Zitat:

Zitat von M-K-D-B

Schritt 5

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM\...\Run: [] => [X]
  HKLM-x32\...\Run: [] => [X]
  S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.0.127.0\\McCSPServiceHost.exe" [X]
  C:\Program Files\Common Files\McAfee
  S3 mfeavfk01; \Device\mfeavfk01.sys [X]
  S3 mfeavfk02; \Device\mfeavfk02.sys [X]
  ContextMenuHandlers1: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei
  ContextMenuHandlers2: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei
  AlternateDataStreams: C:\Users\Namename\AppData\Local\Temp:$DATA [16]
  DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn|SBOEM0
  Hosts:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Ich habe alles nach Anleitung befolgt, nur erhielt ich mitten im Löschvorgang eine Warnung von Avira: "Hosts-Datei blockiert". Gleichzeitig wurde ich noch gedrängt, den PC herunterzufahren. Beim Hochfahren wollte ich den Log auslesen, und bekam vom FRST folgende Meldung: "Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared.". (Hier Links zu Screenshots, falls erlaubt. https://www.directupload.net/file/d/5587/hry8el3p_png.htm und https://www.directupload.net/file/d/5587/e2owi4q6_png.htm

Es wurde kein Log von FRST erstellt. Auch lässt sich FRST nicht mehr starten, die obige Fehlermeldung ["Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared."] erscheint beim öffnen. Beim drücken von "OK" schließt sich das Programm.

Zitat:

Zitat von namename

Ich habe alles nach Anleitung befolgt, nur erhielt ich mitten im Löschvorgang eine Warnung von Avira: "Hosts-Datei blockiert".

Das ist auch so ein Grund, warum wir Avira nicht mehr empfehlen... es blockiert unsere Bereinigungen.
Dann gehst du bitte jetzt in die Einstellungen von Avira und deaktivierst diesen Schutz (Avira > Einstellungen > Allgemein > Sicherheit > Systemschutz).

Zitat:

Zitat von namename

Gleichzeitig wurde ich noch gedrängt, den PC herunterzufahren. Beim Hochfahren wollte ich den Log auslesen, und bekam vom FRST folgende Meldung: "Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared.". (Hier Links zu Screenshots, falls erlaubt. https://www.directupload.net/file/d/5587/hry8el3p_png.htm und https://www.directupload.net/file/d/5587/e2owi4q6_png.htm

Es wurde kein Log von FRST erstellt. Auch lässt sich FRST nicht mehr starten, die obige Fehlermeldung ["Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared."] erscheint beim öffnen. Beim drücken von "OK" schließt sich das Programm.

Danke für die Fehlermeldung. Ich habe diese an den Entwickler von FRST weitergeleitet.

Lösche die vorhandene FRST.exe, lade das Programm neu herunter und versuche es nochmal (aber erst, wenn du den Schutz von Avira deaktiviert hast).

Danke für die Hilfe!

Fixlog.txt

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 28-09-2019
durchgeführt von Namename (28-09-2019 17:38:20) Run:1
Gestartet von C:\Users\Namename\Downloads
Geladene Profile: Namename &  (Verfügbare Profile: Namename)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.0.127.0\\McCSPServiceHost.exe" [X]
C:\Program Files\Common Files\McAfee
S3 mfeavfk01; \Device\mfeavfk01.sys [X]
S3 mfeavfk02; \Device\mfeavfk02.sys [X]
ContextMenuHandlers1: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei
ContextMenuHandlers2: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei
AlternateDataStreams: C:\Users\Namename\AppData\Local\Temp:$DATA [16]
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn|SBOEM0
Hosts:
EmptyTemp:

*****************

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => nicht gefunden
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => nicht gefunden
mccspsvc => Dienst nicht gefunden.
"C:\Program Files\Common Files\McAfee" => nicht gefunden
mfeavfk01 => Dienst nicht gefunden.
mfeavfk02 => Dienst nicht gefunden.
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\CLVDShellExt => nicht gefunden
HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers\CLVDShellExt => nicht gefunden
HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden
"C:\Users\Namename\AppData\Local\Temp" => ":$DATA" ADS nicht gefunden.
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn\\SBOEM0" => nicht gefunden
Hosts erfolgreich wiederhergestellt.

