Guten Morgen werte Community,

ich hatte das Problem, dass nach und nach mein PC sich immer häufiger merkwürdig verhalten hat. Das begann mit Abstürzen in Spielen nach wenigen Minuten, die sonst immer einwandfrei problemlos stundenlang liefen. Dann folgten Browserabstürze, bzw. aufgehangene Browser. Auch das eine Mal wurde das Passwort von einem meiner Mailkonten geändert.

Gestern hatte ich nach den ganzen Abstürzen die Nase voll und habe mir eine beliebige Antiviren-Software runtergeladen (G Data) und durchlaufen lassen. Er hat auch einiges gefunden, aber meiner Meinung nach waren das false positives oder wie man das nennt. Daher habe ich die gefundenen "Viren" ignoriert. Gestern Abend PC runtergefahren, heute wieder gestartet und bumm. Fast alle Spielelauncher (Epic games, GOG galaxy, EA Games) und andere Programme die sich auf D:\Programme\ (C: ist Windows) befanden sind vollständig weg. nicht nur die exe-Datei sondern der ganze Ordner.

Wie hier vorgegeben habe ich den ESET Online Scanner durchlaufen lassen und benötige jetzt eure Expertise, um das Ergebnis bewerten zu können.

ESET Log:
08:04:31 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.2.6.0
# country="Germany"
# lang=1031
08:05:27 # product=EOS
# version=8
# stats_enabled=0
08:06:56 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.2.6.0
# country="Germany"
# lang=1031
08:08:38 Updating
08:08:38 Update Init
08:08:40 Update Download
08:10:14 esets_scanner_reload returned 0
08:10:14 g_uiModuleBuild: 49080
08:10:14 Update Finalize
08:10:14 Call m_esets_charon_send
08:10:14 Call m_esets_charon_destroy
08:10:14 Updated modules version: 49080
08:10:23 Call m_esets_charon_setup_create
08:10:23 Call m_esets_charon_create
08:10:23 m_esets_charon_create OK
08:10:23 Call m_esets_charon_start_send_thread
08:10:23 Call m_esets_charon_setup_set
08:10:23 m_esets_charon_setup_set OK
08:10:23 Scanner engine: 49080
08:40:13 # product=EOS
# version=8
# flags=0
# av=0
# fw=7
# admin=1
# ESETOnlineScanner_DEU.exe=3.4.7.0
# EOSSerial=a77c1fca83dea74b97579b8f17b8b1d3
# engine=49080
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2021-04-10 06:40:13
# local_time=2021-04-10 08:40:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=10.0.19041 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 88 7533231 56427190 0 0
# scanned=513895
# found=10
# cleaned=10
# scan_time=1674
# scan_type=2
# flow=2021-04-10 08:07:39|scr|welcome|2021-04-10 08:07:40|promo|eis|2021-04-10 08:07:45|scr|consents|2021-04-10 08:08:02|scr|scan_type|2021-04-10 08:08:10|scr|pua|2021-04-10 08:08:37|scr|updating|2021-04-10 08:10:14|scr|scanning|2021-04-10 08:38:09|scr|all_cleaned|2021-04-10 08:39:03|click|save_report|2021-04-10 08:39:16|scr|report_cleaned|2021-04-10 08:39:16|click|resolved_detections|2021-04-10 08:39:53|scr|periodic_offer|2021-04-10 08:39:58|scr|upsell|2021-04-10 08:40:08|scr|thanks
# periodic=0,0
# test=default
# email=
# stats_enabled=1
sh=983654BE57C506E0A9800F3C63136CB3638FD2E0 ft=0 fh=00000000000002b4 vn="Win32/HackKMS.AZ potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Program Files\KMSpico\scripts\AddExceptionsWD.reg"
sh=EFAC5C2E59DDEF2F0A7782AD1DEA8F6B25A07395 ft=0 fh=00000000000000d5 vn="Win32/HackKMS.AZ potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Program Files\KMSpico\scripts\Install_Service.cmd"
sh=5919C95EF78BD4AB200F8071B98970FF9541A24A ft=0 fh=00000000000000dc vn="Win32/HackKMS.AZ potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Program Files\KMSpico\scripts\Install_Task.cmd"
sh=608B42CA0203B11A00AD75516680435F785EDBAD ft=0 fh=0000000000000054 vn="Win32/HackKMS.AZ potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Program Files\KMSpico\scripts\Silent.cmd"
sh=9999BFCDED2C953E025EABAA66B4971DAB122C24 ft=1 fh=00000000000b60c0 vn="eine Variante von MSIL/HackTool.IdleKMS.E potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Program Files\KMSpico\AutoPico.exe"
sh=43D348E164C35F9E02370F6F66186FBFB15AE2A3 ft=1 fh=00000000000e66c0 vn="MSIL/HackTool.IdleKMS.I potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Program Files\KMSpico\KMSELDI.exe"
sh=004AC977DF699CB322B183F798F50E195FB2FC79 ft=1 fh=00000000000b60c0 vn="eine Variante von MSIL/HackTool.IdleKMS.E potenziell unsichere Anwendung (durch Löschen gesäubert (nach dem nächsten Neustart))" ac=C fn="C:\Program Files\KMSpico\Service_KMS.exe"
sh=6EF8310627537B1D24409574BC3C398CD97C474C ft=1 fh=0000000000000e00 vn="Win64/HackKMS.D potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Windows\SECOH-QAD.dll"
sh=66C72019EAFA41BBF3E708CC3824C7C4447BDAB6 ft=1 fh=0000000000001200 vn="Win64/HackKMS.C potenziell unsichere Anwendung (durch Löschen gesäubert)" ac=C fn="C:\Windows\SECOH-QAD.exe"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="eine Variante von MSIL/HackTool.IdleKMS.E potenziell unsichere Anwendung,ist OK (Enthielt infizierte Datei(en))" ac=C fn="${Startup}"
08:40:14 Call m_esets_charon_send
08:40:14 Call m_esets_charon_destroy

Die ersten paar Funde kommen von KM Spico, was meiner Meinung nach ein falsepositive ist, die vorletzte und vorvorletzte verwirren mich, scheinen ja aber auch iwie mit KMS zu tun zu haben. Und den letzten Fund kann ich gar nicht einordnen.

Ich danke euch schonmal im Voraus für eure Hilfe

Freundliche Grüße
Burak

Ich fasse mal eben für dich zusammen:

Zitat:

HackTool.IdleKMS.E C fn="C:\Program Files\KMSpico\AutoPico.exe

Du betreibst Office und/oder Windows selbst illegalerweise mit der Software KMSpico und möchtest nun Support von uns? Dein Ernst?


Cracks, Keygens und andere illegale Software


Für dich geht es so weiter: Anleitung: Neuaufsetzen des Systems mit Windows 10 (UEFI)

Für die Zeit danach: Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners