Scripting/Repair mit FRST64

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
  GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
  Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
  Task: {2C4E4A59-1312-4C60-A2A4-0A87195FEE1E} - System32\Tasks\Verbindungs-Manager-Dienst ActiveX-Installer Microsoft => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{34F43997-4498-4BA1-8EF1-2731603200BA}\{18C5108C-7C0E-4460-A95F-06F1026CCB43}" <==== ACHTUNG
  C:\ProgramData\Package Cache\{34F43997-4498-4BA1-8EF1-2731603200BA}
  C:\Program Files (x86)\nodejs
  FF user.js: detected! => C:\Users\ENDNUTZER\AppData\Roaming\Mozilla\Firefox\Profiles\un7ay9wr.default-release\user.js [2020-12-11]
  FF user.js: detected! => C:\Users\ENDNUTZER\AppData\Roaming\Mozilla\Firefox\Profiles\b5yplbdg.default-release-1\user.js [2020-07-27]
  emptytemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

FIXLOG

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14-12-2020
durchgeführt von ENDNUTZER (30-12-2020 10:35:32) Run:1
Gestartet von C:\Users\ENDNUTZER\Downloads
Geladene Profile: ENDNUTZER
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {2C4E4A59-1312-4C60-A2A4-0A87195FEE1E} - System32\Tasks\Verbindungs-Manager-Dienst ActiveX-Installer Microsoft => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{34F43997-4498-4BA1-8EF1-2731603200BA}\{18C5108C-7C0E-4460-A95F-06F1026CCB43}" <==== ACHTUNG
C:\ProgramData\Package Cache\{34F43997-4498-4BA1-8EF1-2731603200BA}
C:\Program Files (x86)\nodejs
FF user.js: detected! => C:\Users\ENDNUTZER\AppData\Roaming\Mozilla\Firefox\Profiles\un7ay9wr.default-release\user.js [2020-12-11]
FF user.js: detected! => C:\Users\ENDNUTZER\AppData\Roaming\Mozilla\Firefox\Profiles\b5yplbdg.default-release-1\user.js [2020-07-27]
emptytemp:

*****************

Prozesse erfolgreich geschlossen.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => erfolgreich entfernt
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Mozilla => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Microsoft\Edge => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{2C4E4A59-1312-4C60-A2A4-0A87195FEE1E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C4E4A59-1312-4C60-A2A4-0A87195FEE1E}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Verbindungs-Manager-Dienst ActiveX-Installer Microsoft => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Verbindungs-Manager-Dienst ActiveX-Installer Microsoft" => erfolgreich entfernt
C:\ProgramData\Package Cache\{34F43997-4498-4BA1-8EF1-2731603200BA} => erfolgreich verschoben
C:\Program Files (x86)\nodejs => erfolgreich verschoben
"C:\Users\ENDNUTZER\AppData\Roaming\Mozilla\Firefox\Profiles\un7ay9wr.default-release\user.js" => nicht gefunden
"C:\Users\ENDNUTZER\AppData\Roaming\Mozilla\Firefox\Profiles\b5yplbdg.default-release-1\user.js" => nicht gefunden

=========== EmptyTemp: ==========

BITS transfer queue => 11296768 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 30152488 B
Java, Flash, Steam htmlcache => 507768747 B
Windows/system/drivers => 650693 B
Edge => 3284567 B
Chrome => 152811277 B
Firefox => 1210064794 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 30524 B
NetworkService => 30524 B
ENDNUTZER => 189272766 B
OVRLibraryService => 189272766 B

RecycleBin => 1837 B
EmptyTemp: => 2.1 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 10:36:51 ====
         

Kontrollscans mit MBAM und RK

Wir sind fast fertig. Jetzt ist es an der Zeit für Kontrollscans mit

• Malwarebytes
• RogueKiller

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

MALWAREBYTES

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 30.12.20
Scan-Zeit: 11:00
Protokolldatei: cdd1ea54-4a85-11eb-bb48-04d9f5f7e1f3.json

-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1130
Version des Aktualisierungspakets: 1.0.35009
Lizenz: Premium

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.685)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-5KHM2OD\ENDNUTZER

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 325008
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 1 Min., 2 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

ROGUEKILLER

Code: Alles auswählenAufklappen

ATTFilter

RogueKiller Anti-Malware V14.8.2.0 (x64) [Dec 28 2020] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19042) 64 bits
Gestartet in : Normaler Modus
Benutzer : ENDNUTZER [Administrator]
Gestartet von : C:\Users\ENDNUTZER\Downloads\RogueKiller64.exe
Signaturen : 20201228_093404, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2020/12/30 11:03:45 (Dauer : 00:06:41)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
         

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Vielen Dank für Deine Hilfe! Ich mache einen Einträg im Forumsbereich.

Ich werde beobachten, ob das Malware Problem nochmal auftritt. Heute ist es zumindest noch nicht passiert.

Noch eine Fragen habe ich:
Lag es u. U. an Node JS oder kann man das irgendwie eingrenzen?

NodeJS war nur Mittel zur Nutzung der Malware.







Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.