Hallo Matthias,

zu deinem Hinweis:

Gemäß unseren Regeln sollst du während der Bereinigung nichts installieren!
Zitat:
Name: PUA:Win32/CandyOpen
ID: 213956
Schweregrad: Schwerwiegend
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\*********\Documents\MyPhoneExplorer_Setup_1.8.8.exe
Diese Setup von "MyPhoneExplorer" ist mit PUP verseucht. Lass die Finger davon!
Willst du deinen Rechner erneut infizieren?

Ich habe während des Prozesses nichts installiert. Interessant war, dass der Windows-Defender nach dem Reinigungsdurchlauf plötzlich diese Datei als "Schädlich" gemeldet hat. Es handelt sich hierbei um eine kostenlose Software, die es ermöglicht ein Handy mit Outlook zu synchronisieren. Ich benutze diese Software schon seit ca. 5 Jahren und solange liegt das die Datei wohl auch schon auf meinem Rechner rum. Bisher hatte ich noch keine Probleme damit. Kurios!

Hier das Protokoll des Letzten Durchlaufs

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 11-11-2020
durchgeführt von ************ (14-11-2020 18:45:20) Run:2
Gestartet von C:\Users\************\Downloads
Geladene Profile: ************
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
U1 aswbdisk; kein ImagePath
U4 npcap_wifi; kein ImagePath
U4 npf_wifi; kein ImagePath
DeleteValue: HKEY_USERS\S-1-5-21-1868046488-286209551-1930957107-1001\Software\Microsoft\Edge\PreferenceMACs\Default\extensions.settings|iaimdfmmgejkfacgppkogapmchfppdop
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
C:\Users\Bartender\Documents\MyPhoneExplorer_Setup_1.8.8.exe 
C:\Users\Default\Documents\MyPhoneExplorer_Setup_1.8.8.exe 
C:\Users\************\Documents\MyPhoneExplorer_Setup_1.8.8.exe 
DeleteQuarantine:
Unlock: C:\FRST
Reboot:

*****************

HKLM\System\CurrentControlSet\Services\aswbdisk => erfolgreich entfernt
aswbdisk => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\npcap_wifi => erfolgreich entfernt
npcap_wifi => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\npf_wifi => erfolgreich entfernt
npf_wifi => Dienst erfolgreich entfernt
"HKEY_USERS\S-1-5-21-1868046488-286209551-1930957107-1001\Software\Microsoft\Edge\PreferenceMACs\Default\extensions.settings\\iaimdfmmgejkfacgppkogapmchfppdop" => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => konnte nicht entfernt werden, Schlüssel könnte geschützt sein
"C:\Users\Bartender\Documents\MyPhoneExplorer_Setup_1.8.8.exe" => nicht gefunden
"C:\Users\Default\Documents\MyPhoneExplorer_Setup_1.8.8.exe" => nicht gefunden
"C:\Users\************\Documents\MyPhoneExplorer_Setup_1.8.8.exe" => nicht gefunden
"C:\FRST\Quarantine" => erfolgreich entfernt
"C:\FRST" => wurde entsperrt
         

Eine letzte Frage:
Sollte so etwas wieder auftreten, kann ich dann die mit deiner Hilfe durchgeführten Säuberungsschritte einfach 1:1 wiederholen?

Gruß
PawelPopolski

Zitat:

Zitat von PawelPopolsk

Sollte so etwas wieder auftreten, kann ich dann die mit deiner Hilfe durchgeführten Säuberungsschritte einfach 1:1 wiederholen?

Nein, das kannst du leider nicht.
Jede Malware-Infektion ist einzigartig. In jeder Logdatei sind andere schadhafte Einträge. Eine 1:1 Umsetzung ist nicht zielführend.

Diese Malware erstellt immer verschiedene Starteinträge (unterschiedliche Namen). Das ist auch ein Grund, warum sie aktuell nicht erkannt wird.
Zudem lädt diese Malware "PUP.Optional.DownloadProtect" nach, welche von Malwarebytes' Anti-Malware zwar entdeckt wird, jedoch auch noch vollständig.





Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.