Guten Abend zusammen.

Habe ,aus eigener Dummheit, vor etwa 2 Wochen auf einen sehr "offensichtlichen" Downloadlink für eine DJ-Software geklickt und sie sogar echt noch runtergeladen...Jetzt bekomme ich seit mehreren Tagen die Meldung vom Windows Defender, dass er den oben genannten Trojaner entfernt hat, aber die Meldung hört nicht auf zu kommen. Was mir außerdem aufgefallen ist, ist dass die Meldung immer morgens zwischen 8-10 Uhr auftritt (Mögliche Ursache beim Start?).

Leider kenne ich mich mit dem Thema und sonstigen Malwares überhaupt nicht aus und weiß leider auch nicht wie ich diesen Trojaner entfernt bekomme. Hoffe ihr könnt mir da helfen, danke

Anbei sind die gewünschten Logdateien und ein Screenshot vom Windows-Defender

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-3039781307-1240299950-2572561560-1001\...\RunOnce: [elisc] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('elisc', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
  DeleteKey: HKCU\Software\elisc
  DeleteKey: HKCU\Software\elisc1
  DeleteValue: HKCU\Environment|elisc
  CMD: reg query HKCU\Software
  CMD: reg query HKCU\Environment
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  powershell: Set-MpPreference -PUAProtection Enabled
  powershell: Set-MpPreference -DisableScanningNetworkFiles 0
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Anbei die gewünschten Logs

Gut gemacht!





Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CMD: reg query HKLM\SYSTEM\CurrentControlSet\Services\tiledatamodelsvc
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei des FRST-Fix (fixlog.txt)

MBAM und Fixlog