SpyHunter entfernen

Konrad Haker · 14.04.2020, 21:30

Ok., hier kommt die log-Datei von AdwCleaner:

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build:    04-03-2020
# Database: 2020-04-08.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    04-14-2020
# Duration: 00:00:31
# OS:       Windows 10 Home
# Scanned:  31802
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.


AdwCleaner[S00].txt - [1510 octets] - [14/04/2020 17:21:46]
AdwCleaner[C00].txt - [1824 octets] - [14/04/2020 17:22:46]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

Und hier der log von Malwarbytes:

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 14.04.20
Scan-Zeit: 22:15
Protokolldatei: 9fe068ac-7e8c-11ea-ac04-6c626dbf3c5b.json

-Softwaredaten-
Version: 4.1.0.56
Komponentenversion: 1.0.867
Version des Aktualisierungspakets: 1.0.22468
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.720)
CPU: x64
Dateisystem: NTFS
Benutzer: Haker-PC\Konrad Haker

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 298804
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 9 Min., 56 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

M-K-D-B · 15.04.2020, 09:37

Schritt 1

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
CloseProcesses:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Keine Datei
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Keine Datei
AlternateDataStreams: C:\ProgramData\TEMP:0B174FAE [141]
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Task: {1AD1F551-DE56-44B9-AE6D-B7EFE6AAED71} - \Microsoft\Windows\Setup\EOSNotify2 -> Keine Datei <==== ACHTUNG
Task: {47C4DA43-24BB-49E6-AEC1-688E84FC3A66} - System32\Tasks\{136F263C-03D3-42C7-A0B9-76866BD5797B} => C:\Windows\system32\pcalua.exe -a C:\Users\KONRAD~1\AppData\Local\Temp\jre-8u181-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ACHTUNG
Task: {713086E3-B29E-4508-8459-ACA69915EDB1} - System32\Tasks\{C546A929-4E3E-4C33-9161-88F99EF0FADB} => C:\Windows\system32\pcalua.exe -a "C:\Users\Konrad Mustermann\Downloads\iview442_setup.exe" -d "C:\Users\Konrad Mustermann\Downloads"
Task: {8F49E1FF-68D4-4CB0-A879-50610696F333} - \Microsoft\Windows\Setup\EOSNotify -> Keine Datei <==== ACHTUNG
Task: {A32A3A7A-2E9B-46C5-B7F7-1AF004C28CF6} - System32\Tasks\{3A9D6743-975A-4494-95C7-6AC575BD9B66} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\HayZap\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\HayZap\uninstall.dat" -a uninstallme 1D7A320E-84B9-4E2A-A12E-7D3B5079B65A DeviceId=53ccec16-5b5f-36e9-85b1-b026b2e49af8 BarcodeId=52987003 ChannelId=3 DistributerName=APSFMarketatorPix
Task: {B8E9B95A-DAE9-4A1C-A422-6AA655D3A1B8} - System32\Tasks\{6033EFC0-5BBE-4E0C-9409-527F561E941E} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
Task: {CB9F1947-3738-4B0A-BE1B-446E9E32F18C} - System32\Tasks\{FA80F960-0A66-4EEB-AE67-D6EA088D11BF} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\REINER SCT\cyberJack\SetupZkaSig.exe" -c /d
Task: {CD4DD907-DE96-4E95-8BBA-FBA3462875EF} - System32\Tasks\{EC3992A7-E997-4473-B9CE-6B6E2ED74510} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\autoconfig.js [2018-12-01] <==== ACHTUNG (Zeigt auf eine *.cfg Datei)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2018-12-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2018-12-01] <==== ACHTUNG
U3 idsvc; kein ImagePath
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
Hosts:
RemoveProxy:
EmptyTemp:
End::

Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Bitte poste mit deiner nächsten Antwort:

die Logdatei des FRST-Fix (fixlog.txt)
die Logdatei von RogueKiller

Konrad Haker · 15.04.2020, 19:23

Hallo,

das mache ich gerne, habe aber vorher zwei Fragen:
- Was macht FRST bei diesem Fix eigentlich
- Ich habe den "Mustermann" in dem Code ersetzt, in der 2. Zeile mit Task steht noch C:\Users\KONRAD~1\AppData.... -> ist das ok?

