Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Thema geschlossen
Alt 14.02.2021, 18:20   #1
Legendendear
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Unglücklich

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Guten Tag,

ich habe seit ein paar Tagen das Problem, dass Firefox Seiten nur noch sehr langsam lädt bzw überhaupt nicht (Ladevorgang wird nicht abgebrochen und es werden keine Fehlermeldungen angezeigt)
Während der Fehlersuche habe ich das oben im Titel beschriebene Problem festgestellt und die Zeitstempel korrelieren mit dem Zeitraum, in dem ich das Problem beobachte.

Ich bitte um eure Hilfe,
vielen Dank im Vorraus
Angehängte Dateien
Dateityp: txt FRST.txt (39,9 KB, 62x aufgerufen)
Dateityp: txt Addition.txt (47,0 KB, 59x aufgerufen)

Alt 14.02.2021, 20:40   #2
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________


Alt 14.02.2021, 20:50   #3
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Zitat:
durchgeführt von Matthias (ACHTUNG: der Benutzer ist kein Administrator) auf DESKTOP-VSCI5AO (14-02-2021 17:46:25)
Ohne Adminrechte wird das nichts. Gib diesem Nutzer bitte Adminrechte oder führe FRST immer mit "Rechtsklick > Als Administrator ausführen" aus.

Den FRST Suchlauf mit Adminrechten wiederholen, beide Logdateien erneut posten.
__________________

Alt 14.02.2021, 21:11   #4
Legendendear
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Hier die beiden Dokumente mit Adminrechten:
Angehängte Dateien
Dateityp: txt FRST.txt (40,1 KB, 58x aufgerufen)
Dateityp: txt Addition.txt (57,6 KB, 52x aufgerufen)

Alt 15.02.2021, 08:35   #5
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Gut gemacht.
Schritt 2 (Bereinigung) kann einige Minuten dauern, da ich eine Überprüfung der Systemdateien mit eingefügt habe, also bitte gedulde dich.






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
    • chip 1-click
    • OpenOffice Updater
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CloseProcesses:
    HKU\S-1-5-21-279853036-1918765482-2221373292-1001\...\Run: [OpenOffice Updater] => C:\Users\ADMIN\AppData\Roaming\OpenOffice Updater\Updater.exe [388544 2018-11-19] (Arne König -> ) <==== ACHTUNG
    C:\Users\ADMIN\AppData\Roaming\OpenOffice Updater
    HKU\S-1-5-21-279853036-1918765482-2221373292-1002\...\RunOnce: [Matthias] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('Matthias', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
    HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Environment: [Matthias] "powershell.exe"       -windowstyle hidden  -En "PAAjACAAZABtAGQAbwBxAGIAdgBrAGUAegAgACMAPgAkAHUAPQAkAGUAbgB2ADoAVQBzAGUAcgBOAGEAbQBlADsAZgBvAHIAIAAoACQAaQA9ADAAOwAkAGkAIAAtAGwAZQAgADEAMwAwADAAOwAkAGk (Der Dateneintrag hat 1249 mehr Zeichen). <==== ACHTUNG
    RegKey: [HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Software\Matthias] <==== ACHTUNG
    RegKey: [HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Software\Matthias1] <==== ACHTUNG
    S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
    S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
    S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\81.0.416.86\elevation_service.exe" [X]
    S2 Razer Game Scanner Service; "C:\Program Files (x86)\Razer\Razer Services\GSS\GameScannerService.exe" [X]
    CustomCLSID: HKU\S-1-5-21-279853036-1918765482-2221373292-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\ADMIN\AppData\Local\Microsoft\OneDrive\18.065.0329.0002\amd64\FileSyncShell64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-279853036-1918765482-2221373292-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\ADMIN\AppData\Local\Microsoft\OneDrive\18.065.0329.0002\amd64\FileSyncShell64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-279853036-1918765482-2221373292-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\ADMIN\AppData\Local\Microsoft\OneDrive\18.065.0329.0002\amd64\FileSyncShell64.dll => Keine Datei
    ShellIconOverlayIdentifiers: [    OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [    OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [    OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [    OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [    OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [    OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [    OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [    OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [    OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [    OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [    OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [    OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ContextMenuHandlers1_S-1-5-21-279853036-1918765482-2221373292-1002: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    ContextMenuHandlers4_S-1-5-21-279853036-1918765482-2221373292-1002: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    ContextMenuHandlers5_S-1-5-21-279853036-1918765482-2221373292-1002: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\dxkcmxzv.default-1613299799028\prefs.js
    CMD: type C:\Users\ADMIN\AppData\Roaming\awp_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
    CMD: reg query HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Software
    CMD: reg query HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Environment
    CMD: sfc /scannow
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    powershell: Set-MpPreference -DisableScanningNetworkFiles 0
    Hosts:
    RemoveProxy:
    SystemRestore: On 
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallationen
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)


Alt 15.02.2021, 12:36   #6
Legendendear
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



chip 1-click ließ sich problemlos entfernen, allerdings habe ich OpenOffice Updater nicht finden können, auch nicht als Prozess im Task Manager.