=========== EmptyTemp: ==========

BITS transfer queue => 12099584 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 22278373 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 92049 B
Edge => 3584 B
Chrome => 0 B
Firefox => 55354209 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 2654 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
Namename => 35227509 B

RecycleBin => 143619065 B
EmptyTemp: => 256.2 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 17:38:30 ====
         

Ich konnte ich den Fixlog des ersten Durchlaufes finden, jener, der durch die Fehlermeldung unterbrochen wurde (falls irgendwie hilfreich).

Fixlog.txt Nr0

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 25-09-2019
durchgeführt von Namename (26-09-2019 20:33:41) Run:1
Gestartet von C:\Users\Namename\Desktop
Geladene Profile: Namename (Verfügbare Profile: Namename)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.0.127.0\\McCSPServiceHost.exe" [X]
C:\Program Files\Common Files\McAfee
S3 mfeavfk01; \Device\mfeavfk01.sys [X]
S3 mfeavfk02; \Device\mfeavfk02.sys [X]
ContextMenuHandlers1: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei
ContextMenuHandlers2: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei
AlternateDataStreams: C:\Users\Namename\AppData\Local\Temp:$DATA [16]
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn|SBOEM0
Hosts:
EmptyTemp:

*****************

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\mccspsvc => erfolgreich entfernt
mccspsvc => Dienst erfolgreich entfernt
"C:\Program Files\Common Files\McAfee" => nicht gefunden
HKLM\System\CurrentControlSet\Services\mfeavfk01 => erfolgreich entfernt
mfeavfk01 => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\mfeavfk02 => erfolgreich entfernt
mfeavfk02 => Dienst erfolgreich entfernt
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\CLVDShellExt => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers\CLVDShellExt => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden
"C:\Users\Namename\AppData\Local\Temp" => ":$DATA" ADS nicht gefunden.
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn\\SBOEM0" => erfolgreich entfernt
Konnte nicht verschoben werden "C:\Windows\System32\Drivers\etc\hosts" => ist geplant bei Neustart verschoben zu werden.

=========== EmptyTemp: ==========

BITS transfer queue => 12099584 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 469704463 B
Java, Flash, Steam htmlcache => 86065856 B
Windows/system/drivers => 753407 B
Edge => 21856634 B
Chrome => 0 B
Firefox => 1118988210 B
Opera => 35347969 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1186642 B
systemprofile32 => 0 B
LocalService => 61110 B
LocalService => 0 B
NetworkService => 114012 B
NetworkService => 0 B
Namename => 20786614 B

RecycleBin => 511198 B
EmptyTemp: => 1.6 GB temporäre Dateien entfernt.

================================

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:35:38)

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:36:19)

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:36:22)

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:37:04)

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:52:45)

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 27-09-2019 00:52:33)

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben
         

Wie läuft der Rechner aktuell?
Gibt es noch Probleme?




Schritt 6
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Zitat:

Zitat von M-K-D-B

Wie läuft der Rechner aktuell?
Gibt es noch Probleme?

Der Rechner aktuell läuft ohne ungewöhnliche Probleme (heißt hier und dort Mal einen Ruckler, nichts besorgniserregendes). Was mir nur immernoch Sorgen bereitet, ist die Angst vor Hintertüren die der mutmaßliche Trojaner eventuell installiert haben könnte. Konntest du dazu möglicherweise irgendetwas finden? Auch verstehe ich nicht, wieso ich beim Versuch den .zip Ordner zu löschen keine Rechte dazu hatte. Darüber denke ich noch immer nach. :/

Ansonsten bedanke ich mich für deine tolle Hilfe und Unterstützung!
Vielen Dank!

