Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner

schnasemann · 19.11.2020, 09:58

Zunächst herzlichen Dank für das tolle Forum und Euer Hilfeangebot!
Ich habe heute eine eMail bekommen von 1&1 die "echt" aussah, weil sie meine kompletten Kundendaten angegeben haben und eine IP Adresse, die ich vor 3 Tagen gehabt habe, als ich mit einem Rechner im Internet gewesen sein soll:

Details des Risikos:

Ihre IP-Adresse zum Zeitpunkt: xx.xxx.xx.xx
Zeitpunkt der Erkennung: 16.11.2020 19:25:05 +0100
Bezeichnung des Virus: Murofetweekly

Nun haben wir 4 Rechner und ich habe bei meinem zunächst nach Anleitung FRST und MBAM durchgeführt.
Nun meine Fragen:
Brauchst Du zum Bewerten, ob an der 1&1 Meldung etwas dran ist, von beiden Programmen die Dateien? Die müsste ich dann für 3 weitere Rechner erstellen.
Bitte nenne, was ich an Vorarbeit/Mithilfe machen kann.
Hier die Logs:
(Addition und FRST waren zu groß, daher angehängt).

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 19.11.20
Scan-Zeit: 08:53
Protokolldatei: 44e18056-2a3c-11eb-ac01-e03f49abcf84.json

-Softwaredaten-
Version: 4.2.3.96
Komponentenversion: 1.0.1112
Version des Aktualisierungspakets: 1.0.33086
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.1198)
CPU: x64
Dateisystem: NTFS
Benutzer: Desktop\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 326172
Erkannte Bedrohungen: 23
In die Quarantäne verschobene Bedrohungen: 23
Abgelaufene Zeit: 4 Min., 57 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 7
PUP.Optional.InstallCore, HKLM\SOFTWARE\WOW6432NODE\InstallCore, In Quarantäne, 508, 239564, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKU\S-1-5-21-2216645519-1926600634-3384057673-1000\SOFTWARE\astromenda, In Quarantäne, 308, 235606, 1.0.33086, , ame, , , 
PUP.Optional.InstallCore, HKU\S-1-5-21-2216645519-1926600634-3384057673-1000\SOFTWARE\InstallCore, In Quarantäne, 508, 239563, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKU\S-1-5-21-2216645519-1926600634-3384057673-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, In Quarantäne, 308, 235614, , , , , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, In Quarantäne, 308, 235614, , , , , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, In Quarantäne, 308, 235614, 1.0.33086, , ame, , , 
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 600, 463412, 1.0.33086, , ame, , , 

Registrierungswert: 6
PUP.Optional.Astromenda, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, In Quarantäne, 308, 235614, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|TOPRESULTURLFALLBACK, In Quarantäne, 308, 235614, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|FAVICONPATH, In Quarantäne, 308, 235614, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|, In Quarantäne, 308, 235614, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|DISPLAYNAME, In Quarantäne, 308, 235614, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY|APPPATH, In Quarantäne, 308, 235613, 1.0.33086, , ame, , , 

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 4
PUP.Optional.Astromenda, C:\Program Files (x86)\Astromenda\bh, In Quarantäne, 308, 174367, , , , , , 
PUP.Optional.Astromenda, C:\PROGRAM FILES (X86)\Astromenda, In Quarantäne, 308, 174367, 1.0.33086, , ame, , , 
PUP.Optional.Astromenda, C:\Users\*****\AppData\Roaming\Astromenda\UpdateProc, In Quarantäne, 308, 175529, , , , , , 
PUP.Optional.Astromenda, C:\USERS\*****\APPDATA\ROAMING\ASTROMENDA, In Quarantäne, 308, 175529, 1.0.33086, , ame, , , 