Fixlog war zu groß, musste ich leider als ZIP ordner hinzufügen...

Wenn ich Windows Viren und Bedrohungsschutz zurateziehe, so ist der Trojaner beseitigt und auch Firefox läuft wieder wie gewohnt, danke dafür. ^^

Wenn du mir die Frage erlaubst... welche Schritte waren nötig um die Infektion zu beseitigen?
Angehängte Dateien
Dateityp: txt FRST.txt (37,3 KB, 57x aufgerufen)
Dateityp: txt Addition.txt (49,6 KB, 57x aufgerufen)
Dateityp: zip Fixlog.zip (47,7 KB, 20x aufgerufen)

Geändert von Legendendear (15.02.2021 um 12:44 Uhr)

Alt 15.02.2021, 14:05   #7
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Zitat:
Zitat von Legendendear Beitrag anzeigen
(...) allerdings habe ich OpenOffice Updater nicht finden können, auch nicht als Prozess im Task Manager.
Auch deshalb sollten wir noch zwei Kontroll-Suchläufe starten.



Zitat:
Zitat von Legendendear Beitrag anzeigen
Wenn ich Windows Viren und Bedrohungsschutz zurateziehe, so ist der Trojaner beseitigt und auch Firefox läuft wieder wie gewohnt, danke dafür. ^^
Das hört sich doch schon mal gut an.



Zitat:
Zitat von Legendendear Beitrag anzeigen
Wenn du mir die Frage erlaubst... welche Schritte waren nötig um die Infektion zu beseitigen?
Die allermeisten AntiViren-/AntiMalwareprogramme entdecken diese Malware nicht, FRST schon. Damit konnten wir sie entfernen. Oder ist deine Frage anders gemeint?






Schritt 1
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von AdwCleaner
  • die Logdatei von MBAM

Alt 16.02.2021, 16:08   #8
Legendendear
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Hier die restlichen Logs.
Soweit ich es sehen kann, ist alles in Ordnung...
Aber wer weiß?

Zitat:
Die allermeisten AntiViren-/AntiMalwareprogramme entdecken diese Malware nicht, FRST schon. Damit konnten wir sie entfernen. Oder ist deine Frage anders gemeint?
Nun... Ich lerne gern neues und wenn du mir erklären kannst(auch auf die Gefahr hin, das ich nichts versteh...), was du FRST angewiesen hast oder wie man FRST Log Datei analysieren muss um den Fehler zu erkennen...
bin ich nächstes mal nicht auf Hilfe 3. angewiesen
Angehängte Dateien
Dateityp: txt AdwCleaner[C00].txt (2,0 KB, 54x aufgerufen)
Dateityp: txt AdwCleaner[S00].txt (1,9 KB, 52x aufgerufen)
Dateityp: txt MBAM Scan log.txt (1,4 KB, 42x aufgerufen)

Alt 16.02.2021, 17:21   #9
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Zitat:
Zitat von Legendendear Beitrag anzeigen
Nun... Ich lerne gern neues und wenn du mir erklären kannst(auch auf die Gefahr hin, das ich nichts versteh...), was du FRST angewiesen hast oder wie man FRST Log Datei analysieren muss um den Fehler zu erkennen...
bin ich nächstes mal nicht auf Hilfe 3. angewiesen
Ganz vereinfacht:

Speziell bei dieser Malware ("Gootkit") ist es so, dass es sich dabei um eine "dateilose" Schadsoftware handelt, d. h. dass sich der gesamte Code nicht in einer Datei, sondern in der Registrierungsdatenbank befindet.

Jede Malware benötigt einen Startpunkt, mit dem sie geladen wird. Das ist hier ein Autostart-Eintrag (RunOnce):
Zitat:
HKU\S-1-5-21-279853036-1918765482-2221373292-1002\...\RunOnce: [Matthias] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('Matthias', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
Für gewöhnlich zeigt der Startpunkt von Malware auf eine Datei, hier allerdings nicht, statddessen verweist der Wert auf die Umgebungsvariable "Matthias" (den hat die Malware angelegt) der aktuellen Nutzers:
Zitat:
HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Environment: [Matthias] "powershell.exe" -windowstyle hidden -En "PAAjACAAZABtAGQAbwBxAGIAdgBrAGUAegAgACMAPgAkAHUAPQAkAGUAbgB2ADoAVQBzAGUAcgBOAGEAbQBlADsAZgBvAHIAIAAoACQAaQA9ADAAOwAkAGkAIAAtAGwAZQAgADEAMwAwADAAOwAkA Gk (Der Dateneintrag hat 1249 mehr Zeichen). <==== ACHTUNG
Dort steht, dass die windowseigene Powershell-Anwendung weitere Befehle (die codiert sind) ausführen soll.
Decodiert man diese Befehle, führen einen diese zu den beiden folgenden Schlüsseln:
Zitat:
RegKey: [HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Software\Matthias] <==== ACHTUNG
RegKey: [HKU\S-1-5-21-279853036-1918765482-2221373292-1002\Software\Matthias1] <==== ACHTUNG
Dort steht drinnen, was die Malware macht.


