Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GetX64BTIT.exe von Windows Defender entdeckt aber bisher keine Probleme? (https://www.trojaner-board.de/201037-getx64btit-exe-windows-defender-entdeckt-bisher-keine-probleme.html)

MiloM 05.02.2021 11:30
GetX64BTIT.exe von Windows Defender entdeckt aber bisher keine Probleme?
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo liebe Community, seit geraumer Zeit (3-4 Tagen) gibt mein Windows defender immer wieder Meldungen davon das ein sogenannter GetX64BTIT.exe Virus auf meinem Computer ist. Er sagt zwar er hätte ihn unter Quarantäne gestellt aber die Meldung kommt immer wieder. Ich selbst nehme keine Probleme beim arbeiten mit dem Pc wahr bin aber trotzdem besorgt. Deswegen hatte ich mir Hilfe bei https://www.trojaner-board.de/200944-unterstuetzung-um-programm-getx64btit-exe-entfernen.html gesucht und habe mir die Logdaten von Malwarebytes' AntiMalware (MBAM) und AdwCleaner gespeichert (Dateien im Anhang) und alles was gefunden wurde in Quarantäne gepackt. Nun wollte ich fragen ob ich noch weitere Schritte machen sollte oder ob das ausreicht?

M-K-D-B 05.02.2021 11:37
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.





Zitat:
Nun wollte ich fragen ob ich noch weitere Schritte machen sollte oder ob das ausreicht?
Es wird wohl nicht ausreichen... du solltest unsere Anleitung für Hilfesuchende lesen und die Logdateien von FRST posten.




Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

MiloM 05.02.2021 17:44
Antwort mit geupdateter Version
 
Liste der Anhänge anzeigen (Anzahl: 2)
Erstmal vielen Dank für die schnelle Antwort und Entschuldigung das ich wichtige Schritte ausgelassen hatte. Im Anhang befinden sich die Logdateien von FRST.
Außerdem hatte ich vor zwei Tagen Scans mit SpyHunter5 gemacht und in Zuge dessen wurden Dateien in Quarantäne verschoben allerdings weiß ich nicht wie ich die Logdateien einsehen kann.

M-K-D-B 05.02.2021 20:41
SpyHunter ist eine zweifelhafte Software, wir raten dringend davon ab. Ich hoffe, du hast kein Geld dafür bezahlt. Deren Geschäftsmodell ist eine richtige Abzocke.






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
    • SpyHunter
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
    CMD: reg query HKCU\Environment
    HKU\S-1-5-21-2374559154-3140316946-1524054738-1001\Environment: [MiloM] "powershell.exe"                    -windowstyle hidden  -En "PAAjACAAdQB2AGcAaQB5AHIAeQBrACAAIwA+ACQAdQA9ACQAZQBuAHYAOgBVAHMAZQByAE4AYQBtAGUAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAANwAwADAAO (Der Dateneintrag hat 1269 mehr Zeichen). <==== ACHTUNG
    DeleteKey: HKCU\Software\MiloM
    DeleteKey: HKCU\Software\MiloM1
    CMD: reg query HKCU\Software
    CMD: reg query HKCU\Environment
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [492]
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    powershell: Set-MpPreference -DisableScanningNetworkFiles 0
    Hosts:
    RemoveProxy:
    SystemRestore: On
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallation
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

MiloM 06.02.2021 13:20
Antwort
 
Liste der Anhänge anzeigen (Anzahl: 3)
Hallo und danke erneut für die schnellen und einfachen Anweisungen. Ich hatte SpyHunter deinstalliert (kein Geld investiert) und es scheint als hätte es geklappt. Erneut sind alle angefragten Dateien im Anhang.

Vielen Dank und freundliche Grüße

M-K-D-B 06.02.2021 14:11
Sehr gut gemacht! :)
So konsequent machen wir jetzt gleich weiter.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    S3 mracsvc; C:\Windows\System32\mracsvc.exe [20497056 2020-07-25] (Mail.Ru LLC -> LLC Mail.Ru)
    C:\Windows\System32\mracsvc.exe
    S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X]
    2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Users\Milo M\AppData\Roaming\Lavasoft
    2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Users\Milo M\AppData\Local\Lavasoft
    2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
    2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\ProgramData\Lavasoft
    2021-02-05 11:15 - 2020-12-11 16:09 - 000000000 ____D C:\Program Files (x86)\Lavasoft
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    SearchAll: ScanGuard;Lavasoft;TotalAV;Web Companion;WebCompanion
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.






