ie_util.exe mit Trojaner R/Agent.73728.25

Fridholm

Hallo liebe Trojanerjäger,
ich glaube ich habe da eine doch eher knifflige Aufgabe.
Avira hat mir am 23.7 so gegen 19 Uhr folgende Mitteilungen gemacht:


1.Meldung:
In der Datei 'C:\Users\xxx\AppData\Roaming\ie_util.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.73728.25' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern.

2:Meldung
Die Datei 'C:\Users\xxx\AppData\Roaming\ie_util.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.73728.25' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548e2592.qua' verschoben!
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-28698115-2746015377-1648965744-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util>
wurde erfolgreich repariert.

3 Minuten später:
3. Meldung
Die Datei 'C:\Users\xxx\AppData\Roaming\ie_util.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.73728.25' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.

Ich habe das sicherlich nicht ignoriert!
Die Datei war aber auch gar nicht mehr da. s.o.

Suchlauf gestartet:
In der Datei 'C:\Users\xxx\AppData\Local\Temp\tmpa60a2152\4563.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.Blocker.btxp' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Die Datei 'C:\Users\ori\AppData\Local\Temp\tmpa60a2152\4563.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.Blocker.btxp' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '576849d3.qua' verschoben!

Jetzt hatte ich natürlich nicht das Gefühl das wäre es gewesen.
Normalerweise hätte ich jetzt das System neu aufgesetzt. Da ich aber keinen blassen Schimmer habe woher ich das Teil habe
denke ich wäre da Klärungsbedarf, sonst habe ich das Mistdingen in kurzer Zeit wieder auf dem Rechner.
Besonders viele Dinge aus dem Netz heruntergeladen habe ich in der letzten Zeit nämlich nicht.
Und eigentlich war ich nur auf den mir seit Jahren üblichen Seiten unterwegs.

Ich habe dann Malewarebytes installiert, mit einem anderen Computer vorsichtshalber alle Passwörter geändert.
Malewarebytes hat nichts gefunden.
Dann habe ich avast installiert, also ich bin ja ganz bei Avira und denke nicht, dass die selber mal echte Viren verteilen um Leute dazu zu bringen Vollversionen zu kaufen.
Aber auch Fehlalarm kann ja geschäftsfördernd sein. Da bin ich ganz bei Schopenhauer und glaube an das Schlechte im Menschen.

Der erste Suchlauf über Nacht brachte auch nichts, allerdings ein Tag später hatte sich um 19.50 Uhr wieder so eine ie_util.exe breit gemacht.
Die fanden jetzt aber alle 3 Programme total o.k..
Ich habe das entfernt und mit CCleaner die Registry gesäubert. Nebenbei, wenn man CCleaner installiert ist unter "Optionen" eine ziemlich große Liste an "Zusatztools" aufgeführt die man nicht benötigt. Da kann man dann die Haken entfernen und sie werden trotzdem installiert. Dann kann man sie wieder löschen.

Es scheint jetzt aber so, als würde jeden Abend um 19.50 Uhr das ie_util.exe Teil wieder auftauchen.

Ich habe dann mal die otl.exe ausgeführt. Siehe Anhang.

Dann gmer.
Das lief über Nacht und hat mir nach dem Speichern des log Files einen Bluescreen spendiert.
Ist das so gewollt? Neustart hieß es, aber das war etwas unhöflich wie ich finde.
Anbei das logfile.

Bringt es etwas die Prozedur um 19.40 Uhr zu wiederholen? Evtl. bekommt man dann mit woher die Datei erscheint. Ohne Schwefel und Rauch immerhin.

Ich hoffe euch ist nicht ganz so warm wie mir hier...
Wenn jemand helfen könnte? Also nicht wegen der Temperaturen jetzt... Danke!