Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt (https://www.trojaner-board.de/201135-windows-10-20h2-sophos-av-findet-taeglich-getx64btit-exe-bereinigt.html)

thomasduckek 11.02.2021 14:53
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt
 
Liste der Anhänge anzeigen (Anzahl: 2)
Guten Tag,
mein Sophos findet täglich "Mal/Generic-R erkannt in C:\Users\knapp\AppData\Local\Temp\GetX64BTIT.exe" und scheint auch erfolgreich zu bereinigen.

Leider erkennt der AV täglich ein und dieselbe Datei im TEMP Ordner erneut.

Bitte um eure Hilfe!

Vielen Dank !

M-K-D-B 11.02.2021 16:31
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

M-K-D-B 11.02.2021 16:41
Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
    • VLC Plus Player
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\...\RunOnce: [knapp] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('knapp', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
    HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\Environment: [knapp] "powershell.exe"        -windowstyle hidden  -En "PAAjACAAaABzAHgAZABoAGoAeABsAGoAbwBzACAAIwA+ACQAdQA9ACQAZQBuAHYAOgBVAHMAZQByAE4AYQBtAGUAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAANwAwADAAOwAkAG (Der Dateneintrag hat 1251 mehr Zeichen). <==== ACHTUNG
    RegKey: [HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\Software\knapp] <==== ACHTUNG
    RegKey: [HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\Software\knapp1] <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    FF Plugin: @vlc.de/vlc,version=3.0.11 -> C:\Program Files\VLC Plus Player\npvlc.dll [Keine Datei]
    C:\Program Files\VLC Plus Player
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
    SearchScopes: HKU\S-1-5-21-2772184745-2159964609-1519968089-1190 -> DefaultScope {8BAC925C-44F1-42D7-8A8C-B25A53AA383F} URL =
    SearchScopes: HKU\S-1-5-21-2772184745-2159964609-1519968089-1190 -> {8BAC925C-44F1-42D7-8A8C-B25A53AA383F} URL =
    CMD: reg query HKCU\Software
    CMD: reg query HKCU\Environment
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    Hosts:
    RemoveProxy:
    SystemRestore: On
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    SearchAll: VLC Plus Player;VLCPlusPlayer;Aller Media
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt4
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallation
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

thomasduckek 12.02.2021 16:24
Liste der Anhänge anzeigen (Anzahl: 4)
Guten Tag und vielen Dank für die erste Hilfe.:dankeschoen:

Die Deinstallation war nicht möglich, da der VLC Player nicht in der Systemsteuerung bei den Programmen oder Apps zu finden war.

Anbei die gewünschten Files:

VG
Thomas

M-K-D-B 12.02.2021 20:44
Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    DeleteValue: HKCU\Environment|aeaddefafeeaebecd
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DF2BBE39-40A8-433B-A279-073F48DA94B6}
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\VLCPP
    ContextMenuHandlers3: [ShellExt] -> {016EFC4B-2906-4687-B0AC-ACDF94097FEC} =>  -> Keine Datei
    ContextMenuHandlers6: [ShellExt] -> {016EFC4B-2906-4687-B0AC-ACDF94097FEC} =>  -> Keine Datei
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von RogueKiller

M-K-D-B 16.02.2021 08:22
Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131