Hallo,

Ich habe ein schweres Problem. Ich war/bin von einem Trojaner / Virus / Rootkit befallen und haben unzähölige neue Laptops, Fritzboxen und sogar Handys neugekauft.

Anfangs dachte ich mit Wrkseinstellungen und neuem Laptop nach unzähligen Neuinstallationen von WIndowns löse ich das Problem: falsch!

Ich hatte den Virus auf dem Iphone, im Router und auf jedem Laptop binnen Sekunden. Später war es klar, dass eine Komponente mit Virus die neue befallen hat. Nun bin ich am verzweifeln. Noch einmal habe ich Fritzbox, Laptop, ein neues Iphone gekauft und der Trojanerr war erneut auf allen Komponenten.

Egal ob ich Partitionen lösche, die ganze Festplatte mit Sicherheitsprogrammen überschreibe. Egal wie: Nach jeder Neuhardware oder Neuinstallation spuckt mir das Mbar wieder den Trojaner aus.

Der erste Scan wirft stets folgendes aus:
Done!
Infected file C:\Windows\System32\atl.dll could not be remediated because backup file is not available
Infected: HKLM\SOFTWARE\CLASSES\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3} --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\CLASSES\ATL.Registrar --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\WOW6432NODE\CLASSES\ATL.Registrar --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\CLASSES\WOW6432NODE\ATL.Registrar --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3} --> [Trojan.FakeMS.ED]
Infected: HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3} --> [Trojan.FakeMS.ED]
Infected file C:\Windows\SysWOW64\msinfo32.exe could not be remediated because backup file is not available
Infected file C:\Program Files (x86)\Common Files\Microsoft Shared\MSInfo\msinfo32.exe could not be remediated because backup file is not available
Scan finished
Creating System Restore point...
Cleaning up...
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


Ich spiele weder alte Daten nach einer kompletten Neuinstallation noch stecke ich Wechselmedien (ausser den Maus-Logitech-USB Connector) in ein Laufwerk.

Installiere neue ISO WIndows 11 Systeme. Es gibt weder für mein Mainboard noch für Fritzbox neuere Firmwares.

Bitte helft mir

Hallo, ohne Logfiles wird dir hier niemand helfen können.
Lies dir am besten mal das hier durch:

https://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

lg
Chriz

FRST Additions Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-01-2022
durchgeführt von marc (31-01-2022 14:22:29)
Gestartet von C:\Users\USERNAME\AppData\Local\Temp\Temp1_FRST2601.zip
Microsoft Windows 11 Home Version 21H2 22000.469 (X64) (2022-01-30 14:22:00)
Start-Modus: Normal
==========================================================


==================== Konten: =============================


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

Administrator (S-1-5-21-1579753822-3021485544-2891836263-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-1579753822-3021485544-2891836263-503 - Limited - Disabled)
Gast (S-1-5-21-1579753822-3021485544-2891836263-501 - Limited - Disabled)
USERNAME(S-1-5-21-1579753822-3021485544-2891836263-1001 - Administrator - Enabled) => C:\Users\USERNAME
WDAGUtilityAccount (S-1-5-21-1579753822-3021485544-2891836263-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 97.0.4692.99 - Google LLC)
Microsoft Edge (HKLM-x32\...\Microsoft Edge) (Version: 97.0.1072.76 - Microsoft Corporation)
Microsoft Edge WebView2-Laufzeit (HKLM-x32\...\Microsoft EdgeWebView) (Version: 97.0.1072.76 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-1579753822-3021485544-2891836263-1001\...\OneDriveSetup.exe) (Version: 21.220.1024.0005 - Microsoft Corporation)
Microsoft Update Health Tools (HKLM\...\{2FA9DAAC-895B-4E99-99D9-DC2965FBE79C}) (Version: 2.87.0.0 - Microsoft Corporation)
Support- und Wiederherstellungs-Assistent von Microsoft (HKU\S-1-5-21-1579753822-3021485544-2891836263-1001\...\a1a734b8150c1d83) (Version: 17.0.7901.7 - Microsoft Corporation)