Fazit:
Die Malware nutzt nur windowseigene Systemedateien und die Registry, um den Code in den Speicher zu bringen, daher wird sie von vielen Antivirenprogramme nicht erkannt.
FRST arbeitet allerdings anders. Es listet die oben erwähnten "Startpunkte" auf und markiert verdächtige Einträge mit "Achtung", was jedoch nicht automatisch heißt, dass alle Zeilen mit "Achtung" immer schädlich sind... diese Einträge sind es allerdings.

Eine Anleitung zu FRST (und wie man damit Dinge entfernen und scripten kann) findest du hier.

Jede Infektion ist allerdings einzigartig und sollte auch so behandelt werden, das gilt auch für "Gootkit". Eine 1:1 Reparatur von deinem System würde nicht bei deinem Nachbarn funktionieren.









Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.
Zitat:
Platform: Windows 10 Pro Version 1909
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle das Funktionsupdates aus, downloade und installiere es.
  • Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
    Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 18.02.2021, 14:41   #10
M-K-D-B
/// TB-Ausbilder
 
Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Standard

Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe
abgebrochen, angezeigt, appdata, bootvorgang, fehlermeldungen, festgestellt, firefox, folge, folgende, folgenden, guten, langsam, local, lädt, problem, seite, seiten, tagen, temp, titel, troja, trojaner, viren, virus, windows, überhaupt



Ähnliche Themen: Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe


  1. Windows Defender meldet andauernd Bedrohung TrojanDropper:Win64/Tnega!MSR C:\Users\Abdullah\AppData\Local\Temp\GetX64BTIT.exe
    Log-Analyse und Auswertung - 30.01.2021 (10)
  2. Windows 10: Malewarebyts hat folgenden Schädling gefunden APPDATA\LOCAL\TEMP\BIT925E.TMP
    Log-Analyse und Auswertung - 30.08.2020 (8)
  3. Windows 10 - Fehlermeldung Windows Skript Host: Die Skriptdatei „C:\Users\*Name*\AppData\Local\Temp\winlogon.vbs“ wurde nicht gefunden
    Log-Analyse und Auswertung - 14.04.2016 (24)
  4. Windows 7, Trojan.Injector.MSIL in C:\Users\ev\AppData\Local\Temp\DMR\dmr_72.exe durch Malwarebytes erkannt
    Log-Analyse und Auswertung - 11.01.2016 (13)
  5. TR/Agent.7375 in C:\Users\HerrTest\AppData\Local\Temp\nscA085.tmp\temp\5FT.zip
    Log-Analyse und Auswertung - 18.10.2015 (13)
  6. TR/BitCoinMiner.Gen und ander TR Viren in C:/User/Jannis/Appdata/Local/Temp/msupdate
    Log-Analyse und Auswertung - 08.10.2015 (13)
  7. WIN 7 / E-Mail-ZIP ausgeführt / KIS meldet Trojaner C:\Users\Büro\AppData\Local\Temp\Grade_born\grade-try.exe
    Log-Analyse und Auswertung - 13.06.2015 (28)
  8. Windows 7 Home Premium: Avira fand APPL/Solimba.Gen in C:\users...\AppData\Local\Temp\iGqm7kH.exe.part
    Log-Analyse und Auswertung - 15.04.2014 (9)
  9. C:\Users\AS8\AppData\Local\Temp\wgsdgsdgdsgsd.exe - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (12)
  10. C:\Users\User\AppData\Local\Temp\wgsdgsdgdsgsd.exe wurde nicht Gefunden - GVU Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (16)
  11. BKA Trojaner | C:\Users\~Name\AppData\Local\Temp\g7i0ol_kaz.exe
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (5)
  12. nach GVU Trojaner, jetzt folgende Fehlermeldung: AppData/local/Temp/roper0dun.exe
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (18)
  13. GVU-Trojaner mit Webcamfenster (C:\Users\***\Appdata\Local\Temp\0_0u-I.exe)
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (9)
  14. Avira findet TR/EyeStye.N.1213 unter C:\User\***\AppData\Local\Temp\203.temp
    Log-Analyse und Auswertung - 31.10.2011 (5)
  15. TR/Sirefef.A.31 in C:\Users\***\AppData\Local\Temp\06263bf.cpl und weitere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (13)
  16. C:\windows\system32\AppData\Local\Temp\Kg0.exe
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (9)
  17. Trojaner TR/Crypt.XPACK.Gen in C:\Users\***\AppData\Local\Temp\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (23)

Zum Thema Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe - Guten Tag, ich habe seit ein paar Tagen das Problem, dass Firefox Seiten nur noch sehr langsam lädt bzw überhaupt nicht (Ladevorgang wird nicht abgebrochen und es werden keine Fehlermeldungen - Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe...
Archiv
Du betrachtest: Windows 10 Viren und Bedrohungsschutz findet nach jedem Bootvorgang folgenden Trojaner: \AppData\Local\Temp\GetX64BTIT.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.