Das ist zu groß

Pack mal nur die Sachen in

C:\FRST\Quarantine\C\ProgramData\Package Cache
C:\FRST\Quarantine\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}

in eine ZIP.

Ich muss jetzt ins Bett.
Vielen vielen Dank bisher, ich hätte nicht gedacht, dass mir am Samstag abend quasi live geholfen wird!
Allergrößten Respekt und herzlichen Dank bisher.
Wir machen morgen weiter.

Robert

OK, das kriege ich heute noch hin.

Die Verzeichnisse gibt es nicht.
Das Quarantäne-Verzeichnis sieht so aus (screenshot von treesize), siehe Anhang.
Das sind 50 MB. Was würde das helfen?
Über nodejs bin ich schon gestolpert, VLC würde ich unkritisch sehen.
Mit Windows System32 und sysWOW64 kann ich nichts anfangen.

Diese online-live-Hilfe von/mit Dir macht mir Freude. Das tut gut und ist mal was anderes als drei Jungs (5, 8 und 12 Jahre).
Danke.

Zitat:

Zitat von rkunde

Die Verzeichnisse gibt es nicht.

Dieses verdammte Windows mal wieder
Du musst dir alle Dateien anzeigen lassen. Der Windows-Explorer darf versteckte Dateien nicht ausblenden. Und auch geschützte Systemdateien müssen angezeigt werden.

OK.
Ich habe jetzt versteckte Dateien und Systemdateien eingeblendet (Ansicht und Optionen...)
Unter Quarantaine gibt es:
C\Program files\VideoLAN\VLC und darin die Datei npvlc.dll.xBAD
und unter WINDOWS gibt es
system32
und SysWOW64
wie vorhin auch.

Ich glaube ich höre jetzt für heute doch besser auf. Vielleicht ist jetzt der Wurm drin.
Ich lass morgen nochmal einen FRST-Scan laufen und poste das log-File.

Gute Nacht, Robert

Dann probieren wir das anders.

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  cmd: mkdir %userprofile%\desktop\tmp
  cmd: copy C:\FRST\Quarantine\C\ProgramData\Package Cache\{582A2897-A965-4AB6-B00D-B43E5C294EA3}\{8187DE87-EA21-43F9-A394-C3C5730DE9E7} "%userprofile%\desktop\tmp"
  cmd: copy C:\FRST\Quarantine\C\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}\{F842EBAC-A209-42A6-9C0C-753685B9D88C} "%userprofile%\desktop\tmp"
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Guten Morgen,

ich glaube, ich habe das Rätsel gelöst.
Mir ist eingefallen, dass ich gestern abend - ich glaube nach dem ersten FRST-Scan aber vor dem ersten fix - noch den AdwCleaner hab laufen lassen weil ich dessen log-File erzeugen wollte. Ich habe immer brav auf "weiter" geklickt und er hat 33 Files in Quarantäne geschoben. Da waren die Files dabei, die jetzt nicht mehr da sind wo sie hätten sein sollen.

Hier das lof von AdwCleaner:

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.7.0
# -------------------------------
# Build:    07-22-2020
# Database: 2020-07-20.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    10-03-2020
# Duration: 00:00:13
# OS:       Windows 10 Pro
# Cleaned:  37
# Failed:   4


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion

***** [ Files ] *****

Deleted       C:\Windows\Installer\{3ADB4E73-985E-47BD-AEE6-16AB01634AD3}\{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}.XPI

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKCU\Software\csastats
Deleted       HKCU\Software\distromatic
Deleted       HKLM\Software\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}
Deleted       HKLM\System\CurrentControlSet\Services\EventLog\Application\chromium

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

Deleted       Video Downloader professional - ffext_basicvideoext@startpage24
Deleted       Video Downloader professional - ffext_basicvideoext@startpage24
Deleted       Video Downloader professional - ffext_basicvideoext@startpage24

