Das mit den Deinstallationen passt soweit.





Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  VirusTotal: C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}\{F1B70EE6-8974-4EA5-9E0B-A44E2F4AC716}
  C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}
  AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
  HKLM\...\Run: [] => [X]
  HKLM-x32\...\Run: [] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
  HKU\S-1-5-21-2791600654-35821671-3764932078-1001\...\Run: [] => [X]
  FF Extension: (Avira Browser Safety) - C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\Extensions\abs@avira.com [2016-11-09] []
  C:\Users\Marie-Claire\AppData\Local\Avira
  C:\Program Files (x86)\Avira
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von RogueKiller

Guten Abend Matthias,

Respekt, dass hier an einem Feiertag samstagabends geantwortet wird, alle Achtung!

Wir haben das zunächst die Reparatur durchgeführt und anschließend nach Installation des Programms RougeKiller den Standard-Scan durchlaufen lassen. Es gab 2 Ereignisse, die auf den ersten Blick so aussehen, als wäre es etwas anderes.

Hier der Inhalt der fixlog.txt

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2020
durchgeführt von Marie-Claire (04-10-2020 00:11:18) Run:2
Gestartet von C:\Users\Marie-Claire\Downloads
Geladene Profile: Marie-Claire
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
VirusTotal: C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}\{F1B70EE6-8974-4EA5-9E0B-A44E2F4AC716}
C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}
AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-2791600654-35821671-3764932078-1001\...\Run: [] => [X]
FF Extension: (Avira Browser Safety) - C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\Extensions\abs@avira.com [2016-11-09] []
C:\Users\Marie-Claire\AppData\Local\Avira
C:\Program Files (x86)\Avira
Reboot:

*****************

VirusTotal: C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}\{F1B70EE6-8974-4EA5-9E0B-A44E2F4AC716} => https://www.virustotal.com/gui/file/f3cddbbe6afcd2d3ffe76876449c398497121a8b1d27b99a0475857d3fc31670/detection/f-f3cddbbe6afcd2d3ffe76876449c398497121a8b1d27b99a0475857d3fc31670-1601763080
C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648} => erfolgreich verschoben
"AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => erfolgreich entfernt
"HKU\S-1-5-21-2791600654-35821671-3764932078-1001\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\Extensions\abs@avira.com => erfolgreich verschoben
C:\Users\Marie-Claire\AppData\Local\Avira => erfolgreich verschoben
C:\Program Files (x86)\Avira => erfolgreich verschoben


Das System musste neu gestartet werden.

==== Ende von Fixlog 00:12:14 ====
         

Und hier der Inhalt der RogueKiller.txt.

Code: Alles auswählenAufklappen

ATTFilter

RogueKiller Anti-Malware V14.7.3.0 (x64) [Sep 15 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19041) 64 bits
Gestartet in : Normaler Modus
Benutzer : Marie-Claire [Administrator]
Gestartet von : C:\Users\Marie-Claire\Desktop\RogueKiller_portable64.exe
Signaturen : 20201001_073512, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2020/10/04 00:26:39 (Dauer : 00:25:10)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> XX - Software
  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-2791600654-35821671-3764932078-1001\Software\OCS -- N/A -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> Firefox Config
  [PUM.Proxy (Potenziell bösartig)] network.proxy.type (C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\prefs.js) -- 2 -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
         

Die Funde von RogueKiller kannst du ignorieren, das sind Fehlalarme.







Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  DeleteQuarantine:
  Unlock: C:\FRST
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias,

vielen lieben Dank für die Hilfe, es hat alles geklappt

Wir haben jetzt die alle Virenscanner gemäß deiner Anleitung runtergeschmissen und den WindowsDefender korrekt eingestellt. Updates aller Programme haben wir auch durchgeführt.

Das CleanerUp lief sauber durch, hat aber natürlich auch die fixlist.txt gelöscht und wir haben die vorher nicht verschoben, weshalb ich die jetzt nicht mehr posten kann.

Spende ist raus und offizielles Lob folgt natürlich! Vielen Dank!

Eine Frage hätte ich zum Abschluss noch:
Eigentlich ist die Malware nach Deinstallation des AntiVir nie wieder gefunden worden. Zumindest haben die anderen Virenprogramme nie eine Meldung erzeugt. War das jetzt ein Problem mit AntiVir? Den Logs konnte ich leider nicht sehr viel entnehmen.

Schönes Restwochenende noch,
Moritz

Zitat:

Eigentlich ist die Malware nach Deinstallation des AntiVir nie wieder gefunden worden. Zumindest haben die anderen Virenprogramme nie eine Meldung erzeugt. War das jetzt ein Problem mit AntiVir? Den Logs konnte ich leider nicht sehr viel entnehmen.

Wir haben die Malware mit FRST entfernt, weil Avira nicht in der Lage war, die Malware aufzuspüren... geschweige denn zu entfernen. FRST ist Avira bei weitem überlegen.
Das was Avira hier entdeckt hat, war lediglich eine temporäre Datei der Malware... den Ursprung/Kern hat es nicht entdeckt.
Wir lassen Avira vor einer Bereinigung entfernen, weil es sehr häufig stört.




Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.