Packages:
=========
Bang ＆ Olufsen Audio Control -> C:\Program Files\WindowsApps\AD2F1837.BangOlufsenAudioControl_1.26.249.0_x64__v10thvhv+

6ke6 [2022-01-30] (HP Inc.)
Disney+ -> C:\Program Files\WindowsApps\Disney.54664B2CE_1.22.3.0_x64__6rarftub7jt [2022-01-30] (Disney)
Intel® Optane™ Memory and Storage Management -> C:\Program Files\WindowsApps\AppUp.IntelOptaneMemoryandStorageManagement_18.1.1021.0_x64__8j3loiuqe6ctt [2022-01-30] (INTEL CORP)
Microsoft Solitaire Collection -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.6.3102.0_x64__kyg6gzgzbbwe [2022-01-30] (Microsoft Studios) [MS Ad]
Spotify Music -> C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0 [2022-01-30] (Spotify AB) [Startup Task]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [  OptaneIconOverlay] -> {A3AF6F6C-8BED-3D93-8B5D-XXXXXXXXXXXX => C:\Windows\System32\DriverStore\FileRepository\iastorpinningcomponent.inf_amd64_651bb7838aa\OptaneShellExt.dll [2021-08-26] (Intel Corporation -> )
ContextMenuHandlers3: [OptaneContextMenu] -> {AD7EBB13-617D-3270-8FA8-XXXXXXXXXXXX} => C:\Windows\System32\DriverStore\FileRepository\iastorpinningcomponent.inf_amd64_651bb78e61a\OptaneShellExt.dll [2021-08-26] (Intel Corporation -> )

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

2022-01-30 16:09 - 2022-01-30 16:09 - 000137184 _____ (Microsoft Windows -> Microsoft Corporation) [Datei ist nicht signiert] C:\Program Files\WindowsApps\MicrosoftWindows.Client.WebExperience_421.20050.505.0_x64__cw5n1h2txyewy\Dashboard\WebView2Loader.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer (Nicht auf der Ausnahmeliste) ==========


==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2021-06-05 13:08 - 2021-06-05 13:08 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1579854562-3021478544-2891858263-1041\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.179.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{E2D00473-2F5D-46F0-AE68-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_22006.600.1133.7409_x64__8wekyb3d8bbwe\msteams.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{74794379-9AC6-4C57-935A-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_22006.600.1133.7409_x64__8wekyb3d8bbwe\msteams.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{4z89h654-4BC2-41C4-B4EC-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{gre6uh7f-B14E-4BE5-8DC4-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{zg6u699F-4083-A82F-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{2hz5crFD-FC34-4A21-8269-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{AFCB4204-02C6-4C7D-B436-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{7A464161-6B32-4439-AB29-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{0F046A5A-3D5F-4741-B0A4-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{29E2774B-C0EF-47BD-9F92-XXXXXXXXXXXX}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.177.645.0_x86__zpdnekdrzrea0\Spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{DCF02AD8-A351-4F9E-8966-XXXXXXXXXXXX}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [{39D69602-5403-4DB7-AFA3-XXXXXXXXXXXX}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\97.0.1072.76\msedgewebview2.exe (Microsoft Corporation -> Microsoft Corporation)

==================== Wiederherstellungspunkte =========================

30-01-2022 16:14:39 Windows Modules Installer
30-01-2022 18:13:37 Malwarebytes Anti-Rootkit Restore Point

