Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Thema geschlossen
Alt 11.02.2021, 13:53   #1
thomasduckek
 
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Standard

Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt



Guten Tag,
mein Sophos findet täglich "Mal/Generic-R erkannt in C:\Users\knapp\AppData\Local\Temp\GetX64BTIT.exe" und scheint auch erfolgreich zu bereinigen.

Leider erkennt der AV täglich ein und dieselbe Datei im TEMP Ordner erneut.

Bitte um eure Hilfe!

Vielen Dank !
Angehängte Dateien
Dateityp: txt Addition.txt (35,5 KB, 51x aufgerufen)
Dateityp: txt FRST.txt (36,7 KB, 30x aufgerufen)

Alt 11.02.2021, 15:31   #2
M-K-D-B
/// TB-Ausbilder
 
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Standard

Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________

__________________

Alt 11.02.2021, 15:41   #3
M-K-D-B
/// TB-Ausbilder
 
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Standard

Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt



Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
    • VLC Plus Player
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CloseProcesses:
    HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\...\RunOnce: [knapp] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('knapp', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
    HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\Environment: [knapp] "powershell.exe"        -windowstyle hidden  -En "PAAjACAAaABzAHgAZABoAGoAeABsAGoAbwBzACAAIwA+ACQAdQA9ACQAZQBuAHYAOgBVAHMAZQByAE4AYQBtAGUAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAANwAwADAAOwAkAG (Der Dateneintrag hat 1251 mehr Zeichen). <==== ACHTUNG
    RegKey: [HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\Software\knapp] <==== ACHTUNG
    RegKey: [HKU\S-1-5-21-2772184745-2159964609-1519968089-1190\Software\knapp1] <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    FF Plugin: @vlc.de/vlc,version=3.0.11 -> C:\Program Files\VLC Plus Player\npvlc.dll [Keine Datei]
    C:\Program Files\VLC Plus Player
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
    SearchScopes: HKU\S-1-5-21-2772184745-2159964609-1519968089-1190 -> DefaultScope {8BAC925C-44F1-42D7-8A8C-B25A53AA383F} URL = 
    SearchScopes: HKU\S-1-5-21-2772184745-2159964609-1519968089-1190 -> {8BAC925C-44F1-42D7-8A8C-B25A53AA383F} URL = 
    CMD: reg query HKCU\Software
    CMD: reg query HKCU\Environment
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    Hosts:
    RemoveProxy:
    SystemRestore: On 
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    ATTFilter
    SearchAll: VLC Plus Player;VLCPlusPlayer;Aller Media
             
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt4
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallation
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
__________________
__________________

Geändert von M-K-D-B (11.02.2021 um 15:48 Uhr)

Alt 12.02.2021, 15:24   #4
thomasduckek
 
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Standard

Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt



Guten Tag und vielen Dank für die erste Hilfe.

Die Deinstallation war nicht möglich, da der VLC Player nicht in der Systemsteuerung bei den Programmen oder Apps zu finden war.

Anbei die gewünschten Files:

VG
Thomas
Angehängte Dateien
Dateityp: txt Search.txt (11,3 KB, 15x aufgerufen)
Dateityp: txt Fixlog.txt (7,9 KB, 16x aufgerufen)
Dateityp: txt Addition.txt (33,4 KB, 15x aufgerufen)
Dateityp: txt FRST.txt (38,2 KB, 15x aufgerufen)

Alt 12.02.2021, 19:44   #5
M-K-D-B
/// TB-Ausbilder
 
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Standard

Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt



Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteValue: HKCU\Environment|aeaddefafeeaebecd
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DF2BBE39-40A8-433B-A279-073F48DA94B6}
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\VLCPP
    ContextMenuHandlers3: [ShellExt] -> {016EFC4B-2906-4687-B0AC-ACDF94097FEC} =>  -> Keine Datei
    ContextMenuHandlers6: [ShellExt] -> {016EFC4B-2906-4687-B0AC-ACDF94097FEC} =>  -> Keine Datei
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von RogueKiller


