Hallo liebe Community, seit geraumer Zeit (3-4 Tagen) gibt mein Windows defender immer wieder Meldungen davon das ein sogenannter GetX64BTIT.exe Virus auf meinem Computer ist. Er sagt zwar er hätte ihn unter Quarantäne gestellt aber die Meldung kommt immer wieder. Ich selbst nehme keine Probleme beim arbeiten mit dem Pc wahr bin aber trotzdem besorgt. Deswegen hatte ich mir Hilfe bei https://www.trojaner-board.de/200944-unterstuetzung-um-programm-getx64btit-exe-entfernen.html gesucht und habe mir die Logdaten von Malwarebytes' AntiMalware (MBAM) und AdwCleaner gespeichert (Dateien im Anhang) und alles was gefunden wurde in Quarantäne gepackt. Nun wollte ich fragen ob ich noch weitere Schritte machen sollte oder ob das ausreicht?

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Nun wollte ich fragen ob ich noch weitere Schritte machen sollte oder ob das ausreicht?

Es wird wohl nicht ausreichen... du solltest unsere Anleitung für Hilfesuchende lesen und die Logdateien von FRST posten.




Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstmal vielen Dank für die schnelle Antwort und Entschuldigung das ich wichtige Schritte ausgelassen hatte. Im Anhang befinden sich die Logdateien von FRST.
Außerdem hatte ich vor zwei Tagen Scans mit SpyHunter5 gemacht und in Zuge dessen wurden Dateien in Quarantäne verschoben allerdings weiß ich nicht wie ich die Logdateien einsehen kann.

SpyHunter ist eine zweifelhafte Software, wir raten dringend davon ab. Ich hoffe, du hast kein Geld dafür bezahlt. Deren Geschäftsmodell ist eine richtige Abzocke.






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • SpyHunter
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
  CMD: reg query HKCU\Environment
  HKU\S-1-5-21-2374559154-3140316946-1524054738-1001\Environment: [MiloM] "powershell.exe"                     -windowstyle hidden  -En "PAAjACAAdQB2AGcAaQB5AHIAeQBrACAAIwA+ACQAdQA9ACQAZQBuAHYAOgBVAHMAZQByAE4AYQBtAGUAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAANwAwADAAO (Der Dateneintrag hat 1269 mehr Zeichen). <==== ACHTUNG
  DeleteKey: HKCU\Software\MiloM
  DeleteKey: HKCU\Software\MiloM1
  CMD: reg query HKCU\Software
  CMD: reg query HKCU\Environment
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [492]
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  powershell: Set-MpPreference -PUAProtection Enabled
  powershell: Set-MpPreference -DisableScanningNetworkFiles 0
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallation
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo und danke erneut für die schnellen und einfachen Anweisungen. Ich hatte SpyHunter deinstalliert (kein Geld investiert) und es scheint als hätte es geklappt. Erneut sind alle angefragten Dateien im Anhang.

Vielen Dank und freundliche Grüße

Sehr gut gemacht!
So konsequent machen wir jetzt gleich weiter.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  S3 mracsvc; C:\Windows\System32\mracsvc.exe [20497056 2020-07-25] (Mail.Ru LLC -> LLC Mail.Ru)
  C:\Windows\System32\mracsvc.exe
  S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X]
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Users\Milo M\AppData\Roaming\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Users\Milo M\AppData\Local\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\ProgramData\Lavasoft
  2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Program Files (x86)\Lavasoft
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  SearchAll: ScanGuard;Lavasoft;TotalAV;Web Companion;WebCompanion
           

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Schritt 4

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die Logdatei von EEK
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)