Danke

Halo,

da ich gerade etwas Zeit hatt und für den FRST Test noch auf eine Antwort warten möchte, habe ich den RogueKiller schon mal laufen lassen. Vielleicht ist das ja auch ok., Schritt 2 vor Schritt 1 zu machen. Falls nicht, wiederhole ich das morgen....
Hier also der log-file vom RogueKiller

Code:

ATTFilter

RogueKiller Anti-Malware V14.4.0.0 (x64) [Apr  1 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.18363) 64 bits
Gestartet in : Normaler Modus
Benutzer : Konrad Haker [Administrator]
Gestartet von : C:\Users\Konrad Haker\Desktop\RogueKiller_portable64.exe
Signaturen : 20200414_084954, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2020/04/15 19:19:09 (Dauer : 00:18:48)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[Suspicious.Path (Potenziell bösartig)] \{136F263C-03D3-42C7-A0B9-76866BD5797B} -- C:\Windows\system32\pcalua.exe [-a C:\Users\KONRAD~1\AppData\Local\Temp\jre-8u181-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1] -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> XX - Software
  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\.DEFAULT\Software\OCS -- N/A -> Gefunden
  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04152020185848968\Software\OCS -- N/A -> Gefunden
  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-1409554198-257446096-2889349768-1000\Software\OCS -- N/A -> Gefunden
  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-18\Software\OCS -- N/A -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Schöne Grüße

M-K-D-B · 16.04.2020, 09:47

Vielen Dank für den Hinweis mit den Benutzernamen, aber du musst nichts ändern. FRST erledigt das für uns.
Wir entfernen verweiste (leere, unnötige) Einträge, Nicht-Standardeinträge und temporäre Dateien. Zudem aktivieren wir den PUA-Schutz von Windows-Defender. Außerdem habe ich die Funde von RogueKiller gleich in den Fix mit eingebaut.

Schritt 1

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
CloseProcesses:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Keine Datei
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Keine Datei
AlternateDataStreams: C:\ProgramData\TEMP:0B174FAE [141]
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Task: {1AD1F551-DE56-44B9-AE6D-B7EFE6AAED71} - \Microsoft\Windows\Setup\EOSNotify2 -> Keine Datei <==== ACHTUNG
Task: {47C4DA43-24BB-49E6-AEC1-688E84FC3A66} - System32\Tasks\{136F263C-03D3-42C7-A0B9-76866BD5797B} => C:\Windows\system32\pcalua.exe -a C:\Users\KONRAD~1\AppData\Local\Temp\jre-8u181-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ACHTUNG
Task: {713086E3-B29E-4508-8459-ACA69915EDB1} - System32\Tasks\{C546A929-4E3E-4C33-9161-88F99EF0FADB} => C:\Windows\system32\pcalua.exe -a "C:\Users\Konrad Mustermann\Downloads\iview442_setup.exe" -d "C:\Users\Konrad Mustermann\Downloads"
Task: {8F49E1FF-68D4-4CB0-A879-50610696F333} - \Microsoft\Windows\Setup\EOSNotify -> Keine Datei <==== ACHTUNG
Task: {A32A3A7A-2E9B-46C5-B7F7-1AF004C28CF6} - System32\Tasks\{3A9D6743-975A-4494-95C7-6AC575BD9B66} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\HayZap\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\HayZap\uninstall.dat" -a uninstallme 1D7A320E-84B9-4E2A-A12E-7D3B5079B65A DeviceId=53ccec16-5b5f-36e9-85b1-b026b2e49af8 BarcodeId=52987003 ChannelId=3 DistributerName=APSFMarketatorPix
Task: {B8E9B95A-DAE9-4A1C-A422-6AA655D3A1B8} - System32\Tasks\{6033EFC0-5BBE-4E0C-9409-527F561E941E} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
Task: {CB9F1947-3738-4B0A-BE1B-446E9E32F18C} - System32\Tasks\{FA80F960-0A66-4EEB-AE67-D6EA088D11BF} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\REINER SCT\cyberJack\SetupZkaSig.exe" -c /d
Task: {CD4DD907-DE96-4E95-8BBA-FBA3462875EF} - System32\Tasks\{EC3992A7-E997-4473-B9CE-6B6E2ED74510} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\autoconfig.js [2018-12-01] <==== ACHTUNG (Zeigt auf eine *.cfg Datei)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2018-12-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2018-12-01] <==== ACHTUNG
U3 idsvc; kein ImagePath
DeleteKey: HKEY_USERS\.DEFAULT\Software\OCS
DeleteKey: HKEY_USERS\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04152020185848968\Software\OCS
DeleteKey: HKEY_USERS\S-1-5-18\Software\OCS
DeleteKey: HKEY_USERS\S-1-5-21-1409554198-257446096-2889349768-1000\Software\OCS
powershell: Set-MpPreference -PUAProtection Enabled
Unlock: C:\FRST
Hosts:
RemoveProxy:
EmptyTemp:
End::

Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Konrad Haker · 16.04.2020, 17:28