==================== Fehlerhafte Geräte im Gerätemanager ============


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (01/31/2022 02:13:59 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Microsoft.Sara.exe, Version: 17.0.7901.7, Zeitstempel: 0xb4af6f41
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 10.0.22000.434, Zeitstempel: 0x78dc11b6
Ausnahmecode: 0xe0434352
Fehleroffset: 0x0013ec52
ID des fehlerhaften Prozesses: 0x1d70
Startzeit der fehlerhaften Anwendung: 0x01d816a466559dd5
Pfad der fehlerhaften Anwendung: C:\Users\USERNAME\AppData\Local\Apps\2.0\OR9YCBM3.XG8\NWG990M8.8TR\micr..tion_bdc860fzknb9_0011.0000_bb5a9jizj7j61c2\Microsoft.Sara.exe
Pfad des fehlerhaften Moduls: C:\Windows\System32\KERNELBASE.dll
Berichtskennung: a07e016edb-35ef-4fac-a072-dad3e194dr4db106
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (01/31/2022 02:13:59 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Anwendung: Microsoft.Sara.exe
Frameworkversion: v4.0.30319
Beschreibung: Der Prozess wurde aufgrund einer unbehandelten Ausnahme beendet.
Ausnahmeinformationen: System.Threading.AbandonedMutexException
   bei System.Threading.WaitHandle.InternalWaitOne(System.Runtime.InteropServices.SafeHandle, Int64, Boolean, Boolean)
   bei System.Threading.WaitHandle.WaitOne(System.TimeSpan, Boolean)
   bei Microsoft.Sara.Framework.UI.App.Main(System.String[])

Error: (01/30/2022 04:10:12 PM) (Source: VSS) (EventID: 13) (User: )
Description: Volumenschattenkopie-Dienst-Informationen: Der COM-Server mit CLSID {4mfgtfgz7f-2h22-11d1-9977-c04fbb755} und dem Namen "CEventSystem" kann nicht gestartet werden. [0x8007045b, Der Computer wird heruntergefahren.
]

Error: (01/30/2022 04:10:01 PM) (Source: Microsoft-Windows-AppModel-State) (EventID: 11) (User: COMPUTER)
Description: Microsoft.Windows.ContentDeliveryManager_cw5n1h2tdrcgnhyewy-21777

Error: (01/30/2022 03:25:44 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0x80072EE7
Befehlszeilenargumente:
RuleId= ;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6evfc3f16059f;SkuId=1d87v31h9dtgc49-8da7-4f-92-48g98a1vfv3v31vfv32-f09f-4eb2-bf5a-2ehzih4935e8;NotificationInterval=1440;Trigger=TimerEvent

Error: (01/30/2022 03:25:44 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=31h9dtgc49-8da7-4a7f-ad92-48g98a13

Error: (01/30/2022 03:25:44 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: )
Description: Lizenzerwerb-Fehlerdetails. 
hr=0x80072EE7

Error: (01/30/2022 03:25:43 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=31h9dtgc49-8da7-4a7f-ad92-48g98a13


Systemfehler:
=============
Error: (01/31/2022 01:49:40 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{31e7dtgc49-6da7-4a2f-ad92-45d98a1c} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/31/2022 01:49:30 PM) (Source: Microsoft-Windows-NDIS) (EventID: 10317) (User: )
Description: Für den Miniport "Microsoft Wi-Fi Direct Virtual Adapter #2, {99bec9ca-f4a0-45ae-92o7-2c06fa978541}" ist das Ereignis "74" aufgetreten.

Error: (01/30/2022 07:21:35 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.
Error: (01/30/2022 07:07:40 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/30/2022 07:05:14 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/30/2022 05:48:29 PM) (Source: Server) (EventID: 2505) (User: )
Description: Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{O7A1F9DC-29E0-427D-11W3-45867143E132} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error: (01/30/2022 04:20:14 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80240016 fehlgeschlagen: Intel - HIDClass - 3.1.0.4466

Error: (01/30/2022 04:19:57 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80240016 fehlgeschlagen: Intel - HIDClass - 3.1.0.4466


