Windows 10 : Malware durch Downloader (LightningMediaPlayer?)
 

Einen schönen guten Abend zusammen.
Meine Ziehtochter beichtete mir heute das sie vor 2-3 Tagen ein Programm an meinem Rechner downloaden wollte. (WebCamMax-ohne es mit mir abzusprechen)
Bei "Apps & Features" habe ich das Programm - LightningMediaPlayer.ink
gefunden was sich nicht löschen ließ. (erst später)
Beim suchen im Netz stieß ich auf den Eintrag
https://www.trojaner-board.de/202055-windows-10-merkwuerdige-dienste-appservicea-appserviceb.html
und führte 2 x Scan´s mit MalwareBytes Anti-Malware aus.
Danach mit AdwCleaner & FRST.
Anbei natürlich auch die Logfiles.
Habe unsere gesamten Passwörter nun geändert,...aber bin mir ABSOLUT unsicher ob das nun reicht oder ich definitiv noch mehr machen muss?!?!
Ich bitte um Hilfe!

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Bitte MBAM und AdwCleaner erneut ausführen und die Logdateien posten.

Anschließend den Rechner neu starten.

Danach bitte nochmal FRST ausführen, Haken setzen vor Shortcut.txt und wieder einen Suchlauf starten, alle drei neuen Logdateien posten.

Dann sehen wir weiter... aber es wird auf jeden Fall noch was zu tun geben. ;)

Einen schönen guten Tag Matthias und im Vorfeld vielen Dank für Deine Zeit.

Anbei die beiden gewünschten Files.

Starte eben neu und sende dann die 3 anderen Files.

Nach dem Neustart wie gewünscht nochmal FRST ausgeführt & auch Shortcuts angeklickt.
Anbei natürlich die 3 Dokumente.

Ich bin gespannt wie "schlimm" es um meinen Rechner steht.....& was noch alles zu tun sein wird!

Nochmals Danke (...finde es super das Du mir hilfst!!!)...& freu mich von Dir zu lesen.

Vielen Dank für die Logdateien! :abklatsch:


Es ist noch einiges an Malware vorhanden und der Update-Dienst wurde auch zerschossen.
Wir versuchen mit den nächsten Schritten, das wieder in Ordnung zu bringen.

Ich bitte um Geduld bei den einzelnen Schritten, es kann u. U. etwas dauern. Avast bitte temporär deaktivieren, damit es nicht stört.






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Unlock: C:\WINDOWS\system32\config\SYSTEM
SystemRestore: On
CreateRestorePoint:
Unlock: C:\WINDOWS\system32\Drivers\9cdX9bus.sys
VirusTotal: C:\WINDOWS\system32\Drivers\9cdX9bus.sys
C:\WINDOWS\system32\Drivers\9cdX9bus.sys
Unlock: C:\Users\Fr33z\AppData\Roaming\Goyca
C:\Users\Fr33z\AppData\Roaming\Goyca
Unlock: C:\Users\Fr33z\AppData\Roaming\nailedp
C:\Users\Fr33z\AppData\Roaming\nailedp
Unlock: C:\Program Files (x86)\Company
C:\Program Files (x86)\Company
Unlock: C:\Program Files (x86)\a4VP40x.sys
VirusTotal: C:\Program Files (x86)\a4VP40x.sys
C:\Program Files (x86)\a4VP40x.sys
2021-06-24 11:15 - 2021-06-24 11:15 - 000000014 _____ C:\ProgramData\kaosdma.txt
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\Users\Fr33z\AppData\LocalLow\nW6mI-7yS1k
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\Users\Fr33z\AppData\Local\Yandex
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\ProgramData\SGX3RQVZPPBJDN0WDYF4XLPHG
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\ProgramData\PEWUQNR3B32KWOY2N38KIRQ2X
2021-06-24 11:15 - 2021-06-24 11:15 - 000000000 ____D C:\Program Files\temp_files
Unlock: C:\BITAAD6.tmp
C:\BITAAD6.tmp
Unlock: C:\Users\Fr33z\AppData\Roaming\gasurda
VirusTotal: C:\Users\Fr33z\AppData\Roaming\gasurda
C:\Users\Fr33z\AppData\Roaming\gasurda
Unlock: C:\$AV_ASW
Folder: C:\$AV_ASW
Unlock: C:\WINDOWS\system32\C_32770.NLS
VirusTotal: C:\WINDOWS\system32\C_32770.NLS

HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
FF Plugin: @videolan.org/vlc,version=3.0.2
FF Plugin: @videolan.org/vlc,version=3.0.6
FF Plugin: @videolan.org/vlc,version=3.0.7.1
S2 WCMVCAM; \SystemRoot\System32\drivers\wcmvcam64.sys [X]
AlternateDataStreams: C:\Users\Fr33z\AppData\Local\Temp:$DATA​ [16]
AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"SvcMemHardLimitInMB"=dword:000000f6
"SvcMemMidLimitInMB"=dword:000000a7
"SvcMemSoftLimitInMB"=dword:00000058
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="WUServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50
EndRegedit:

CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: Lightening;9cdX9bus.sys;a4VP40x.sys;gasurda;cc5f00fa

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hi Matthias,
erstmal Danke für die schnelle & super verständliche Antwort. :dankeschoen:
(Ja,...sogar ein Noob wie ich hat das hinbekommen!!!)

Anbei natürlich die gewünschten Dateien.