Datei: 6
PUP.Optional.Astromenda, C:\Program Files (x86)\Astromenda\FavIcon.ico, In Quarantäne, 308, 174367, , , , , EF98A1FE8252837103E54961A38392C3, D637E15B9097D7558425F77B30EEF53052D8841AF0ABDFBA834581D458B8561F
PUP.Optional.Astromenda, C:\Program Files (x86)\Astromenda\Sqlite3.dll, In Quarantäne, 308, 174367, , , , , 5405413FFF79B8D9C747AA900F60F082, 3E5A28FFDE07AC661C26B6CCF94E64C1C90B1F25B3B24C90605AA922B87642EB
PUP.Optional.Astromenda, C:\Program Files (x86)\Astromenda\uninst.dat, In Quarantäne, 308, 174367, , , , , 2A9841B09C0231D7E0202356036305DA, 933F3A4F97B3EA93230B794EC06841192F9185A29ECE019C975C8254CCD485F7
PUP.Optional.Astromenda, C:\Users\*****\AppData\Roaming\Astromenda\UpdateProc\config.dat, In Quarantäne, 308, 175529, , , , , F74B400EEE2D3015B98E3D3CB477B3B6, BA835D9400A1B40E469A578289BF96C9B42A435B87A441F13986903E90AC5D14
PUP.Optional.Astromenda, C:\Users\*****\AppData\Roaming\Astromenda\UpdateProc\info.dat, In Quarantäne, 308, 175529, , , , , C33C70C421352F6FA12463E626F75D79, 89F944B8D070C6AB8257B7FF41E7E42EC62FCBF05DCAC600AA4AFAAD2069C2D4
PUP.Optional.ChipDe, C:\USERS\*****\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}\CHIP INSTALLER.MSI, In Quarantäne, 600, 594115, 1.0.33086, , ame, , 09592483D17F4F088723F4084EA94BD0, BC47ABA34B923C9C53F71928F1D57F6211D52EC020FA14DCC145B4919108F781

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Ganz dicken Dank!
schnasemann

cosinus · 19.11.2020, 13:09

Zuerst mal: in deinem Malwarebytes Log werden nur Adwarefunde angezeigt. Die haben mit der Meldung des angeblichen Befalls überhaupt nichts zu tun.

Zweitens: wir hatten hier die letzten Wochen einige Fälle mit diesem murofetweekly. Und in keinem konnte irgendwas an dieser Behauptung belegt/gefunden werden. Kurz: das sind hektische Meldungen, die bishernichts als Panik stifteten.

Störende, veraltete oder unnötige Programme deinstallieren

Bitte über Programme und Features (appwiz.cpl) deinstallieren:

7-Zip 18.01 (x64)
7-Zip 9.20
Adobe Flash Player 32 NPAPI
Astromenda
ASUS Product Register Program
Audacity 2.0.5
AVG AntiVirus FREE
QuickTime 7

schnasemann · 19.11.2020, 14:45

Zuerst mal fett DANKE!
Was mache ich nun mit meinen 3 anderen Rechnern?
MBAM über alle laufen lassen?
Würdest Du Dir das dann auch noch anschauen?
Oder "reicht" erst mal, dass keine Malware gefunden wird?

Was genau schreibe ich denn nun 1&1?
Wenn Eure Erfahrung ist, dass da grade viel Gebrüll um nichts gemacht wird, bin ich schon der Meinung, dass da einzelne "Betroffene" antworten sollten.

Danke und Grüße,
schnasemann

cosinus · 19.11.2020, 14:55

Du schreibst erstmal garnichts. Und mit den anderen Rechnern machst du auch erstmal nichts. Oder willst du dich mit Logs und Instruktionen verzetteln?

Wenn die anderen geprüft werden müssen, dann schön nacheinander. Und für jeden Rechner einen sparaten Thread.

schnasemann · 19.11.2020, 15:07

Die genannten Instruktionen habe ich schon ausgeführt und alle angegebenen Programme deinstalliert.
Nächster Schritt?

THX

cosinus · 19.11.2020, 15:10

Achso, die Programme sind schon weg

Dann geht so weiter:

adwCleaner

Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei in CODE-Tags.