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.DellCommand|PowerManager   Folder   C:\Program Files\DELL\COMMANDPOWERMANAGER
Deleted       Preinstalled.DellCommand|PowerManager   Folder   C:\ProgramData\DELL\COMMANDPOWERMANAGER
Deleted       Preinstalled.DellCommand|PowerManager   Registry   HKLM\Software\Classes\CLSID\{80646CC0-651E-4EBD-BCDA-1A8E6CC4926A}
Deleted       Preinstalled.DellCommand|PowerManager   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{DDDAF4A7-8B7D-4088-AECC-6F50E594B4F5}
Deleted       Preinstalled.DellCommand|Update   Folder   C:\Program Files (x86)\DELL\COMMANDUPDATE
Deleted       Preinstalled.DellCommand|Update   Registry   HKLM\Software\Classes\CLSID\{A6F0A231-4510-4b00-A901-2EC89481C0B2}
Deleted       Preinstalled.DellCommand|Update   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{EC542D5D-B608-4145-A8F7-749C02BE6D94}
Deleted       Preinstalled.DellDataProtection   Folder   C:\Program Files\DELL\DELL DATA PROTECTION\SECURITY TOOLS
Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B72160B-9F67-47C0-858F-5A0074162148}
Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{2DC80C06-0687-5383-8B6B-2A9E50F53F64}
Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Ext\Preapproved\{2DC80C06-0687-5383-8B6B-2A9E50F53F64}
Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Ext\Stats\{2DC80C06-0687-5383-8B6B-2A9E50F53F64}
Deleted       Preinstalled.DellDigitalDelivery   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{693A23FB-F28B-4F7A-A720-4C1263F97F43}
Deleted       Preinstalled.DellFoundationServices   Folder   C:\Program Files\DELL\DELL FOUNDATION SERVICES
Deleted       Preinstalled.DellFoundationServices   Folder   C:\ProgramData\DELL\DELL FOUNDATION SERVICES
Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files (x86)\DELL\SUPPORTASSISTAGENT
Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELL\SUPPORTASSIST
Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\SUPPORTASSIST\CLIENT\TECHNICIANTOOLKIT
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D25290FD-E9FD-4608-AB9E-EDD0E7935C05} 
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D25290FD-E9FD-4608-AB9E-EDD0E7935C05} 
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Dell SupportAssistAgent AutoUpdate
Deleted       Preinstalled.DellSupportAssistAgent   Task   C:\Windows\System32\Tasks\DELL SUPPORTASSISTAGENT AUTOUPDATE
Not Deleted   Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY
Not Deleted   Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT
Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE
Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE


*************************

[+] remove_file_ntuser
[+] remove_wingrouppolicy_registry
[+] remove_regKey_googleupdatepolicy
[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]
AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########
         

Logisch, dass Dein Copy-Skript die angegebenen Pfade nicht finden kann:

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2020
durchgeführt von Robert (04-10-2020 07:10:35) Run:3
Gestartet von C:\Users\Robert\Desktop
Geladene Profile: Robert
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
cmd: mkdir %userprofile%\desktop\tmp
cmd: copy C:\FRST\Quarantine\C\ProgramData\Package Cache\{582A2897-A965-4AB6-B00D-B43E5C294EA3}\{8187DE87-EA21-43F9-A394-C3C5730DE9E7} "%userprofile%\desktop\tmp"
cmd: copy C:\FRST\Quarantine\C\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}\{F842EBAC-A209-42A6-9C0C-753685B9D88C} "%userprofile%\desktop\tmp"

*****************


========= mkdir %userprofile%\desktop\tmp =========


========= Ende von CMD: =========


========= copy C:\FRST\Quarantine\C\ProgramData\Package Cache\{582A2897-A965-4AB6-B00D-B43E5C294EA3}\{8187DE87-EA21-43F9-A394-C3C5730DE9E7} "%userprofile%\desktop\tmp" =========

Das System kann den angegebenen Pfad nicht finden.

========= Ende von CMD: =========


========= copy C:\FRST\Quarantine\C\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}\{F842EBAC-A209-42A6-9C0C-753685B9D88C} "%userprofile%\desktop\tmp" =========

Das System kann den angegebenen Pfad nicht finden.

========= Ende von CMD: =========


==== Ende von Fixlog 07:10:35 ====
         

Ich bin mir jetzt recht sicher, dass ich die Schadsoftware los bin, jetzt müsste noch aufgeräumt werden und die Überbleibsel gelöscht werden.

