Hallo liebe Community, seit geraumer Zeit (3-4 Tagen) gibt mein Windows defender immer wieder Meldungen davon das ein sogenannter GetX64BTIT.exe Virus auf meinem Computer ist. Er sagt zwar er hätte ihn unter Quarantäne gestellt aber die Meldung kommt immer wieder. Ich selbst nehme keine Probleme beim arbeiten mit dem Pc wahr bin aber trotzdem besorgt. Deswegen hatte ich mir Hilfe bei https://www.trojaner-board.de/200944-unterstuetzung-um-programm-getx64btit-exe-entfernen.html gesucht und habe mir die Logdaten von Malwarebytes' AntiMalware (MBAM) und AdwCleaner gespeichert (Dateien im Anhang) und alles was gefunden wurde in Quarantäne gepackt. Nun wollte ich fragen ob ich noch weitere Schritte machen sollte oder ob das ausreicht?

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Nun wollte ich fragen ob ich noch weitere Schritte machen sollte oder ob das ausreicht?

Es wird wohl nicht ausreichen... du solltest unsere Anleitung für Hilfesuchende lesen und die Logdateien von FRST posten.




Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstmal vielen Dank für die schnelle Antwort und Entschuldigung das ich wichtige Schritte ausgelassen hatte. Im Anhang befinden sich die Logdateien von FRST.
Außerdem hatte ich vor zwei Tagen Scans mit SpyHunter5 gemacht und in Zuge dessen wurden Dateien in Quarantäne verschoben allerdings weiß ich nicht wie ich die Logdateien einsehen kann.

SpyHunter ist eine zweifelhafte Software, wir raten dringend davon ab. Ich hoffe, du hast kein Geld dafür bezahlt. Deren Geschäftsmodell ist eine richtige Abzocke.






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • SpyHunter
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
  CMD: reg query HKCU\Environment
  HKU\S-1-5-21-2374559154-3140316946-1524054738-1001\Environment: [MiloM] "powershell.exe"                     -windowstyle hidden  -En "PAAjACAAdQB2AGcAaQB5AHIAeQBrACAAIwA+ACQAdQA9ACQAZQBuAHYAOgBVAHMAZQByAE4AYQBtAGUAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAANwAwADAAO (Der Dateneintrag hat 1269 mehr Zeichen). <==== ACHTUNG
  DeleteKey: HKCU\Software\MiloM
  DeleteKey: HKCU\Software\MiloM1
  CMD: reg query HKCU\Software
  CMD: reg query HKCU\Environment
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [492]
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  powershell: Set-MpPreference -PUAProtection Enabled
  powershell: Set-MpPreference -DisableScanningNetworkFiles 0
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallation
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo und danke erneut für die schnellen und einfachen Anweisungen. Ich hatte SpyHunter deinstalliert (kein Geld investiert) und es scheint als hätte es geklappt. Erneut sind alle angefragten Dateien im Anhang.

Vielen Dank und freundliche Grüße

Sehr gut gemacht!
So konsequent machen wir jetzt gleich weiter.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  S3 mracsvc; C:\Windows\System32\mracsvc.exe [20497056 2020-07-25] (Mail.Ru LLC -> LLC Mail.Ru)
  C:\Windows\System32\mracsvc.exe
  S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X]
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Users\Milo M\AppData\Roaming\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Users\Milo M\AppData\Local\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\ProgramData\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Program Files (x86)\Lavasoft
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  SearchAll: ScanGuard;Lavasoft;TotalAV;Web Companion;WebCompanion
           

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Schritt 4

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die Logdatei von EEK
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Im Anhang sind alle gefragten Dateien. Vielen Dank für die weiterhin schnelle Hilfe.
Dürfte man erfahren was mein Problem war ? Also was für einen Virus ich mir eingefangen habe und wie er auf meinen PC gekommen ist?

Zitat:

Dürfte man erfahren was mein Problem war ? Also was für einen Virus ich mir eingefangen habe und wie er auf meinen PC gekommen ist?

Aufgrund der schlechten Downloadquellen hast du dir jede Menge PUP/Adware auf den Rechner geholt.
Zudem hast du dir noch eine Malware namens Gootkit eingefangen (wohl auch über einen infizierten Download). Das ist eine Schadsoftware, die Zugangsdaten (Online-Banking, etc.) abgreifen kann.
Daher solltest du am Ende alle Passwörter ändern und zukünftig mehr auf deine Downloads achten, mehr Tipps gibts in der Anleitung ganz unten.

Wir entfernen jetzt dann noch die letzten Reste und dann wären wir fertig.






Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  C:\ProgramData\Application Data\Lavasoft
  C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0\UsageLogs\Lavasoft.WCAssistant.WinService.exe.log
  C:\Windows\Prefetch\*.pf
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\ScanGuard
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\ScanGuard
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\ScanGuard
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scanguard
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.scanguard.passwordvaultassistant
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Edge\NativeMessagingHosts\com.scanguard.passwordvaultassistant
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\NativeMessagingHosts\com.scanguard.passwordvaultassistant
  DeleteKey: HKEY_USERS\S-1-5-21-2374559154-3140316946-1524054738-1001\SOFTWARE\Classes\WOW6432Node\CLSID\{d79b57ed-727c-4ab8-ba67-e7c6fd30fac1}
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Lavasoft
  DeleteKey: HKEY_USERS\S-1-5-21-2374559154-3140316946-1524054738-1001\SOFTWARE\Lavasoft
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\TotalAV
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\totalav
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Edge\NativeMessagingHosts\com.totalav.passwordvaultassistant
  DeleteQuarantine:
  Unlock: C:\FRST
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.

Zitat:

Platform: Windows 10 Pro Version 2004

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
• Wähle das Funktionsupdates aus, downloade und installiere es.
• Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
  Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Erstmal: vielen lieben Dank für die Hilfe. Es war sehr einfach Anweisungen zu folgen die so schnell und simpel formuliert wurden.
Im Anhang die gefragten Dateien.
Ich habe mir euren Beitrag zum Cleanup durchgelesen und festgestellte das der Antivirus von Windows ausreichend sein soll. Nun habe ich das Problem das ich den Echtzeitschutz nicht aktivieren kann weil: "Sie nutzen andere Anbieter von Antivirensoftware" ich weiß allerdings nicht welche das sein könnte da ich auch TBCleanUpTool benutzt hatte.

PS: Spenden würde ich gern allerdings wäre meine einzige Zahlungsmöglichkeit Paysafe da ich noch Minderjährig bin.

Zitat:

Nun habe ich das Problem das ich den Echtzeitschutz nicht aktivieren kann weil: "Sie nutzen andere Anbieter von Antivirensoftware" ich weiß allerdings nicht welche das sein könnte da ich auch TBCleanUpTool benutzt hatte.

Das liegt am Echtzeitschutz von MBAM. Dieser ist einige Tage kostenlos und deaktiviert sich dann selbst. Du kannst ihn aber auch gleich so deaktivieren:

• Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
• Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
• Windows Defender wird sich automatisch wieder aktivieren.
• Du kannst MBAM zur regelmäßigen Kontrolle auf dem Computer belassen.

Zitat:

PS: Spenden würde ich gern allerdings wäre meine einzige Zahlungsmöglichkeit Paysafe da ich noch Minderjährig bin.

Die verlinkte Seite zum Thema "Spende" sind die einzigen Möglichkeiten... Überweisung oder PayPal.

Du musst wirklich nichts spenden (insbesondere aufgrund deines Alters), dein Dank genügt vollkommen.
Wir machen das hier ja ehrenamtlich. Spenden dienen "nur" zum Erhalt des Forums.





Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.