Falls es Funde gab, adwcleaner bitte zwecks Kontrolle wiederholen

schnasemann · 19.11.2020, 15:36

Danke.
Ich habe nun adwCleaner mehrere Male durchlaufen lassen.
Unter Quarantäne habe ich nun eine vorinstallierte Software.
Die wird bei jedem erneuten Scan wieder gefunden und wieder in die Quarantäne geschoben.

c00

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-11-12.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-19-2020
# Duration: 00:00:01
# OS:       Windows 10 Pro
# Cleaned:  23
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\AVG Security Toolbar
Deleted       C:\ProgramData\AVG_UPDATE_0516TB
Deleted       C:\Users\****\AppData\Local\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}
Deleted       C:\Users\****\AppData\Local\YSearchUtil

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\1214avUpdateInfo
Deleted       C:\Windows\System32\Tasks\AVG-SSU_0516tb
Deleted       C:\Windows\System32\Tasks\AVG-SSU_0516tb_DELETE
Deleted       C:\Windows\Tasks\AVG-SSU_0516tb.job

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8D444062-3262-4837-9E7C-AA690081C483}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8D444062-3262-4837-9E7C-AA690081C483}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A47B9472-B1EB-4AA2-B89F-AA955BFC99C3}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4EFAFDB-47AE-41FD-B497-E94C6B24FFBB} 
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1214avUpdateInfo
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG-SSU_0516tb
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG-SSU_0516tb_DELETE
Deleted       HKLM\Software\Classes\AppID\{9CB2CD61-FFA0-406C-9D2D-8FDE6F4A4D8A}
Deleted       HKLM\Software\Wow6432Node\AVG Secure Search
Deleted       HKLM\Software\Wow6432Node\\Classes\AppID\{9CB2CD61-FFA0-406C-9D2D-8FDE6F4A4D8A}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}
Deleted       HKLM\System\Setup\FirstBoot\Services\WtuSystemSupport

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4032 octets] - [19/11/2020 15:17:05]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

c01

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-11-12.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-19-2020
# Duration: 00:00:00
# OS:       Windows 10 Pro
# Cleaned:  2
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.ReaderforPC   File   C:\Users\Public\Desktop\Reader for PC.lnk
Deleted       Preinstalled.ReaderforPC   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{D279DFB7-97A3-439D-8BE9-95D8AFA68562}
Not Deleted   Preinstalled.ReaderforPC   Folder   C:\Program Files (x86)\SONY\READERDESKTOP


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4032 octets] - [19/11/2020 15:17:05]
AdwCleaner[C00].txt - [3528 octets] - [19/11/2020 15:18:30]
AdwCleaner[S01].txt - [1801 octets] - [19/11/2020 15:21:18]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

c02

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-11-12.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-19-2020
# Duration: 00:00:00
# OS:       Windows 10 Pro
# Cleaned:  0
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Not Deleted   Preinstalled.ReaderforPC   Folder   C:\Program Files (x86)\SONY\READERDESKTOP


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4032 octets] - [19/11/2020 15:17:05]
AdwCleaner[C00].txt - [3528 octets] - [19/11/2020 15:18:30]
AdwCleaner[S01].txt - [1801 octets] - [19/11/2020 15:21:18]
AdwCleaner[C01].txt - [2028 octets] - [19/11/2020 15:22:44]
AdwCleaner[S02].txt - [1696 octets] - [19/11/2020 15:24:46]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########

cosinus · 19.11.2020, 15:48

Das ist dieser Krempel von Sony

Zitat:

Reader for PC (HKLM-x32\...\{D279DFB7-97A3-439D-8BE9-95D8AFA68562}) (Version: 2.4.01.10241 - Sony Corporation)

Schau mal ob du den normal deinstallieren kannst.

schnasemann · 19.11.2020, 16:05

mhm, in den Apps & Features gibt es keinen Eintrag davon.
Das ist eine Readersoftware für irgendein eBook-Reader gewesen, den ich auch tatsächlich nicht mehr brauche.

Wie werde ich den nun los?

Nochwas: Im Taskmanager läuft ein ReaderApplicationHelper von Sony und ist im Autostart verankert.

cosinus · 19.11.2020, 16:22

Ignorier das. Mach bitte neue Logs mit FRST.

schnasemann · 19.11.2020, 17:07

Sorry, File ist zu groß.
Daher Anhang.
Danke!

cosinus · 20.11.2020, 12:19

Scripting/Repair mit FRST64

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
CloseProcesses:
AV: AVG Antivirus (Enabled - Up to date) {4FC75CA5-1654-5411-7CFB-1893D506BCF4}
AS: AVG Antivirus (Enabled - Up to date) {F4A6BD41-306E-5B9F-464B-23E1AE81F649}
GroupPolicy: Beschränkung ? <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
FF Plugin-x32: @sony.com/ReaderDesktop -> C:\Program Files (x86)\Sony\ReaderDesktop\npreaderdetectmoz.dll [2014-10-24] (Sony Corporation -> Sony Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.1.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=3.0.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers1: [WondershareVideoConverterFileOpreation] -> {FEB746CA-95C2-485F-B386-C30D4E56D22E} => C:\Windows\SysWOW64\WSCM64.dll -> Keine Datei
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Keine Datei
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
C:\Program Files (x86)\Sony\ReaderDesktop
C:\Users\CurrentUserName\AppData\Local\62ddddf9d461bd9633b86dd3c75a2286
cmd: netsh advfirewall reset
emptytemp:
End::

Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

schnasemann · 20.11.2020, 12:36

Dickes Danke!

Code:

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17-11-2020
durchgeführt von **** (20-11-2020 12:30:07) Run:1
Gestartet von C:\Users\****\Downloads
Geladene Profile: **** & postgres
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
AV: AVG Antivirus (Enabled - Up to date) {4FC75CA5-1654-5411-7CFB-1893D506BCF4}
AS: AVG Antivirus (Enabled - Up to date) {F4A6BD41-306E-5B9F-464B-23E1AE81F649}
GroupPolicy: Beschränkung ? <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
FF Plugin-x32: @sony.com/ReaderDesktop -> C:\Program Files (x86)\Sony\ReaderDesktop\npreaderdetectmoz.dll [2014-10-24] (Sony Corporation -> Sony Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.1.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=3.0.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN -> VideoLAN)
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers1: [WondershareVideoConverterFileOpreation] -> {FEB746CA-95C2-485F-B386-C30D4E56D22E} => C:\Windows\SysWOW64\WSCM64.dll -> Keine Datei
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Keine Datei
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
C:\Program Files (x86)\Sony\ReaderDesktop
C:\Users\****\AppData\Local\62ddddf9d461bd9633b86dd3c75a2286
cmd: netsh advfirewall reset
emptytemp:

*****************

Prozesse erfolgreich geschlossen.
"AV: AVG Antivirus (Enabled - Up to date) {4FC75CA5-1654-5411-7CFB-1893D506BCF4}" => erfolgreich entfernt
"AS: AVG Antivirus (Enabled - Up to date) {F4A6BD41-306E-5B9F-464B-23E1AE81F649}" => erfolgreich entfernt
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\User => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Mozilla => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
"HKLM\Software\Wow6432Node\MozillaPlugins\@sony.com/ReaderDesktop -> C:\Program Files (x86)\Sony\ReaderDesktop\npreaderdetectmoz.dll [2014-10-24] (Sony Corporation" => nicht gefunden
C:\Program Files (x86)\Sony\ReaderDesktop\npreaderdetectmoz.dll => erfolgreich verschoben
"HKLM\Software\Wow6432Node\MozillaPlugins\@videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN" => nicht gefunden
C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll => erfolgreich verschoben
"HKLM\Software\Wow6432Node\MozillaPlugins\@videolan.org/vlc,version=2.1.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN" => nicht gefunden
"C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll" => nicht gefunden
"HKLM\Software\Wow6432Node\MozillaPlugins\@videolan.org/vlc,version=2.2.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN" => nicht gefunden
"C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll" => nicht gefunden
"HKLM\Software\Wow6432Node\MozillaPlugins\@videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN" => nicht gefunden
"C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll" => nicht gefunden
"HKLM\Software\Wow6432Node\MozillaPlugins\@videolan.org/vlc,version=2.2.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN" => nicht gefunden
"C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll" => nicht gefunden
"HKLM\Software\Wow6432Node\MozillaPlugins\@videolan.org/vlc,version=3.0.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-01-10] (VideoLAN" => nicht gefunden
"C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll" => nicht gefunden
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avg => erfolgreich entfernt
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WondershareVideoConverterFileOpreation => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{FEB746CA-95C2-485F-B386-C30D4E56D22E} => erfolgreich entfernt
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\Gadgets => erfolgreich entfernt
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui => erfolgreich entfernt
C:\ProgramData\Reprise => ":wupeogjxlctlfudivq`qsp`28hfm" ADS erfolgreich entfernt

"C:\Program Files (x86)\Sony\ReaderDesktop" Ordner verschieben:

Konnte nicht verschoben werden "C:\Program Files (x86)\Sony\ReaderDesktop" => ist geplant bei Neustart verschoben zu werden.

