Zitat:

Zitat von cosinus

Wieso hast du tresorit drauf, um es mit so einem hack in der Hosts wieder funktionsunfähig zu machen?

Das ist für das "Tresorit-Laufwerk".... https://tresorit.com/de/features/tresorit-drive

Ja das weiß ich auch. Du kannst aber schlecht ein Cloud-Laufwerk benutzen, wenn du die dazu benötigte Adresse auf den localhost umlenkst.

Ich nehme an, dass die eigentliche Verbindung über die normale Tresorit-Anwendung geht, die einen andere Serveradresse nutzt. Diese lokale Adresse dient vielleicht als lokaler Proxy (der dann mit der lokalen Anwendung spricht)... Evtl. gibt's davon noch ne andere Variante, wo die Adresse anders belegt wird (Firmen-Tresorit oder so)...

Scripting/Repair mit FRST64

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  GroupPolicy: Beschränkung ? <==== ACHTUNG
  Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
  Task: {DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
  C:\ProgramData\NTUSER.pol
  cmd: netsh advfirewall reset
  emptytemp:
  hosts:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Hallo Cosinus,

hier das Ergebnis aus der fixlog.txt. Der Rechner wurde neu gestartet.

Danke.
Grüße,
Alex

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 19-01-2021
durchgeführt von **User** (20-01-2021 09:53:10) Run:1
Gestartet von C:\Users\**User**\Desktop
Geladene Profile: **User**
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
C:\ProgramData\NTUSER.pol
cmd: netsh advfirewall reset
emptytemp:
hosts:

*****************

Prozesse erfolgreich geschlossen.
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DEA4B3DC-E851-4FF6-BBA2-E72652F79AA9}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager" => nicht gefunden
"C:\ProgramData\NTUSER.pol" => nicht gefunden

========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 55185746 B
Java, Flash, Steam htmlcache => 10725366 B
Windows/system/drivers => 6400429 B
Edge => 11320340 B
Chrome => 0 B
Brave => 0 B
Firefox => 1289017361 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 7818 B
**User** => 93959649 B
**Admin** => 94094122 B

RecycleBin => 3689292743 B
EmptyTemp: => 4.9 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:58:33 ====
         

Willst du die Kiste eigentlich jetzt so lassen oder neu installieren?
Irgendwie gibt es so keine klare Ansage.

Mit mittelfristig meinte ich im Laufe diesen Jahres. Vor Sommer, davon gehe ich aus, wird das Chaos hier meine Zeit fressen ...

Dann mach nochmal Kontrollscans mit MABM und RK.

Here we go...

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 20.01.21
Scan-Zeit: 22:38
Protokolldatei: db4f02dc-5b67-11eb-b885-f832e4bc5f9c.json

-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1130
Version des Aktualisierungspakets: 1.0.36007
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.746)
CPU: x64
Dateisystem: NTFS
Benutzer: HAL\**User**

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 458276
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 16 Min., 13 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

Und RogueKiller:

Code: Alles auswählenAufklappen

ATTFilter

RogueKiller Anti-Malware V14.8.4.0 (x64) [Jan 13 2021] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19042) 64 bits
Gestartet in : Normaler Modus
Benutzer : **User** [Administrator]
Gestartet von : C:\Users\**User**\Desktop\RogueKiller_portable64_VTChecked.exe
Signaturen : 20210119_102754, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2021/01/20 22:20:53 (Dauer : 00:10:22)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
         

Danke.
Grüße,
Alex

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Yieppie

... der Rest wäre hier:
https://www.trojaner-board.de/200848-danke-cosinus.html#post1746786

Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.