==================== Speicherinformationen =========================== 

BIOS: AMI F.08 07/26/2021
Hauptplatine: HP 8811
Prozessor: 11th Gen Intel(R) Core(TM) i7-1165G7 @ 2.80GHz
Prozentuale Nutzung des RAM: 32%
Installierter physikalischer RAM: 16023.54 MB
Verfügbarer physikalischer RAM: 10828.73 MB
Summe virtueller Speicher: 18967.54 MB
Verfügbarer virtueller Speicher: 13648.32 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:953.15 GB) (Free:915.6 GB) (Protected) NTFS

\\?\Volume{o1b3fe8e-85b6-4de9-9c1c-5f9adac2f815}\ () (Fixed) (Total:0.6 GB) (Free:0.08 GB) NTFS
\\?\Volume{4515a2bc-2b77-1d79-87h0-b79c197f741d}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (Size: 953.9 GB) (Disk ID: 9ED9DD77)

Partition: GPT.

==================== Ende von Addition.txt =======================
         

--- --- ---

Eine Analyse/Bereinigung ist hier völlig fehl am Platz, macht überhaupt keinen Sinn irgendein frisch nu installiertes Windows sich anzuschauen. Ich weiß auch nicht was dieser Quatsch mit MBAR soll. Was ist denn das für ne Hysterie, dass man auf einem gerade frisch installierten System mit einem Anti-Rootkit-Tool draufgeht

Ich verschiebe nach Diskussion

Es tut mir leid wenn ich etwas im Zuge des Hilfegesuch falsch gemacht habe. Ich hoffe jemand beteiligt sich auch in diesem Forum um mir helfen zu können.

Mir fehlt in dem Bereich leider das Know How. Dass man hier "drauf geht" mit Quatsch, Hyterie und co ... naja.

Für mein Verständnis und der nochmaligen Anmerkung "Ich habe schon 20 mal das Windows neu gemacht" ist es egal ob es eine alte oder neue Windows Version ist? Ansonsten definiere ich GERADE den Begriff "Rootkit" falsch.

Ich habe hier Hilfe gesucht, da ich GERADE mit neuem Windows ab Minute 1 Probleme habe die nur aus solch einer Richtung stammen können.

Meine Browser geben mit ab Sekunde 1 nur Google.com Ergebnisse mit immer den selben "Domains / Subdomains" aus ... sind trotz Kaspersky und Popupblocker voll mit eingeschobenene Werbereitern und anderem Schrott.

Dass Virenscanner nichts finden - aber Rootkitscanner ist für mich (als Laie) nur logisch - sorry. Übertrieben finde ich es nicht mit immer dem selben Verghalten mit komplett neuen Partitionen, Festplatten-Sektoren Überschreibungen, neuem Windows aus einer ISO (gezogen von gesunden Internetverbindungen / Rechnern) und per Rufus bootbar gemacht.

Diverse psecex CMD Abfragen als NT User mit dem Ergebnis von unfassbar vielen Usern / TCP Verbindungen sind für mcih sehr besorgniserregend. Wenn dann ncoh ein MBAR das einzige ist welches Maleware findet ...

Ich hoffe trotzdem auf eure Hilfe

Solche Leute wie dich hatten wir schon häufiger. Es ist viel Halbwissen im Spiel und alles was man nicht versteht wird als Indiz oder gar Beweis für ein ultra super fieses rootkit gewertet.

Leute, das führt so zu nix. Wenn deine "erste" Installation befallen war, dann war nur nie, spätestens nach einem Formatieren sind keine der Schädlinge aus der alten Installation bzw aus dem Dateisystem mehr adressierbar.

Zitat:

Diverse psecex CMD Abfragen als NT User mit dem Ergebnis von unfassbar vielen Usern / TCP Verbindungen sind für mcih sehr besorgniserregend

Aha, jetzt kommst du mit psexec an?
Darf man mal erfahren wie du das alles feststellst und warum TCP-Verbindungen, die du nicht näher nennst, unbedingt besorgniserregend sind? Und auch zur Vorgeschichte kein Wort von dir

Schon mal auf die Idee gekommen, das es ein Fehlalarm des Malwarebytes Anti-Rootkit-Tool sein könnte? und wenn ich mich recht entsinne, war das immer eine Beta Version, nie eine fertige.

