Virus? Programme werden installiert
 

Hallo,

ich brauche Hilfe mit meinem PC und zwar manchmal läuft mein PC etwas seltsam.
Er öffnet dann irgendwelche Seiten, obwohl ich gar nichts gemacht habe oder es wurden irgendwelche Programme im Hintergrund geöffnet.

Bei mir wurde z.B. "Garbage Cleaner" installiert, was ich versucht habe sofort zu deinstallieren und ich habe auf einmal so komische Dateien in meinem Ordner drin

Siehe die Screenshots:

https://s12.directupload.net/images/200613/c8heqvgf.jpg
https://s12.directupload.net/images/200613/r2gb6htr.jpg


Hier sind meine Log Dateien FRST.txt und Addition.txt

Die FRST Datei ist leider zu lang um sie hier zu posten, ich muss das aufteilen

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM\...\RunOnce: [ndubl4cron4] => C:\Program Files (x86)\UHUJ\117822354.exe [374784 2020-06-12] () [Datei ist nicht signiert]
Unlock: C:\Program Files (x86)\UHUJ
File: C:\Program Files (x86)\UHUJ\117822354.exe
VirusTotal: C:\Program Files (x86)\UHUJ\117822354.exe
C:\Program Files (x86)\UHUJ
Unlock: C:\Users\Testen\AppData\Roaming\trhgdf.exe
VirusTotal: C:\Users\Testen\AppData\Roaming\trhgdf.exe
C:\Users\Testen\AppData\Roaming\trhgdf.exe
Unlock: C:\ProgramData\L8DIAW0RU8s63.exe
VirusTotal: C:\ProgramData\L8DIAW0RU8s63.exe
C:\ProgramData\L8DIAW0RU8s63.exe
C:\Users\Testen\AppData\Roaming\focusvpnep
C:\Users\Testen\AppData\Roaming\defendsstatie
C:\Users\Testen\AppData\LocalLow\3098htrhpen8ifg0
C:\ProgramData\Garbage Cleaner
C:\ProgramData\frd
C:\3iwerj34jfewkjde3kwek56ks
C:\334iuwr4943rjfreuf
S3 mracsvc; C:\Windows\System32\mracsvc.exe [19136152 2020-02-17] (Mail.Ru LLC -> LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [18367968 2020-02-17] (Mail.Ru LLC -> LLC Mail.Ru)
C:\WINDOWS\System32\drivers\mracdrv.sys
Task: {17DC1198-17AF-410F-89C7-5CA1BC165FA3} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
C:\Windows\System32\Tasks\Avast Software
C:\Program Files\Common Files\AVAST Software
Task: {8014D5BA-87FD-456C-9187-3DC40DB0A4BA} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [1692296 2020-02-27] (AVG Technologies USA, LLC -> AVG Technologies)
C:\Windows\System32\Tasks\AVG
C:\Program Files\Common Files\AVG
Task: {A2DF092D-9ACB-4E25-9ADA-6EC701F9264F} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [126152 2020-04-17] (Mozilla Corporation -> Mozilla Foundation)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
Folder: C:\ProgramData\Java
CMD: dir "%ProgramFiles%"
CMD: dir "%ProgramFiles(x86)%"
CMD: dir "%ProgramData%"
CMD: dir "%Appdata%"
CMD: dir "%LocalAppdata%"
CMD: dir "%CommonProgramFiles(x86)%"
CMD: dir "%CommonProgramW6432%"
CMD: dir "%UserProfile%"
CMD: dir "C:\"
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
CMD: sc config WinDefend start= auto
CMD: sc start WinDefend
CMD: sc start WdNisSvc
powershell: Set-MpPreference -DisableRealtimeMonitoring $False
powershell: Set-MpPreference -PUAProtection Enabled
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: UHUJ;trhgdf;L8DIAW0RU8s63;Garbage Cleaner;GarbageCleaner

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo,

vielen Danke für deine Hilfe. Ich habe noch ein paar Fragen, weil ich das nicht ganz verstehe.

1. In der Fixlog steht was von "EmptyTemp: => 1 GB temporäre Dateien entfernt."
Was genau heißt das? Werden dadurch auch meine wichtigen Dateien und Programme entfernt?

2. Windows Sicherheit von Win 10 zeigt mir auf einmal Bedrohungen an, was er vorher noch nicht gemacht hat, also ist der Virus noch auf meinem PC? Muss ich einen Scan durchführen lassen?

3. In dem Ordner FRST Quarantine befindet sich noch dieses Garbage Cleaner, muss ich das manuell löschen? "C:\FRST\Quarantine\C\ProgramData\Garbage Cleaner"


Hier die Fixlog Auswertung
Die Search Auswertung
Die FRST Auswertung

Die Addition Auswertung

Diverse Programme (auch Schadsoftware) und Windows selbst legen im laufenden Betrieb temporäre Dateien an. Diese wurden entfernt.
Mit deinen privaten Dateien hat das nichts zu tun.



Folge weiter meinen Anweisungen. Wir sind ja noch nicht fertig.
Wir führen noch weitere Kontrollsuchläufe durch.



Du musst gar nichst manuell löschen. Wir kümmern uns um alles.






Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\Users\Testen\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\Garbage Cleaner.exe.log
C:\ProgramData\Java
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Garbage Cleaner_RASAPI32
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Garbage Cleaner_RASMANCS
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von ESET

Der Virenscanner hat auch meine zweite Festplatte, wo nur Daten drauf sind auch gescannt. Kann man das so einstellen, das nur die Festplatte geprüft werden soll, wo auch Windows drauf installiert ist?

fixlog Auswertung
MBAM Auswertung
ESET (log) Auswertung

Du solltest dich schämen! :pfui: :pfui: :pfui:



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht.