Die Fixlog Datei:

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 27-01-2021
durchgeführt von Morice (02-02-2021 15:13:33) Run:1
Gestartet von D:\_Downloads\Downloads ab 31.08.2019
Geladene Profile: Morice & postgres
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
C:\ProgramData\NTUSER.pol
cmd: reg query "HKCU\Environment"
cmd: reg query "HKCU\Software"
cmd: netsh advfirewall reset
emptytemp:

*****************

Prozesse erfolgreich geschlossen.
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Mozilla => erfolgreich entfernt
"C:\ProgramData\NTUSER.pol" => nicht gefunden

========= reg query "HKCU\Environment" =========


HKEY_CURRENT_USER\Environment
    Path    REG_EXPAND_SZ    %USERPROFILE%\AppData\Local\Microsoft\WindowsApps;
    TEMP    REG_EXPAND_SZ    %USERPROFILE%\AppData\Local\Temp
    TMP    REG_EXPAND_SZ    %USERPROFILE%\AppData\Local\Temp
    OneDrive    REG_EXPAND_SZ    C:\Users\Morice\OneDrive


========= Ende von CMD: =========


========= reg query "HKCU\Software" =========


HKEY_CURRENT_USER\Software\4kdownload.com
HKEY_CURRENT_USER\Software\7-Zip
HKEY_CURRENT_USER\Software\8GadgetPack
HKEY_CURRENT_USER\Software\AMD
HKEY_CURRENT_USER\Software\Apowersoft
HKEY_CURRENT_USER\Software\AppDataLow
HKEY_CURRENT_USER\Software\ASCOMP
HKEY_CURRENT_USER\Software\ASUS
HKEY_CURRENT_USER\Software\ATI
HKEY_CURRENT_USER\Software\AVAST Software
HKEY_CURRENT_USER\Software\AVS4YOU
HKEY_CURRENT_USER\Software\Blizzard Entertainment
HKEY_CURRENT_USER\Software\BraveSoftware
HKEY_CURRENT_USER\Software\BugSplat
HKEY_CURRENT_USER\Software\BullGuard Ltd.
HKEY_CURRENT_USER\Software\Chromium
HKEY_CURRENT_USER\Software\Clients
HKEY_CURRENT_USER\Software\ClockworkMod
HKEY_CURRENT_USER\Software\Corel
HKEY_CURRENT_USER\Software\CyberLink
HKEY_CURRENT_USER\Software\Discord
HKEY_CURRENT_USER\Software\Dry Cactus
HKEY_CURRENT_USER\Software\E09CE95B-CD31-42C7-9258-0C254E2DD790
HKEY_CURRENT_USER\Software\Epic Games
HKEY_CURRENT_USER\Software\FonePaw
HKEY_CURRENT_USER\Software\Google
HKEY_CURRENT_USER\Software\IM Providers
HKEY_CURRENT_USER\Software\Intel Corporation
HKEY_CURRENT_USER\Software\Khronos
HKEY_CURRENT_USER\Software\LAV
HKEY_CURRENT_USER\Software\Lavasoft
HKEY_CURRENT_USER\Software\LGE
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Macromedia
HKEY_CURRENT_USER\Software\Malwarebytes
HKEY_CURRENT_USER\Software\Meltytech
HKEY_CURRENT_USER\Software\Microsoft
HKEY_CURRENT_USER\Software\Mojang
HKEY_CURRENT_USER\Software\Mozilla
HKEY_CURRENT_USER\Software\MPC-HC
HKEY_CURRENT_USER\Software\MSI
HKEY_CURRENT_USER\Software\MyPhoneExplorer
HKEY_CURRENT_USER\Software\NCH Software
HKEY_CURRENT_USER\Software\NCH Swift Sound
HKEY_CURRENT_USER\Software\OCS
HKEY_CURRENT_USER\Software\Opera Software
HKEY_CURRENT_USER\Software\Opera Stable Offer
HKEY_CURRENT_USER\Software\PDFsam Basic
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\QtProject
HKEY_CURRENT_USER\Software\Realtek
HKEY_CURRENT_USER\Software\recoverit
HKEY_CURRENT_USER\Software\Red Vibe Studio
HKEY_CURRENT_USER\Software\Redbeet Interactive
HKEY_CURRENT_USER\Software\RegisteredApplications
HKEY_CURRENT_USER\Software\Related Designs Software GmbH
HKEY_CURRENT_USER\Software\SecuROM
HKEY_CURRENT_USER\Software\SirHenry
HKEY_CURRENT_USER\Software\Sonarworks
HKEY_CURRENT_USER\Software\SyncEngines
HKEY_CURRENT_USER\Software\TCP Optimizer
HKEY_CURRENT_USER\Software\TeamSpeak 3 Client
HKEY_CURRENT_USER\Software\Terraria
HKEY_CURRENT_USER\Software\TPV
HKEY_CURRENT_USER\Software\Ubisoft
HKEY_CURRENT_USER\Software\undefined
HKEY_CURRENT_USER\Software\Unwinder
HKEY_CURRENT_USER\Software\UpdateDownloadTool
HKEY_CURRENT_USER\Software\Valve
HKEY_CURRENT_USER\Software\Voicemod Desktop
HKEY_CURRENT_USER\Software\Wargaming.net
HKEY_CURRENT_USER\Software\Wondershare
HKEY_CURRENT_USER\Software\WOW6432Node
HKEY_CURRENT_USER\Software\Classes

