Oh... da ist Malware im System...

Zitat:

Zitat von M-K-D-B

Oh... da ist Malware im System...

Bitte um Hilfe. Das Mail verdirbt mir gerade mein Wochenende.

Lass mal eine FRST Analyse wie folgt laufen (es wird noch nichts entfernt):






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
• Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CMD: type "C:\Windows\System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT"
  CMD: type "C:\WINDOWS\system32\Maintenance.vbs"
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10.02.2024
durchgeführt von Acer (10-02-2024 15:47:31) Run:1
Gestartet von C:\Users\Acer\Desktop
Geladene Profile: Acer & sarah
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
CMD: type "C:\Windows\System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT"
CMD: type "C:\WINDOWS\system32\Maintenance.vbs"
End::
*****************


========= type "C:\Windows\System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT" =========

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="hxxp://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2023-04-29T22:24:15</Date>
    <Author>DESKTOP-0EQCGGQ\Acer</Author>
    <URI>\Microsoft\Windows\Maintenance\InstallWinSAT</URI>
  </RegistrationInfo>
  <Triggers>
    <LogonTrigger>
      <StartBoundary>2023-04-29T22:24:00</StartBoundary>
      <Enabled>true</Enabled>
    </LogonTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <RunLevel>HighestAvailable</RunLevel>
      <UserId>DESKTOP-0EQCGGQ\Acer</UserId>
      <LogonType>InteractiveToken</LogonType>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>Maintenance.vbs</Command>
    </Exec>
  </Actions>
</Task>

========= Ende von CMD: =========


========= type "C:\WINDOWS\system32\Maintenance.vbs" =========

Wscript.Quit

========= Ende von CMD: =========


==== Ende von Fixlog 15:47:32 ====
         

Anscheinend nur Überreste einer früheren Infektion.

cosinus, sorry fürs reinposten, willst du weitermachen?

cosinus ist nicht da... wir starten.

Wir starten mit einer Reparatur mit FRST.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
• Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [TeamsMachineInstaller] => %ProgramFiles%\Teams Installer\Teams.exe --checkInstall --source=PROPLUS (Keine Datei)
  Task: {549AC3F1-C30E-4B67-B60F-17DBD6D3BD27} - System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => C:\WINDOWS\system32\Maintenance.vbs [12 2023-05-09] () [Datei ist nicht signiert]
  C:\WINDOWS\system32\Maintenance.vbs
  Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
  FF Session Restore: Mozilla\Firefox\Profiles\6d93sx5a.default-release -> ist aktiviert.
  FF Notifications: Mozilla\Firefox\Profiles\6d93sx5a.default-release -> hxxps://twitter.com; hxxps://drive.google.com; hxxps://app.zoom.us
  CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: Winmgmt /salvagerepository 
  CMD: Winmgmt /verifyrepository
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10.02.2024
durchgeführt von Acer (10-02-2024 16:04:22) Run:2
Gestartet von C:\Users\Acer\Desktop
Geladene Profile: Acer & sarah
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [TeamsMachineInstaller] => %ProgramFiles%\Teams Installer\Teams.exe --checkInstall --source=PROPLUS (Keine Datei)
Task: {549AC3F1-C30E-4B67-B60F-17DBD6D3BD27} - System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => C:\WINDOWS\system32\Maintenance.vbs [12 2023-05-09] () [Datei ist nicht signiert]
C:\WINDOWS\system32\Maintenance.vbs
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
FF Session Restore: Mozilla\Firefox\Profiles\6d93sx5a.default-release -> ist aktiviert.
FF Notifications: Mozilla\Firefox\Profiles\6d93sx5a.default-release -> hxxps://twitter.com; hxxps://drive.google.com; hxxps://app.zoom.us
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\TeamsMachineInstaller" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{549AC3F1-C30E-4B67-B60F-17DBD6D3BD27}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{549AC3F1-C30E-4B67-B60F-17DBD6D3BD27}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Maintenance\InstallWinSAT" => erfolgreich entfernt
C:\WINDOWS\system32\Maintenance.vbs => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => erfolgreich entfernt
"Firefox Session Restore" => erfolgreich entfernt
"FF Notifications:" => erfolgreich entfernt

========= cscript /nologo %systemroot%\System32\slmgr.vbs /dlv =========

Softwarelizenzierungsdienst-Version: 10.0.22621.3007

Name: Windows(R), Core edition
Beschreibung: Windows(R) Operating System, OEM_DM channel
Aktivierungs-ID: 0567073a-7d74-403b-b2d5-6b35da372d8d
Anwendungs-ID: 55c92734-d682-4d71-983e-d6ec3f16059f
Erweiterte PID: 03612-03258-000-000000-02-1031-22621.0000-0412023
Product Key-Kanal: OEM:DM
Installations-ID: 034613100777410187720258938157092913789903880422389270417938002
Lizenz-URL verwenden: https://activation-v2.sls.microsoft.com/SLActivateProduct/SLActivateProduct.asmx?configextension=DM
URL f�r die šberpr�fung: https://validation-v2.sls.microsoft.com/SLWGA/slwga.asmx
Teil-Product Key: FC2HD
Lizenzstatus: Lizenziert
Verbleibende Windows Rearm-Anzahl: 1001
Verbleibende SKU Rearm-Anzahl: 1001
Vertrauensw�rdige Zeit: 10.02.2024 16:04:41




========= Ende von CMD: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{5EA9E6E5-350D-49A8-A0E3-81FD6016FCC4} canceled.
{0A1CC993-1E6B-4CC4-9FFB-5593E88082A1} canceled.
{84FC53DA-F0D9-4292-AAE8-7D588871F7BE} canceled.
3 out of 3 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /verifyrepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-274020518-178741033-554351160-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-274020518-178741033-554351160-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-274020518-178741033-554351160-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-274020518-178741033-554351160-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 1600507510 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 446721721 B
Windows/system/drivers => 208282032 B
Edge => 0 B
Firefox => 1550319700 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 8192 B
ProgramData => 8192 B
Public => 8192 B
systemprofile => 8196 B
systemprofile32 => 8196 B
LocalService => 701430 B
NetworkService => 975010 B
Acer => 220513507 B
sarah => 347259614 B
defaultuser100000 => 417843085 B
defaultuser100001 => 503101969 B

RecycleBin => 9545540386 B
EmptyTemp: => 13.8 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 16:09:59 ====