Liebe Trojaner-Boardies,
Seit mehr als einer Woche wird mein Laptop Lenovo X1 Yoga mit win10 (anfangs nach bis zu 30 Minuten anfänglich normalem Tempo, inzwischen sofort nach dem sehr langsamen Booten) so langsam, dass normales Arbeiten nicht möglich ist.
Ich habe ihn mehrmals ganz heruntergefahren und dann neu gestartet. Das führte einmal dazu, dass der blaue Bildschirm Stunden blieb. Dann habe ich kalt abgestellt. Neustart führte nach langem Warten zum normalen Öffnen-Portal. Wenn ich nur eine oder ganz wenige Apps öffnete, war die Anfangs-Langsamkeit nicht so stark, aber mit der Zeit verlor sich das. Jetzt ist er immer ganz langsam, bootet auch sehr lange.

Offline MS-Defender meldete nach Nachforschen als Bedrohung:
win32/downloadsponsor
Trotz "Entfernen" kam die Meldung immer wieder.

Ich hoffe auf eure Hilfe, Weitere Angaben unten
Salaam! Schalom!
fmga

Microsoft Defender online meldet mir heute:

Code: Alles auswählenAufklappen

ATTFilter

- "Bedrohung wurde entfernt 13.9.2023  Datei Ein Trojaner 
Dateidetails acc7b732-2f3a-3f15-4b71-f25d7165403b.exe
Dateipfad: C:\Windows\Temp\eef21c12-f3b7-004c-1098-f4a0b0bb4091\acc7b732-2f3a-3f15-4b71-f2
- Fehler bei der Wartung auf diesem Gerät.
 Bedrohung abgebrochen • 17.09.2023  Datei Ein Trojaner
Dateidetails 13af95a1-d2a6-f59b-6fc1-82d8f06a0735.exe
Dateipfad: C:\Windows\Temp\bfe8bcae-c6d9-9051-49a8-9de50bdafb0f\13af95a1-d2a6-f59b-6fc1-82
- Wir haben eine Bedrohung auf diesem Gerät entfernt
 Bedrohung wurde entfernt. • 13.09.2023
Dateidetails acc7b732-2f3a-3f15-4b71-f25d7165403b.exe
Dateipfad: C:\Windows\Temp\eef21c12-f3b7-004c-1098-f4a0b0bb4091\acc7b732-2f3a-3f15-4b71-f2
- Eine Bedrohung wurde auf diesem Gerät unter Quarantäne gestellt
 Bedrohung unter Quarantäne • 13.09.2023
Dateidetails  54699042-ef27-67a1-aac2-82a2e853708e.exe
Dateipfad: C:\Windows\Temp\0da70452-e69b-2d89-c3ad-08cb869564e2\54699042-ef27-67a1-aac2-
         

(dieser Dateipfad scheint unvollständig zu sein, aber mehr wurde mir nicht angezeigt)

Ich hab beide FRST-Logs entfernt, weil beide unvollständig waren und somit sinnfrei.
Außerdem möchtest du bitte Logfiles grundsätzlich in CODE-Tags (und vollständig) posten.

Hallo cosinus,
danke für schnelles Antworten!
Der scanner von Trojaner-Board lief sehr lange und schien hängen geblieben zu sein auf "(0) Verknüpfungen untersuchen", stundenlang. Ich habe deshalb mit dem task-manager die Untersuchung beendet.
Wieviele Stunden soll ich das Untersuchen der Verknüpfungen laufen lassen?

Inzwischen habe wahrscheinlich einen Fehler gemacht: Ich habe windows defender online nochmals suchen lassen, der fand Trojaner.
Als ich sie mir per offline-defender anzeigen lassen wollte, wurden zwei "schwerwiegende" Bedrohungen gemeldet. Da gab es die Option "entfernen oder wiederherstellen". das habe ich erlaubt in der Hoffnung, dass der Trojaner dann entfernt würde. Es kam aber die Meldung, er sei aus der Quarantäne entlassen und aktiv. Da ich nicht fand, was ich dagegen tun könnte, habe ich den PC ausgeschaltet, damit der Trojaner nichts anrichtet. Ob die 10 Minuten rechten, weiß ich natürlich nicht. Ich antworte hier vom PC meiner frau aus.
Was soll ich tun?

Ohne FRST-Logs können wir wenig bis garnichts zun. Fahre erstmal mit Malwarebytes fort. Logfile dann nicht vergessen.

a) Ich konnte Malwarebytes zwar installieren, aber zum Freischalten meine E-Adresse nicht eintragen, auch sonst reagierte im Fenster nichts, das Programm stürtzte wohl ab, das Fenster ließ sich nicht schließen. Ich schloss es mithilfe taskmanager. Neu öffnen von windows aus funktionierte nicht, auch nicht "als Administrator". Neuinstallationsversuch: Windows-Erlauben-Fenster öffnet sich, danach geschieht nichts. Malwarebytes findet sich nicht unter den installierten Programmen.
Was tun?
Vielleicht funktioniert ja noch einmal das Untersuchen mithilfe von FRST. Ich habe viele verknüpfungen auf der Platte. Aber ist es normal, dass das Untersuchen bei "Verknüpfungen" mehr als 1 Stunde braucht? Wie lange warten?
Was dann tun?
b) windows hat den Namen der Bedrohung als Trojan:WIN32/ThemidaPacked!MSR angegeben. Und die betroffenen Elemente mit Ordner im tmp-Ordner, wie ich bereits anfangs mitgeteilt habe. In dem tmp-Ordner befinden sich die angegebenen Unterordner nicht.
Ich bin ratlos.