C:\Users\****\AppData\Local\62ddddf9d461bd9633b86dd3c75a2286 => erfolgreich verschoben

========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 888342461 B
Java, Flash, Steam htmlcache => 156358 B
Windows/system/drivers => 14780583 B
Edge => 1720531 B
Chrome => 0 B
Firefox => 1510781172 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 2127490 B
NetworkService => 3156936 B
**** => 198404211 B
postgres => 198404211 B

RecycleBin => 9085288880 B
EmptyTemp: => 11.1 GB temporäre Dateien entfernt.

================================

cosinus · 20.11.2020, 12:42

Kontrollscans mit MBAM und RK

Wir sind fast fertig. Jetzt ist es an der Zeit für Kontrollscans mit

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

schnasemann · 20.11.2020, 14:04

Danke!

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 20.11.20
Scan-Zeit: 13:44
Protokolldatei: 2449e412-2b2e-11eb-a57d-e03f49abcf84.json

-Softwaredaten-
Version: 4.2.3.96
Komponentenversion: 1.0.1112
Version des Aktualisierungspakets: 1.0.33154
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.1198)
CPU: x64
Dateisystem: NTFS
Benutzer: Desktop\****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 324007
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 3 Min., 51 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Code:

ATTFilter

RogueKiller Anti-Malware V14.8.0.0 (x64) [Nov 17 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.18363) 64 bits
Gestartet in : Normaler Modus
Benutzer : **** [Administrator]
Gestartet von : C:\Users\****\Desktop\RogueKiller64.exe
Signaturen : 20201118_095348, Treiber : Geladen
Modus : Standard-Scan, Löschen -- Datum : 2020/11/20 13:59:24 (Dauer : 00:07:10)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Löschen ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[Suspicious.Path (Potenziell bösartig)] \{798CADF7-9199-41E0-931D-87B1BB8C9E6B} -- C:\Windows\system32\pcalua.exe (-a C:\Temp\jre-8u161-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1) -> Gelöscht
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\.DEFAULT\Software\OCS --  -> Gelöscht
[PUP.Ghokswa (Potenziell bösartig)] HKEY_USERS\S-1-5-21-2216645519-1926600634-3384057673-1000\Software\Firefox --  -> Gelöscht
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-21-2216645519-1926600634-3384057673-1000\Software\OCS --  -> Gelöscht
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-18\Software\OCS --  -> Gelöscht
[PUP.Gen0 (Potenziell bösartig)] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233} --  -> Gelöscht

19.11.2020, 14:55	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner Du schreibst erstmal garnichts. Und mit den anderen Rechnern machst du auch erstmal nichts. Oder willst du dich mit Logs und Instruktionen verzetteln? Wenn die anderen geprüft werden müssen, dann schön nacheinander. Und für jeden Rechner einen sparaten Thread. __________________ Logfiles bitte immer in CODE-Tags posten

19.11.2020, 15:10	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner Achso, die Programme sind schon weg Dann geht so weiter: adwCleaner Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei in CODE-Tags. Falls es Funde gab, adwcleaner bitte zwecks Kontrolle wiederholen __________________ --> Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner

19.11.2020, 16:22	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner Ignorier das. Mach bitte neue Logs mit FRST. __________________ Logfiles bitte immer in CODE-Tags posten

20.11.2020, 12:42	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner Kontrollscans mit MBAM und RK Wir sind fast fertig. Jetzt ist es an der Zeit für Kontrollscans mit Malwarebytes RogueKiller Poste nach Abschluss der beiden Scans die Logs in CODE-Tags. __________________ Logfiles bitte immer in CODE-Tags posten

Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner

Log-Analyse und Auswertung: Windows 10 - lt. 1&1 Murofetweekly auf einem Rechner