Windows 10 pop up mit persönlichen Daten hack.ye (oder hack ye?)
 

Windows 10 pop up mit persönlichen Daten hack.ye (oder hack ye?) - StandardWindows 10 pop up mit persönlichen Daten hack.ye (oder hack ye?)
heute Morgen ist plötzlich ein bisher unbekanntes Popup Fenster unten rechts
mit 2 Zeilen

1. pers. Nummer
2. ein Name in Verbindung damit

und dem
string hack.ye
erschienen

es könnte aus einem älteren E-Mail Text entnommen sein.

Schneller Suchlauf und Suchlauf der Systempartition mit Defender ohne Ergebnis.
Vor einigen Tagen habe ich einen Trojaner entfernt

ebenfalls vor einigen Tagen habe ich das Programm epubor installiert, leider lässt es sich nicht deinstallieren
======================[/CODE]

hier die Fortsetzung der Code tagsFRST Additions Logfile:
--- --- ---

Bescheidene Nachfrage
 

Sind die beiden Logfiles angekommen?
Ich will ja gar nicht auf eine Antwort drängeln. Nur wissen ob ich alles richtig gemacht habe.
Fand ich übrigens gar nicht so einfach

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Bitte beachte unsere Regeln während der Bereinigung!



Hattest du zum Zeitpunkt der Erstellung der Logdateien gerade Windows Updates am Laufen?





Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner
• die Logdatei von RogueKiller

malwarebytes report
 

Bitte - wie in der Anleitung beschrieben - alle Funde entfernen lassen und dann die dazugehörige Lodatei posten.

Adw Cleaner log
 

Gut gemacht.

Bitte weiter mit RogueKiller.

Zudem bitte die Logdatei von MBAM, aus dem hervorgeht, dass die Funde entfernt wurden.

rogue killer und mbam nach entfernung
 

Hallo Matthias, als erstes möchte ich nachholen, mich für die freundliche Begrüßung zu bedanken und für deine Mühe und Zeit mir zu helfen.
Nach dem Rogue Killer malware in Hotspot Shield gefunden und beseitigt hat mache ich mir Sorgen, ob ich das Programm jetzt noch benutzen kann.
So und jetzt zu den Logdateien:
leider scheint hotspot shield jetzt aus meinem System entfernt zu sein. Was tun?

Vorerst nicht mehr verwenden.

Zur Kontrolle bitte einen neuen Suchlauf mit FRST ausführen:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Wir entfernen verwaiste Reste mit FRST und kontrollieren die Windows-Systemdateien. Dies kann einige Minuten dauern... bitte gedulde dich.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Beschränkung <==== ACHTUNG
HKU\S-1-5-19\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Keine Datei)
HKU\S-1-5-20\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Keine Datei)
GroupPolicy: Beschränkung ? <==== ACHTUNG
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG
Edge Notifications: HKU\S-1-5-21-779246859-3990032973-3551585165-1001 -> hxxps://shopee.co.th
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
CHR Notifications: Default -> hxxps://blog.mindvalley.com; hxxps://browsersecurely.com; hxxps://calendar.google.com; hxxps://caputron.com; hxxps://culturacolectiva.com; hxxps://de.cathedralcollege.org; hxxps://fres-news.com; hxxps://my.cdn.hear.com; hxxps://ocsnext.ebay.com.sg; hxxps://pdlife.os.tc; hxxps://photos.google.com; hxxps://promodayz.com; hxxps://room.edudip.com; hxxps://shopee.co.th; hxxps://uk.yahoo.com; hxxps://vdc.md-medicus.de; hxxps://web.skype.com; hxxps://wwserch42.biz; hxxps://www.aerzteblatt.de; hxxps://www.netflix.com; hxxps://www.newscientist.com; hxxps://www.pinterest.com; hxxps://www.reddit.com; hxxps://www.sternefood.de; hxxps://www.thailand-property.com; hxxps://www.truthfinder.com
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
AlternateDataStreams: C:\ProgramData\TEMP:0FF263E8 [510]
BHO: Kein Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Keine Datei
BHO-x32: Kein Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Keine Datei

startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -SignatureScheduleDay Everyday -force
set-mppreference -RealTimeProtectionEnabled $true -force
set-mppreference -OnAccessProtectionEnabled $true -force

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:

CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow

Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Wie läuft das System?



Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.