Hallo,

ich habe FRST laufen lassen, hier die fixlog:

Code:

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 15-04-2020
durchgeführt von Konrad Mustermann (16-04-2020 18:06:37) Run:1
Gestartet von C:\Users\Konrad Mustermann\Downloads
Geladene Profile: Konrad Mustermann (Verfügbare Profile: Konrad Mustermann)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Keine Datei
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Keine Datei
AlternateDataStreams: C:\ProgramData\TEMP:0B174FAE [141]
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Task: {1AD1F551-DE56-44B9-AE6D-B7EFE6AAED71} - \Microsoft\Windows\Setup\EOSNotify2 -> Keine Datei <==== ACHTUNG
Task: {47C4DA43-24BB-49E6-AEC1-688E84FC3A66} - System32\Tasks\{136F263C-03D3-42C7-A0B9-76866BD5797B} => C:\Windows\system32\pcalua.exe -a C:\Users\KONRAD~1\AppData\Local\Temp\jre-8u181-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ACHTUNG
Task: {713086E3-B29E-4508-8459-ACA69915EDB1} - System32\Tasks\{C546A929-4E3E-4C33-9161-88F99EF0FADB} => C:\Windows\system32\pcalua.exe -a "C:\Users\Konrad Mustermann\Downloads\iview442_setup.exe" -d "C:\Users\Konrad Mustermann\Downloads"
Task: {8F49E1FF-68D4-4CB0-A879-50610696F333} - \Microsoft\Windows\Setup\EOSNotify -> Keine Datei <==== ACHTUNG
Task: {A32A3A7A-2E9B-46C5-B7F7-1AF004C28CF6} - System32\Tasks\{3A9D6743-975A-4494-95C7-6AC575BD9B66} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\HayZap\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\HayZap\uninstall.dat" -a uninstallme 1D7A320E-84B9-4E2A-A12E-7D3B5079B65A DeviceId=53ccec16-5b5f-36e9-85b1-b026b2e49af8 BarcodeId=52987003 ChannelId=3 DistributerName=APSFMarketatorPix
Task: {B8E9B95A-DAE9-4A1C-A422-6AA655D3A1B8} - System32\Tasks\{6033EFC0-5BBE-4E0C-9409-527F561E941E} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
Task: {CB9F1947-3738-4B0A-BE1B-446E9E32F18C} - System32\Tasks\{FA80F960-0A66-4EEB-AE67-D6EA088D11BF} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\REINER SCT\cyberJack\SetupZkaSig.exe" -c /d
Task: {CD4DD907-DE96-4E95-8BBA-FBA3462875EF} - System32\Tasks\{EC3992A7-E997-4473-B9CE-6B6E2ED74510} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\autoconfig.js [2018-12-01] <==== ACHTUNG (Zeigt auf eine *.cfg Datei)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2018-12-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2018-12-01] <==== ACHTUNG
U3 idsvc; kein ImagePath
DeleteKey: HKEY_USERS\.DEFAULT\Software\OCS
DeleteKey: HKEY_USERS\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04152020185848968\Software\OCS
DeleteKey: HKEY_USERS\S-1-5-18\Software\OCS
DeleteKey: HKEY_USERS\S-1-5-21-1409554198-257446096-2889349768-1000\Software\OCS
powershell: Set-MpPreference -PUAProtection Enabled
Unlock: C:\FRST
Hosts:
RemoveProxy:
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw => erfolgreich entfernt
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\ACE => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000} => erfolgreich entfernt
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\Gadgets => erfolgreich entfernt
C:\ProgramData\TEMP => ":0B174FAE" ADS erfolgreich entfernt
HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1AD1F551-DE56-44B9-AE6D-B7EFE6AAED71}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1AD1F551-DE56-44B9-AE6D-B7EFE6AAED71}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify2" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{47C4DA43-24BB-49E6-AEC1-688E84FC3A66}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{47C4DA43-24BB-49E6-AEC1-688E84FC3A66}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\{136F263C-03D3-42C7-A0B9-76866BD5797B} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{136F263C-03D3-42C7-A0B9-76866BD5797B}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{713086E3-B29E-4508-8459-ACA69915EDB1}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{713086E3-B29E-4508-8459-ACA69915EDB1}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\{C546A929-4E3E-4C33-9161-88F99EF0FADB} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{C546A929-4E3E-4C33-9161-88F99EF0FADB}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8F49E1FF-68D4-4CB0-A879-50610696F333}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8F49E1FF-68D4-4CB0-A879-50610696F333}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A32A3A7A-2E9B-46C5-B7F7-1AF004C28CF6}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A32A3A7A-2E9B-46C5-B7F7-1AF004C28CF6}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\{3A9D6743-975A-4494-95C7-6AC575BD9B66} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3A9D6743-975A-4494-95C7-6AC575BD9B66}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B8E9B95A-DAE9-4A1C-A422-6AA655D3A1B8}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B8E9B95A-DAE9-4A1C-A422-6AA655D3A1B8}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\{6033EFC0-5BBE-4E0C-9409-527F561E941E} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6033EFC0-5BBE-4E0C-9409-527F561E941E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CB9F1947-3738-4B0A-BE1B-446E9E32F18C}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB9F1947-3738-4B0A-BE1B-446E9E32F18C}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\{FA80F960-0A66-4EEB-AE67-D6EA088D11BF} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{FA80F960-0A66-4EEB-AE67-D6EA088D11BF}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CD4DD907-DE96-4E95-8BBA-FBA3462875EF}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD4DD907-DE96-4E95-8BBA-FBA3462875EF}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\{EC3992A7-E997-4473-B9CE-6B6E2ED74510} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{EC3992A7-E997-4473-B9CE-6B6E2ED74510}" => erfolgreich entfernt
C:\Program Files (x86)\mozilla firefox\defaults\pref\autoconfig.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\mozilla.cfg => erfolgreich verschoben
HKLM\System\CurrentControlSet\Services\idsvc => erfolgreich entfernt
idsvc => Dienst erfolgreich entfernt
HKEY_USERS\.DEFAULT\Software\OCS => erfolgreich entfernt
DeleteKey: HKEY_USERS\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04152020185848968\Software\OCS => Fehler ({ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}): Kein automatisierter Fix für diesen Eintrag gefunden.
HKEY_USERS\S-1-5-18\Software\OCS => nicht gefunden
HKEY_USERS\S-1-5-21-1409554198-257446096-2889349768-1000\Software\OCS => erfolgreich entfernt

========= Set-MpPreference -PUAProtection Enabled =========

Set-MpPreference : Es ist ein allgemeiner Fehler aufgetreten, für den kein spezifischerer Fehlercode 
verfügbar ist.
In C:\FRST\tmp.ps1:1 Zeichen:1
+ Set-MpPreference -PUAProtection Enabled
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (MSFT_MpPreference:root\Microsoft\...FT_MpPreference) [Se 
   t-MpPreference], CimException
    + FullyQualifiedErrorId : HRESULT 0x800106ba,Set-MpPreference
 

========= Ende von Powershell: =========

"C:\FRST" => wurde entsperrt
C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1409554198-257446096-2889349768-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1409554198-257446096-2889349768-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1409554198-257446096-2889349768-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04162020180234412\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1409554198-257446096-2889349768-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04162020180234412\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 6053888 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 81878815 B
Java, Flash, Steam htmlcache => 1154 B
Windows/system/drivers => 3706680 B
Edge => 11483311 B
Chrome => 0 B
Firefox => 1203994765 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 17948 B
NetworkService => 30796 B
Konrad Mustermann => 236973337 B

RecycleBin => 8694112 B
EmptyTemp: => 1.4 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 18:16:39 ====

Ich habe auf dem Luafwerk c:\ noch einige Verzeichnisse, die so "8a651b382ea629077ca387" oder ähnlich heißen und in denen sich jeweils diese Datei "MPSigStub.exe" befindet. Kannst Du mir sagen, was das ist und ob diese Verzeichnisse einfach löschen kann?

Und wieder: Dankeschön!!!

M-K-D-B · 16.04.2020, 20:18

Zitat:

Zitat von Konrad Haker

Ich habe auf dem Luafwerk c:\ noch einige Verzeichnisse, die so "8a651b382ea629077ca387" oder ähnlich heißen und in denen sich jeweils diese Datei "MPSigStub.exe" befindet. Kannst Du mir sagen, was das ist und ob diese Verzeichnisse einfach löschen kann?

MpSigStub.exe ist ein Installationsdienst der Windows Updates.
Diese Verzeichnisse kommen auch von Windows Updates und werden automatisch angelegt.
Ich würde davon nichts löschen, sondern auf dem Rechner belassen.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...

Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Konrad Haker · 17.04.2020, 17:43

Hallo,

vielen Dank, Bereinigung hat geklappt und der Rechner läuft wieder gut!

Schön, dass es Euch gibt!

Bis bald
hoffentlich nicht...

M-K-D-B · 17.04.2020, 21:35

Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

17.04.2020, 21:35	#23
M-K-D-B /// TB-Ausbilder	SpyHunter entfernen Ich bin froh, dass wir helfen konnten Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema. Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

SpyHunter entfernen

Log-Analyse und Auswertung: SpyHunter entfernen