Zwei Fragen habe ich noch:
Kann ich Avira wieder installieren? Ich habe die Pro-Version und der Software-Updater ist schon recht praktisch.
Wie kann ich mich bei Dir erkenntlich zeigen? Ich dachte an eine Spende.

Vielen Dank,
Robert

Bitte höre mit diesem Avira auf. Davon raten wir schon seit vielen Jahren von ab! Gleichzeitig hat Microsoft schon lange d.h. Windows 8 einen Virenscanner fest eingebaut.

adwcleaner bitte zwecks Kontrolle wiederholen

Hallo cosinus,
Danke, dass Du geantwortet hast. Wir waren heute unterwegs und ich bin gerade nach Hause gekommen.

Hier die logs von AdwCleaner von gerade eben:
Scan:

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.7.0
# -------------------------------
# Build:    07-22-2020
# Database: 2020-07-20.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    10-04-2020
# Duration: 00:00:29
# OS:       Windows 10 Pro
# Scanned:  31837
# Detected: 5


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

Adware.DownloadProtect          C:\Windows\Installer\{3ADB4E73-985E-47BD-AEE6-16AB01634AD3}\{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}.XPI

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY 
Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT 
Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE 
Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE 


AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]
AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]
AdwCleaner[C01].txt - [6301 octets] - [03/10/2020 20:37:16]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S02].txt ##########
         

und Clean:

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.7.0
# -------------------------------
# Build:    07-22-2020
# Database: 2020-07-20.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    10-04-2020
# Duration: 00:00:05
# OS:       Windows 10 Pro
# Cleaned:  1
# Failed:   4


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

Deleted       C:\Windows\Installer\{3ADB4E73-985E-47BD-AEE6-16AB01634AD3}\{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}.XPI

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Not Deleted   Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY
Not Deleted   Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT
Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE
Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE


*************************

[+] remove_file_ntuser
[+] remove_wingrouppolicy_registry
[+] remove_regKey_googleupdatepolicy
[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]
AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]
AdwCleaner[C01].txt - [6301 octets] - [03/10/2020 20:37:16]
AdwCleaner[S02].txt - [2019 octets] - [04/10/2020 16:00:57]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########
         

adwcleaner bitte zwecks Kontrolle wiederholen

Ich habe vorhin mal den Windows-Virenscanner vollständig laufen lassen. Der hat mich nur wegen minitool-partition-wizzard gewarnt.
Der AdwCleaner hat die Datenbank aktualisiert und nur noch drei vorinstallierte Sachen von Dell gefunden, ansonsten sagte er: "Sie sind frei von PUP und Adware", siehe scan-log:

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.0.7.0
# -------------------------------
# Build:    07-22-2020
# Database: 2020-07-20.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    10-04-2020
# Duration: 00:00:49
# OS:       Windows 10 Pro
# Scanned:  31837
# Detected: 4


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY 
Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT 
Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE 
Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE 


AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]
AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]
AdwCleaner[C01].txt - [6301 octets] - [03/10/2020 20:37:16]
AdwCleaner[S02].txt - [2019 octets] - [04/10/2020 16:00:57]
AdwCleaner[C02].txt - [2337 octets] - [04/10/2020 16:01:37]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S03].txt ##########
         

Ich denke, ich bin den Trojaner los. Gibt es noch etwas aufzuräumen?
Und kann ich dem Board etwas spenden?

VG, Robert

Kontrollscans mit Malwarebytes + RogueKiller bitte.

Malwarebytes log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 04.10.20
Scan-Zeit: 21:12
Protokolldatei: 868f589c-0675-11eb-bb40-34e6d7178cac.json

-Softwaredaten-
Version: 4.2.1.89
Komponentenversion: 1.0.1045
Version des Aktualisierungspakets: 1.0.30786
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.546)
CPU: x64
Dateisystem: NTFS
Benutzer: OBELIXWIN10\Robert

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 364532
Erkannte Bedrohungen: 11
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 4 Min., 24 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 2
PUP.Optional.DownloadProtectExtension, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}, Keine Aktion durch Benutzer, 6962, 237883, , , , , , 
PUP.Optional.DownloadProtectExtension, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}, Keine Aktion durch Benutzer, 6962, 237883, 1.0.30786, , ame, , , 