=====================

Hier die ausführliche Log Datei

Log.txt

Code: Alles auswählenAufklappen

ATTFilter

17:39:00 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.1.10.0
# country="Germany"
# lang=1031
17:39:45 Updating
17:39:45 Update Init
17:39:47 Update Download
17:41:18 esets_scanner_reload returned 0
17:41:18 g_uiModuleBuild: 42930
17:41:18 Update Finalize
17:41:18 Call m_esets_charon_send
17:41:18 Call m_esets_charon_destroy
17:41:18 Updated modules version: 42930
17:41:28 Call m_esets_charon_setup_create
17:41:28 Call m_esets_charon_create
17:41:28 m_esets_charon_create OK
17:41:28 Call m_esets_charon_start_send_thread
17:41:28 Call m_esets_charon_setup_set
17:41:28 m_esets_charon_setup_set OK
17:41:28 Scanner engine: 42930
18:55:23 # product=EOS
# version=8
# flags=0
# av=0
# fw=7
# admin=1
# ESETOnlineScanner_DEU.exe=3.1.10.0
# EOSSerial=c8658783609e324686b1da98977ad09d
# engine=42930
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2019-09-29 16:55:23
# local_time=2019-09-29 18:55:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=10.0.17134 NT 
# compatibility_mode_1='Avira Antivirus'
# compatibility_mode=1815 16777213 100 94 4600 16538827 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 266518 46286485 0 0
# scanned=407788
# found=0
# cleaned=0
# scan_time=2878
# scan_type=2
# flow=2019-09-29 17:39:11|scr|eula|2019-09-29 17:39:13|promo|eis|2019-09-29 17:39:13|scr|welcome|2019-09-29 17:39:17|scr|consents|2019-09-29 17:39:21|scr|scan_type|2019-09-29 17:39:28|scr|pua|2019-09-29 17:39:45|scr|updating|2019-09-29 17:41:18|scr|scanning|2019-09-29 18:29:17|scr|no_threats|2019-09-29 18:54:46|click|save_report|2019-09-29 18:55:04|scr|periodic_offer|2019-09-29 18:55:14|scr|upsell|2019-09-29 18:55:21|scr|thanks
# periodic=0,0
# stats_enabled=1
18:55:24 Call m_esets_charon_send
18:55:24 Call m_esets_charon_destroy
         

Zitat:

Zitat von namename

Der Rechner aktuell läuft ohne ungewöhnliche Probleme (heißt hier und dort Mal einen Ruckler, nichts besorgniserregendes). Was mir nur immernoch Sorgen bereitet, ist die Angst vor Hintertüren die der mutmaßliche Trojaner eventuell installiert haben könnte. Konntest du dazu möglicherweise irgendetwas finden? Auch verstehe ich nicht, wieso ich beim Versuch den .zip Ordner zu löschen keine Rechte dazu hatte. Darüber denke ich noch immer nach. :/

Wir haben lediglich etwas unerwünschte Software entfernt. In den Logdateien fanden sich keine Hinweise auf Schadsoftware.
Gut möglich, dass Avira noch Zugriff auf das .zip Archiv hatte und daher ein Löschen nicht möglich war. Meist lässt sich dies durch einen Neustart des Rechners beheben.

Zitat:

Zitat von namename

Ansonsten bedanke ich mich für deine tolle Hilfe und Unterstützung!
Vielen Dank!

Gern geschehen.




Schritt 7

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  DeleteQuarantine:
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Zitat:

Zitat von M-K-D-B

Wir haben lediglich etwas unerwünschte Software entfernt. In den Logdateien fanden sich keine Hinweise auf Schadsoftware.
Gut möglich, dass Avira noch Zugriff auf das .zip Archiv hatte und daher ein Löschen nicht möglich war. Meist lässt sich dies durch einen Neustart des Rechners beheben.




Gern geschehen.




Schritt 7

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  DeleteQuarantine:
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich denke, ich habe das alles leider etwas falsch verstanden (schätze ich). Ich habe nach dem Entferndurchlauf von FRST direkt die CleanUp Datei gestartet. Ich hatte den Log sicherheitshalber in einer Word Datei gespeichert. Leider wurde diese Word Datei durch CleanUp ebenfalls entfernt (wahrscheinlich weil diese [Word Datei] auf dem Desktop gespeichert war). Was die Anleitung (der Lesestoff) betrifft, habe ich die beschriebenen Schritte so weit wie möglich befolgt.

Danke nochmals für deine Hilfe! Das ist bestimmt keine leichte Arbeit hier und ich wünsche dir und dem Forum nur das Beste für die Zukunft!
(Was den fehlenden Log angeht, gibt es da irgendetwas zu retten, oder "passt" das ganze soweit (da ja keine Schadsoftware, sondern nur Bloatware gefunden wurde)? Tut mir wirklich leid!)

Das mit der fehlenden Logdatei ist nicht so schlimm, passt schon.






Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.