Wusste gar nicht wie schlimm es um den Rechner steht, dass sogar der Update-Dienst zerschossen wurde. Das mir sowas auch nicht auffällt....:headbang:

Freu mich wieder von Dir zu hören! ;)

Wieder sehr gut gemacht. :daumenhoc

Ich sehe immer noch eine verdächtige Datei, die sich allerdings nicht entfernen lässt.
Wir versuchen es nochmal... wenn es nicht klappt, müssen wir "von außen" ran. :D






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Unlock: C:\WINDOWS\system32\config\SYSTEM
Unlock: C:\WINDOWS\system32\Drivers\9cdX9bus.sys
C:\WINDOWS\system32\Drivers\9cdX9bus.sys
CMD: sfc /scannow
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 4

• Starte FRST erneut.
• Setzte jeweils einen Haken vor BCD auflisten und SigCheckExt.
• klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von RogueKiller
• die Logdatei von ESET
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Guten Morgen Matthias,
tut mir Leid für die späte Störung allerdings hat der Platzregen vorhin unseren Keller unter Wasser gesetzt! :daumenrunter:

Zumindest konnte ich die Zeit von den Scans somit gut nutzen. ^^

Anbei wie gewünscht alle Logdateien.

Ich bin gespannt ob es geklappt hat oder was Du mit "von außen ran" meinst! :P

Freu mich auf Nachricht von Dir. :daumenhoc

Vielen Dank für die Logdateien. Du hast alles vorbildlich gemacht.
Leider kommen wir hier auf "normalem" Wege nicht ans Ziel.

Ah... das ist nicht schön... vollgelaufener Keller... hatte ich mal bei meiner Tante gesehen und geholfen... :balla:
Ich hoffe, es ist nicht allzu schlimm und ihr habt keine größeren Schäden. :abklatsch:


Sobald du Zeit hast:
Wir müssen über die Wiederherstellungsumgebung (Recovery Environment) das Tool FRST ausführen, sonst bekommen wir das nicht hin, die Malware schützt sich im normalen/abgesicherten Modus. :kloppen::D

Bitte lesen und umsetzen:
Ausführen von Farbar Recovery Scan Tool (FRST) in der Wiederherstellungsumgebung

Mahlzeit Matthias!
Vielen Dank "für die Blumen"! ^^
...allerdings bei einer so guten Führung/Anleitung "kann" man kaum was falsch machen. ;)

Bzgl. dem Keller => Da hatten wir Glück im Unglück,...haben es zu Zweit hinbekommen und soweit ich das bis jetzt sehen kann, hält sich der Schaden in Grenzen.

Habe soweit alles ausgeführt,...allerdings beim hochladen der FRST.txt diese Meldung bekommen : Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 106,4 KB groß.

Hoffe mal es ist so okay?


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Sehr gut gemacht. :)




FRST hat die Malware gleich beim Suchlauf eliminiert :lach:




FRST bitte jetzt wieder im normalen Modus ausführen, wir müssen noch Reste entfernen und die Windows Systemdateien überprüfen:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Guten Abend ;)

Na das hört sich doch positiv an! :daumenhoc

Anbei natürlich auch die beiden gewünschten Dateien.

Wir haben es bald geschafft. :abklatsch:





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
Unlock: C:\WINDOWS\system32\C_32770.NLS
C:\WINDOWS\system32\C_32770.NLS
Unlock: C:\WINDOWS\system32\config\BCD00000000
C:\WINDOWS\system32\config\BCD00000000
Unlock: C:\FRST
CMD: sfc /scannow
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Öffne den Ordner C:\FRST.
• Rechtsklicke auf den Unterordner Quarantine und wähle Senden an > Zip-komprimierter Ordner.
• Das Archiv Quarantine.zip wird erstellt.
• Besuche die Seite Submit a Malware Sample auf BleepingComputer.
• Klicke auf Durchsuchen.
• Wähle das erstellte Archiv C:\FRST\Quarantine.zip aus und klicke auf Öffnen.
• Schreibe in das untere, leere Textfeld for M-K-D-B hinein und klicke auf den darunter liegenden Button Daten absenden.
• Vielen Dank für deine Mitarbeit. Die hochgeladenen Dateien dienen zur Verbesserung der verwendeten Programme.

Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• eine Rückmeldung bezüglich des Hochladens des .zip Archivs
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Na das hört sich doch mehr als Klasse an! :P

Einen schönen guten Morgen erstmal,...(soviel Zeit muss sein!)

Anbei die 3 x gewünschten Dateien.

Hab ein kleines Problem beim hochladen des Zip-Archivs...habe auf der Seite folgende Nachricht bekommen :
The size of your file is greater than maximum file size of 10 MBs.

Das Quarantine.zip Archiv ist allerdings 15,87 MB groß!
Gibt es eine Möglichkeit es weiter zu kompremieren?
Oder kann man es öffnen und evtl. auf 2 x Archive zippen?

Freu mich wie immer von Dir zu lesen! :abklatsch:

Guten Morgen Matthias,
bin mir unsicher ob die Info für das Problem wichtig ist.
Allerdings hat Malwarebytes heute Nacht einen "geplanten Scan" unternommen und direkt 1 x Bedrohung in die Quarantäne verschoben.
Anbei natürlich die Datei.

Bin gespannt was Du dazu sagst und freu mich auf eine Antwort! ;)