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 2
PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{321CD23F-6D4C-4C41-AE01-40DD3BBFC5C2}, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , , 
PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{D1C1D1B6-734E-426C-AE8B-D21FE019182B}, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , , 

Datei: 7
PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{321CD23F-6D4C-4C41-AE01-40DD3BBFC5C2}\cmehdidckclhdkddfbilfhgbdggnapdgdrx, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , F1FE4B3EB854B1EDB7024EAB058FD358, 7AB828C1F122A52E1C5144FEE889D2C23177744449C87C78889FE8DD5DE7C22B
PUP.Optional.DownloadProtect, C:\Windows\Installer\{321CD23F-6D4C-4C41-AE01-40DD3BBFC5C2}\xmehdidckclhdkddfbilfhgbdggnapdgdml, Keine Aktion durch Benutzer, 57, 237878, , , , , A9A15D4F736AEA9BA71D54D0231583F3, 077FD943EFECB2D32A203EF36DA5CFB6A40AA2BAD7521C4A307D948974504654
PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{D1C1D1B6-734E-426C-AE8B-D21FE019182B}\cdhelplmemeohigigiopbmeliccknebierx, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , 824194B407D8D45DE563CA8C41D7ED67, 4AEA6E3986197392C728E921E51EA8F332A81E7299AA86A085E04004B4C067A6
PUP.Optional.DownloadProtect, C:\Windows\Installer\{D1C1D1B6-734E-426C-AE8B-D21FE019182B}\xdhelplmemeohigigiopbmeliccknebieml, Keine Aktion durch Benutzer, 57, 237878, , , , , EEDDBBA9C265A03262515EB4521C3BF7, A2BD168AC06246B7E64E5BBC451C0A8B767DFDB7D911367CE6947007F0E2256B
PUP.Optional.PrivacyFF, C:\USERS\ROBERT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2T9XJOFE.DEFAULT\EXTENSIONS\FIREFOX@SMARTTUBE.IO.XPI, Keine Aktion durch Benutzer, 4565, 751087, 1.0.30786, , ame, , 738709248C420FF5FE4BAAB06B057B46, 3CF79106260F050D985B7A92DFB3B40E00022A79273F79F66DE8B6C9CE2C4B8F
PUP.Optional.Conduit, C:\USERS\ROBERT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2T9XJOFE.DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 193, 301520, 1.0.30786, , ame, , 374592B6F95F84B74158D089AE54FBC4, E7C8D6EA07F38568425475146A4CCD331B780BEA5DA657D5BC9DCE22C2DFF496
Generic.Malware/Suspicious, C:\USERS\ROBERT\DOWNLOADS\AUDIOGRABBER183-2020.EXE, Keine Aktion durch Benutzer, 0, 392686, 1.0.30786, , shuriken, , 537B8119634342D1CFB0F2CAF16AC1D2, 3B4692435648F892B59C1CF1C293208CDD41D4C75546C9F955710473C4E19851

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

und RogueKiller-log:

Code: Alles auswählenAufklappen

ATTFilter

RogueKiller Anti-Malware V14.7.3.0 (x64) [Sep 15 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19041) 64 bits
Gestartet in : Normaler Modus
Benutzer : Robert [Administrator]
Gestartet von : C:\Users\Robert\Desktop\RogueKiller_portable64.exe
Signaturen : 20201001_073512, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2020/10/04 21:21:32 (Dauer : 00:10:32)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> XX - Software
  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-2767252197-2493505942-3909642483-1000\Software\OCS -- N/A -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> Firefox Config
  [PUM.SearchEngine (Potenziell bösartig)] browser.search.defaultenginename (C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\2t9xjofe.default\prefs.js) -- Bing® -> Gefunden
  [PUM.SearchEngine (Potenziell bösartig)] browser.search.selectedEngine (C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\2t9xjofe.default\prefs.js) -- Bing® -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
         

Ist doch noch etwas an Bord?

Zitat:

Keine Aktion durch Benutzer

Bitte die Anleitung zu Malwarebytes auch richtig lesen und umsetzen