Alt 16.02.2021, 07:22   #6
M-K-D-B
/// TB-Ausbilder
 
Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Standard

Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt



Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!
__________________
--> Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt

Thema geschlossen

Themen zu Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt
.exe, appdata, bereinige, bereinigt, datei, dieselbe, erfolgreich, erkannt, erkenn, erkennt, getx64btit.exe, guten, hilfe, knapp, local, local\temp, ordner, schei, sophos, temp, temp ordner, täglich, users, windows, windows 10



Ähnliche Themen: Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt


  1. Trojan Dropper:Win64/Tnega!MSR GetX64BTIT.exe wurde gemeldet Win 10 20H2
    Log-Analyse und Auswertung - 12.02.2021 (10)
  2. TrojanDropper:Win64/Tnega!MSR und Trojan:Win32/Wacatac.D0!ml auf Windows 10 20H2
    Log-Analyse und Auswertung - 09.02.2021 (16)
  3. GetX64BTIT.exe von Windows Defender entdeckt aber bisher keine Probleme?
    Plagegeister aller Art und deren Bekämpfung - 07.02.2021 (9)
  4. Windows 10: Windows Defender findet beim PC start ein Trojan.dropper GetX64BTIT.exe
    Log-Analyse und Auswertung - 03.02.2021 (9)
  5. Windows 10: Habe mir den TrojanDropper:Win64/Tnega!MSR eingefangen (GetX64BTIT)
    Log-Analyse und Auswertung - 03.02.2021 (8)
  6. winpatrol zeigt msascuil.exe angezeigt (W10 20H2)
    Antiviren-, Firewall- und andere Schutzprogramme - 02.02.2021 (16)
  7. Windows Defender meldet andauernd Bedrohung TrojanDropper:Win64/Tnega!MSR C:\Users\Abdullah\AppData\Local\Temp\GetX64BTIT.exe
    Log-Analyse und Auswertung - 30.01.2021 (10)
  8. Win 10 - Avast findet täglich neue Viren, trotz Startzeitprüfung/löschen
    Log-Analyse und Auswertung - 15.05.2017 (26)
  9. Windows 10, MBAM findet täglich pup.optional.mindspark.generic
    Plagegeister aller Art und deren Bekämpfung - 13.10.2016 (13)
  10. Windows 7 will täglich updaten
    Alles rund um Windows - 07.06.2016 (3)
  11. Sophos Scan bricht ab - W32/DCmem-A muss vor dem Fortsetzen des Scan-Vorgangs bereinigt werden
    Antiviren-, Firewall- und andere Schutzprogramme - 24.06.2015 (18)
  12. Sophos findet mookie1.com - Infektion auf allen Webseiten
    Plagegeister aller Art und deren Bekämpfung - 16.06.2015 (6)
  13. Windows 8:PC langsamer; Viren müssen bereinigt werden
    Log-Analyse und Auswertung - 13.03.2015 (17)
  14. Windows 7; Malwarebytes findet täglich zw 150 und 200 infizierte Dateien
    Log-Analyse und Auswertung - 26.04.2014 (17)
  15. Antivir findet täglich TR/Patched.Ren.Gen!
    Plagegeister aller Art und deren Bekämpfung - 16.03.2014 (5)
  16. AntiVir findet täglich neue Viren/Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (20)
  17. Sophos findet W32/Rbot-BD nicht
    Plagegeister aller Art und deren Bekämpfung - 14.02.2008 (16)

Zum Thema Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt - Guten Tag, mein Sophos findet täglich "Mal/Generic-R erkannt in C:\Users\knapp\AppData\Local\Temp\GetX64BTIT.exe" und scheint auch erfolgreich zu bereinigen. Leider erkennt der AV täglich ein und dieselbe Datei im TEMP Ordner erneut. Bitte - Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt...
Archiv
Du betrachtest: Windows 10 (20H2): Sophos AV findet täglich getx64btit.exe und bereinigt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.