Zitat:

Zitat von cosinus

Eine Analyse/Bereinigung ist hier völlig fehl am Platz, macht überhaupt keinen Sinn irgendein frisch nu installiertes Windows sich anzuschauen. Ich weiß auch nicht was dieser Quatsch mit MBAR soll. Was ist denn das für ne Hysterie, dass man auf einem gerade frisch installierten System mit einem Anti-Rootkit-Tool draufgeht

Ich verschiebe nach Diskussion

Es ist kein Halbwissen sondern noch weniger. Mit Glück Hinweise die helfen meine Situation einzuschätzen.
Ich frage mich wirklich wie man in so einer unsympatischen, unangebrachten Art sein Feedback geben kann. Deine ganzen Aufführungen haben nicht geholfen sondern gingen charakterschwach gegen Hilfesuchende.

Klopfst du dir selbst nach solchem Feedback auf die Schulter und freust dich?

Wenn hier Admin/Inhaber/Mod bist dann gratuliere ich dir dazu den Sinn/Zweck dieses Boards verstanden zu haben. Du führst lieber sicher Gespräche mit virenfreien Experten. Denk mal nach? Logik-Fail der Güteklasse A

Zitat:

Meine Browser geben mit ab Sekunde 1 nur Google.com Ergebnisse mit immer den selben "Domains / Subdomains" aus ... sind trotz Kaspersky und Popupblocker voll mit eingeschobenene Werbereitern und anderem Schrott.

Dazu: belasse es bei dem Windows 10 Defender Virenschutz und nimm für all deine Browser uBlock Orgin als Werbeblocker. Ausserdem: wenn du deine Browser installierst, übernehme mal nix von vorherigen Browserinstallationen. Wenn du den Verdacht hast, Adware könnte sich in deine Browser eingenistet haben, dann scanne mal mit Adwcleaner und lasse Funde damit bereinigen. Zur Kontrolle kannst du auch mit Malwarebytes scannen welches du in den Kontoeinstellungen gleich auf Malwarebytes Free umschalten lassen kannst. Scans mit dem Anti Rootkit Tool von Malwarebytes lass bitte künftig sein.

Was bitte willst du denn noch hören? Es wurde jetzt deutlich gesagt, dass Schädlinge ein Formatieren nicht überleben.

Und mein Ton war recht deutlich, weil du hier Vermutungen als Fakten hinstellst, iPhone und Router befallen, Schädling greift auf alle Geräteklassen und Betriebssysteme, ohne das und die Vorgeschichte mal zu erläutern.

Jetzt sagt du sogar es sei noch weniger als Halbwissen, was dich aber nicht davon abhält die TCP-Verbindungen und irgendwas mit psexec in deinem Rechner zu prüfen und alles ohne ne Ahnung und nen Plan zu haben als fürchterlich besorgniserregend einzustufen...WAT, echt jetzt?

Zitat:

iPhone und Router befallen

Beides könnte er doch auf Werkseinstellungen zurücksetzen nachdem er beim iPhone eine Datensicherung gemacht hat damit er Bilder usw. darauf nicht verliert. Und beim Router kann er schauen, ob es per Update eine neuere Firmware gibt und ausserdem könnte er das jetztige Gerätepasswort sowie das bisherige W-Lan Passwort ändern.

Natürlich kann er das machen. Wird ihm aber nicht reichen, da er dann immer noch überall Viren sieht. Denn nur bei ihm schlug der Supervirus zu, der alle Geräteklassen und Betriebssysteme gleichzeitig befallen kann

Zitat:

Zitat von cosinus

Natürlich kann er das machen. Wird ihm aber nicht reichen, da er dann immer noch überall Viren sieht. Denn nur bei ihm schlug der Supervirus zu, der alle Geräteklassen und Betriebssysteme gleichzeitig befallen kann

Das könnte man dann Paranoia nennen cosinus