Trojaner-Board - trojan.ole2.vbs-heuristic.druvzi

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - trojan.ole2.vbs-heuristic.druvzi (https://www.trojaner-board.de/198339-trojan-ole2-vbs-heuristic-druvzi.html)

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 22-03-2020
durchgeführt von Uluwa (24-03-2020 11:09:38) Run:1
Gestartet von C:\Users\Uluwa\Desktop
Geladene Profile: Uluwa (Verfügbare Profile: Uluwa)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
C:\Users\Uluwa\AppData\Roaming\Mozilla\Firefox\Profiles\d03gfr95.default\Extensions\passwordmanager@avira.com
C:\Users\Uluwa\AppData\Roaming\Opera Software\Opera Stable\Extensions\dalelnnofafalcmkmnhdbigbjjkloabo
C:\Users\Uluwa\AppData\Roaming\Opera Software\Opera Stable\Extensions\ngohaaocccbohaffogpbgfpmpgbcgccg
C:\Users\Uluwa\AppData\Roaming\Opera Software\Opera Stable\Extensions\pcgkmkjdikhiodinhloioejnpjgmfigd
C:\Program Files (x86)\Avira
C:\Program Files (x86)\McAfee
C:\Program Files\Avira
C:\Program Files\McAfee
C:\ProgramData\Avira
C:\ProgramData\McAfee
cmd: netsh advfirewall reset
emptytemp:

*****************

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => konnte nicht entfernt werden, Schlüssel könnte geschützt sein
C:\Users\Uluwa\AppData\Roaming\Mozilla\Firefox\Profiles\d03gfr95.default\Extensions\passwordmanager@avira.com => erfolgreich verschoben
C:\Users\Uluwa\AppData\Roaming\Opera Software\Opera Stable\Extensions\dalelnnofafalcmkmnhdbigbjjkloabo => erfolgreich verschoben
C:\Users\Uluwa\AppData\Roaming\Opera Software\Opera Stable\Extensions\ngohaaocccbohaffogpbgfpmpgbcgccg => erfolgreich verschoben
C:\Users\Uluwa\AppData\Roaming\Opera Software\Opera Stable\Extensions\pcgkmkjdikhiodinhloioejnpjgmfigd => erfolgreich verschoben
C:\Program Files (x86)\Avira => erfolgreich verschoben
"C:\Program Files (x86)\McAfee" => nicht gefunden
"C:\Program Files\Avira" => nicht gefunden
"C:\Program Files\McAfee" => nicht gefunden
C:\ProgramData\Avira => erfolgreich verschoben
C:\ProgramData\McAfee => erfolgreich verschoben

========= netsh advfirewall reset =========

OK.

========= Ende von CMD: =========

=========== EmptyTemp: ==========

BITS transfer queue => 7626752 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 370888562 B
Java, Flash, Steam htmlcache => 1174 B
Windows/system/drivers => 26484720 B
Edge => 1825094 B
Chrome => 0 B
Firefox => 1113837176 B
Opera => 375327168 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 764973 B
systemprofile32 => 764973 B
LocalService => 1161503 B
NetworkService => 1184273 B
Uluwa => 52897452 B

RecycleBin => 0 B
EmptyTemp: => 1.8 GB temporäre Dateien entfernt.

================================

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 24-03-2020 11:11:07)

Ergebnis der geplanten Schlüssel-Entfernung nach dem Neustart:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => konnte nicht entfernt werden, Schlüssel könnte geschützt sein

==== Ende vom Fixlog 11:11:07 ====

Kontrollscans mit Malwarebytes + ESET Online Scanner bitte.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Code:

14:10:07 # product=EOS

# version=8

# ESETOnlineScanner_DEU.exe=3.2.6.0

# country="Germany"

# lang=1031

14:13:17 Updating

14:13:17 Update Init

14:13:18 Update Download

14:16:24 esets_scanner_reload returned 0

14:16:24 g_uiModuleBuild: 44873

14:16:24 Update Finalize

14:16:24 Call m_esets_charon_send

14:16:24 Call m_esets_charon_destroy

14:16:24 Updated modules version: 44873

14:16:33 Call m_esets_charon_setup_create

14:16:33 Call m_esets_charon_create

14:16:33 m_esets_charon_create OK

14:16:33 Call m_esets_charon_start_send_thread

14:16:33 Call m_esets_charon_setup_set

14:16:33 m_esets_charon_setup_set OK

14:16:33 Scanner engine: 44873

15:19:55 # product=EOS

# version=8

# flags=0

# av=0

# fw=7

# admin=1

# ESETOnlineScanner_DEU.exe=3.2.6.0

# EOSSerial=d4408d98dccf774c9aea8f0ee370fbc7

# engine=44873

# end=finished

# bannerClicked=0

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# sfx_checked=true

# utc_time=2020-03-24 14:19:55

# local_time=2020-03-24 15:19:55 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=10.0.18363 NT 

# compatibility_mode_1=''

# compatibility_mode=5893 16776573 100 88 14315 32092558 0 0

# scanned=402963

# found=0

# cleaned=0

# scan_time=2433

# scan_type=2

# flow=2020-03-24 14:10:29|scr|eula|2020-03-24 14:10:30|promo|eis|2020-03-24 14:10:35|scr|welcome|2020-03-24 14:10:53|scr|consents|2020-03-24 14:11:48|scr|scan_type|2020-03-24 14:12:14|scr|pua|2020-03-24 14:13:17|scr|updating|2020-03-24 14:16:24|scr|scanning|2020-03-24 14:39:54|click|minimize|2020-03-24 14:56:58|scr|no_threats|2020-03-24 15:18:28|scr|periodic_offer|2020-03-24 15:18:54|scr|upsell|2020-03-24 15:19:30|scr|thanks

# periodic=0,0

# test=default

# stats_enabled=1

15:19:56 Call m_esets_charon_send

15:19:56 Call m_esets_charon_destroy

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 24.03.20

Scan-Zeit: 13:57

Protokolldatei: facb1bbe-6dce-11ea-a3a7-c465163a0672.json
 

-Softwaredaten-

Version: 4.1.0.56

Komponentenversion: 1.0.848

Version des Aktualisierungspakets: 1.0.21286

Lizenz: Kostenlos
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 18362.720)

CPU: x64

Dateisystem: NTFS

Benutzer: DESKTOP-UISEBPN\Uluwa
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 286163

Erkannte Bedrohungen: 0

In die Quarantäne verschobene Bedrohungen: 0

Abgelaufene Zeit: 0 Min., 36 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 0

(keine bösartigen Elemente erkannt)
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners