminelle können auch auf Informationen über die Opfer und ihre Systeme zugreifen, wie z. B. die Version des Betriebssystems, den Computernamen, die installierte Antivirensoftware, das Land und andere Details. Durch den Zugriff auf die Zwischenablage des Opfers können Angreifer mit Lampion alle darin gespeicherten Informationen stehlen.

Bei den gespeicherten Daten kann es sich um das Passwort eines persönlichen Kontos oder andere sensible Details handeln. Darüber hinaus sammelt dieser Banking-Trojaner Daten aus Browsern wie Anmeldedaten, Passwörtern, Daten für die automatische Ausfüllung und andere sensible Informationen. Diese Details können missbraucht werden, um verschiedene Konten und Kunden zu stehlen.

Zum Beispiel Social-Media-Konten, E-Mail-Clients, Bankkonten und so weiter. In der Regel nutzen Cyberkriminelle diese, um durch betrügerische Transaktionen, Käufe und die Verbreitung anderer Malware (z. B. Ransomwaresomware) usw. Wenn Sie glauben, dass Lampion (oder andere Malware) bereits auf dem Betriebssystem installiert ist, entfernen Sie es sofort.

Beispiele für ähnliche Malware

Weitere Beispiele für Banking-Trojaner sind Mispadu, Bolik und Casbaneiro zu nennen.

In der Regel verfolgen Cyberkriminelle, die Menschen dazu verleiten wollen, ihre Computer mit solchen Programmen zu infizieren, ein Hauptziel: so viele sensible Informationen wie möglich zu stehlen. In vielen Fällen erleiden die Opfer finanzielle Verluste, werden Opfer von Identitätsdiebstahl, haben Probleme im Zusammenhang mit dem Datenschutz, der Sicherheit beim Surfen im Internet und so weiter.

Wie ist Lampion auf meinen Computer gelangt?

Dieser spezielle Trojaner wird über E-Mails verbreitet, d. h. über Weblinks, über die eine ZIP-Datei mit schädlichen Dateien heruntergeladen wird. Bei Ausführung startet eine dieser Dateien (Visual Basic Script) die Infektionskette der Lampion-Malware. Cyberkriminelle verbreiten schädliche Software in der Regel durch das Versenden von E-Mails mit schädlichen Dateien oder Weblinks.

Weitere Beispiele für Dateien, die häufig angehängt werden, sind Microsoft Office-Dokumente, JavaScript-Dateien und ausführbare Dateien (.exe). Keine dieser Anhänge kann Schaden anrichten oder Malware installieren, wenn der Empfänger sie nicht öffnet.

So vermeiden Sie die Installation von Malware

Wenn Sie eine E-Mail von einer dubiosen Webadresse erhalten, die irrelevant ist und einen Anhang (oder einen Website-Link) enthält, sollten Sie ihr nicht vertrauen. Der beste Weg, um Schäden durch solche E-Mails zu vermeiden, besteht darin, sie zu ignorieren und ihren Inhalt ungeöffnet zu lassen. Darüber hinaus sollte jede Software über direkte Links und von vertrauenswürdigen, offiziellen Websites heruntergeladen werden.

Wir raten davon ab, Dateien und Programme von inoffiziellen Seiten, über Peer-to-Peer-Netzwerke (z. B. Torrent-Clients, eMule), Downloader von Drittanbietern usw. herunterzuladen. Installationsprogramme von Drittanbietern sind nicht vertrauenswürdig. Installierte Programme sollten mit Tools oder Funktionen aktualisiert werden, die von offiziellen Entwicklern entwickelt wurden.

Die Verwendung von gefälschten Updatern von Drittanbietern ist nicht sicher. Gleiches gilt für die Aktivierung von lizenzierter Software. Beachten Sie auch, dass es illegal ist, Software mit (inoffiziellen) „Cracking”-Tools zu aktivieren. Installieren Sie eine seriöse Antiviren- oder Anti-Spyware-Suite und scannen Sie damit regelmäßig Ihr Betriebssystem.

Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingeschleuste Malware automatisch zu entfernen.

Text in einer E-Mail, mit der Menschen dazu verleitet werden, Lampion zu installieren:

Se não está visualizando clique aqui

Estimado Contribuinte: SITUAÇÃO IRREGULAR

O sistema detectou e gerou um alerta sobre um débito - ano 2018 -
Este email foi gerado durante o processo de emissão da factura
electrónica para o lado negativo e remetido para você de acordo
com a legislação em vigor. Ao mesmo tempo, indicamos que os endereços
electrónicos dos destinatários de e-mails são obtidos, exclusivamente,
de bases de dados AT e não são divulgados a terceiros.

Leia com atenção:

O prazo para entrega da Declaração de Rendimentos, de Imposto sobre o
Rendimento das Pessoas Singulares (IRS) - Modelo 3, decorre de 1 de abril a 30 de
junho. É neste período que são entregues as declarações relativas aos rendimentos
do ano anterior e a outros elementos informativos relevantes para a sua concreta
situação tributária. A informação constante das declarações submetidas É validada
pela Administração Tributária e Aduaneira (AT). Após a entrega da declaração, caso
receba um alerta com a designação de Divergência, isso significa que AT detetou,
nos dados que declarou, um ou mais valores de Rendimentos, Retenções na Fonte, e/ou
Deduções diferentes do(s) que consta(m) na base de dados.

Mantenha atualizados os seus dados pessoais no Portal das Finanças e fiabilize
os seus contactos (e-mail e telefone) para receber informação de apoio ao
cumprimento das suas obrigações fiscais e aduaneiras.
O arquivo XML correspondente a esta factura está no anexo.
Você pode verificá-lo através do site do Portal AT com o ID abaixo.
CONSULTAR DIVERGÊNCIA N: AT-OBV5GJUO .( 5Kb)
Atte: Direção de Serviços de Comunicação

17/01/2020 06:25:52 - Portal AT Resolução:AT-OBV5GJUO

1997 - 2019 AT © Todos os direitos reservados

Update 12. Mai 2020 – Nach einer mehrmonatigen Pause ist der Trojaner Lampion wieder aktiv. Cyberkriminelle starteten eine Reihe verschiedener Spam-Kampagnen (meist in Bezug auf Bankrechnungen, Benachrichtigungen usw.), in denen sie Benutzer dazu aufforderten, Anhänge zu öffnen oder bestimmte Websites zu besuchen. Außerdem wurden mehrere bösartige Websites entwickelt, um diese Malware zu verbreiten.

Liste der von Lampion angegriffenen Kryptowährungs- und Bank-Websites:

• Aplicativo bradesco
• BANRITRAVAR
• BPI
• BPI Net
• Banco BPI
• Banco Original
• Banco bradesco
• Banco do Brasil
• Banco montepio
• Banking bnb
• Bankinter
• CA Empresas
• CGD
• Caixa Economica
• Caixadirecta
• Caixadirecta Empresas
• Citibank
• Crédito Agrícola
• EuroBic
• Anmeldeseite
• Mercado Bitcoin
• Millenniumbcp
• Montepio
• NOVO BANCO
• Exklusiver Browser
• Nercado Bitcoin
• Santander
• TravaBB
• TravaBitco

Update 30. Oktober 2025 – Zu den neuen Verbreitungstaktiken gehören die Verwendung von ZIP-Anhängen, die HTML mit Weiterleitungen enthalten, der Einsatz einer ClickFix-Social-Engineering-Köder, bei dem die Opfer aufgefordert werden, Befehle einzufügen, und das Hinzufügen von Persistenzmechanismen im Visual Basic Script (VBS) hinzugefügt werden, um die Entfernung der Malware zu erschweren.

Die endgültige Nutzlast wird nun als eine einzige große DLL-Datei (anstelle mehrerer Dateien) geliefert, um die Analyse zu erschweren. Die Infrastruktur nutzt verschiedene Cloud-Hosts, Weiterleitungen und IP-Blacklists, um der Erkennung und Analyse zu entgehen.

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist Lampion?
• SCHRITT 1. Manuelles Entfernen der Lampion-Malware.
• SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.

Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:

Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.

Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".

Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.

Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".

Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.

Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".

Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.

Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".

Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.