Schritt 3
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Schritt 4
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die Logdatei von EEK
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

MiloM 06.02.2021 17:50
Antwort
 
Liste der Anhänge anzeigen (Anzahl: 5)
Im Anhang sind alle gefragten Dateien. Vielen Dank für die weiterhin schnelle Hilfe.
Dürfte man erfahren was mein Problem war ? Also was für einen Virus ich mir eingefangen habe und wie er auf meinen PC gekommen ist?

M-K-D-B 06.02.2021 21:09
Zitat:
Dürfte man erfahren was mein Problem war ? Also was für einen Virus ich mir eingefangen habe und wie er auf meinen PC gekommen ist?
Aufgrund der schlechten Downloadquellen hast du dir jede Menge PUP/Adware auf den Rechner geholt.
Zudem hast du dir noch eine Malware namens Gootkit eingefangen (wohl auch über einen infizierten Download). Das ist eine Schadsoftware, die Zugangsdaten (Online-Banking, etc.) abgreifen kann.
Daher solltest du am Ende alle Passwörter ändern und zukünftig mehr auf deine Downloads achten, mehr Tipps gibts in der Anleitung ganz unten.

Wir entfernen jetzt dann noch die letzten Reste und dann wären wir fertig. :D






Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    C:\ProgramData\Application Data\Lavasoft
    C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0\UsageLogs\Lavasoft.WCAssistant.WinService.exe.log
    C:\Windows\Prefetch\*.pf
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\ScanGuard
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\ScanGuard
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\ScanGuard
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scanguard
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.scanguard.passwordvaultassistant
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Edge\NativeMessagingHosts\com.scanguard.passwordvaultassistant
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\NativeMessagingHosts\com.scanguard.passwordvaultassistant
    DeleteKey: HKEY_USERS\S-1-5-21-2374559154-3140316946-1524054738-1001\SOFTWARE\Classes\WOW6432Node\CLSID\{d79b57ed-727c-4ab8-ba67-e7c6fd30fac1}
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Lavasoft
    DeleteKey: HKEY_USERS\S-1-5-21-2374559154-3140316946-1524054738-1001\SOFTWARE\Lavasoft
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\TotalAV
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\totalav
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Edge\NativeMessagingHosts\com.totalav.passwordvaultassistant
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.
Zitat:
Platform: Windows 10 Pro Version 2004
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle das Funktionsupdates aus, downloade und installiere es.
  • Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
    Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

MiloM 07.02.2021 14:20
Antwort
 
Liste der Anhänge anzeigen (Anzahl: 1)
Erstmal: vielen lieben Dank für die Hilfe. Es war sehr einfach Anweisungen zu folgen die so schnell und simpel formuliert wurden.
Im Anhang die gefragten Dateien.
Ich habe mir euren Beitrag zum Cleanup durchgelesen und festgestellte das der Antivirus von Windows ausreichend sein soll. Nun habe ich das Problem das ich den Echtzeitschutz nicht aktivieren kann weil: "Sie nutzen andere Anbieter von Antivirensoftware" ich weiß allerdings nicht welche das sein könnte da ich auch TBCleanUpTool benutzt hatte.

PS: Spenden würde ich gern allerdings wäre meine einzige Zahlungsmöglichkeit Paysafe da ich noch Minderjährig bin.

M-K-D-B 07.02.2021 21:20
Zitat:
Nun habe ich das Problem das ich den Echtzeitschutz nicht aktivieren kann weil: "Sie nutzen andere Anbieter von Antivirensoftware" ich weiß allerdings nicht welche das sein könnte da ich auch TBCleanUpTool benutzt hatte.
Das liegt am Echtzeitschutz von MBAM. Dieser ist einige Tage kostenlos und deaktiviert sich dann selbst. Du kannst ihn aber auch gleich so deaktivieren:
  • Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
  • Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
  • Windows Defender wird sich automatisch wieder aktivieren.
  • Du kannst MBAM zur regelmäßigen Kontrolle auf dem Computer belassen.



Zitat:
PS: Spenden würde ich gern allerdings wäre meine einzige Zahlungsmöglichkeit Paysafe da ich noch Minderjährig bin.
Die verlinkte Seite zum Thema "Spende" sind die einzigen Möglichkeiten... Überweisung oder PayPal.

Du musst wirklich nichts spenden (insbesondere aufgrund deines Alters), dein Dank genügt vollkommen. :abklatsch:
Wir machen das hier ja ehrenamtlich. Spenden dienen "nur" zum Erhalt des Forums. :)





Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27