========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 1337011346 B
Java, Flash, Steam htmlcache => 292530575 B
Windows/system/drivers => 4017779 B
Edge => 3442047 B
Chrome => 1117565876 B
Firefox => 45554180 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 195695 B
LocalService => 282097 B
NetworkService => 780913 B
Morice => 163595136 B
postgres => 163595136 B

RecycleBin => 0 B
EmptyTemp: => 2.9 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 15:14:32 ====
         

Kontrollscans mit MBAM und RK

Wir sind fast fertig. Jetzt ist es an der Zeit für Kontrollscans mit

• Malwarebytes
• RogueKiller

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

Hier der Bericht von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 02.02.21
Scan-Zeit: 15:41
Protokolldatei: ad5310d8-6564-11eb-a7e8-00d86112dffa.json

-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1157
Version des Aktualisierungspakets: 1.0.36625
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.746)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-H84HIF8\Morice

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 357539
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 10 Min., 15 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

und von Rogue:

Code: Alles auswählenAufklappen

ATTFilter

RogueKiller Anti-Malware V14.8.4.0 (x64) [Jan 13 2021] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19041) 64 bits
Gestartet in : Normaler Modus
Benutzer : Morice [Administrator]
Gestartet von : C:\Users\Morice\Downloads\RogueKiller_portable64(1).exe
Signaturen : 20200213_081045, Treiber : Geladen
Modus : Standard-Scan, Löschen -- Datum : 2021/02/02 15:36:37 (Dauer : 00:07:03)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Löschen ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-21-554445237-1885482830-529100192-1001\Software\OCS --  -> Gelöscht
[Suspicious.Path (Potenziell bösartig)] HKEY_USERS\S-1-5-21-554445237-1885482830-529100192-1001\Software\Microsoft\Windows\CurrentVersion\Run|Blizz -- [%_Morice_appdata%\Blizz\Blizz.exe] -> Gelöscht
         

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Das klingt super, danke erstmal. Nur noch eine kurze Frage: Ist der Virus jetzt zun100% weg oder war er überhaupt da? Auf diversen anderen Foren wurde mir geraten, wichtigste Datein wie Bilder und Dokumente auf einer externen Festplatte zu sichern und anschließend den PC mit einem Data Shredder überschreiben zulassen und dann Windows neu aufzusetzen. Ist das ratsam, oder kann ich meinen PC jetzt wieder wie gewohnt nutzen, also auch für Online Banking?

Es gibt keine 100 % Sicherheit. Bei Onlinebanking bist du aber zu einem zweiten Faktor gezwungen, d.h. sowas wie mTAN oder TAN-Generator. Und bei so einem TAN-Generator bist du verpflichtet genauestens zu prüfen, ob es das Empfängerkonto richtig ist.

Achso, das war nur als Beispiel gemeint. War denn überhaupt ein Virus da? Oder waren die erfolgten Schritte zielführend?

Was genau da war, siehst du ja in den Logs.
Einen "Virus" gibt so so lange nicht mehr. Viren sind Programmcodes, die sich an anderen Programmen ranhängen. Die nennt man seit einigen Jahren file infector und sind äußerst selten geworden. Das Problem ist aber auch der Umgangssprech wo mit "Virus" eigentlich Malware jeglicher Art gemeint ist.

Zitat:

Zitat von Morice23

Achso, das war nur als Beispiel gemeint. War denn überhaupt ein Virus da? Oder waren die erfolgten Schritte zielführend?

Die Logdateien sehen gut aus. Die Schritte waren zielführend.








Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.