Windows 10: trojan:script/wacatac.h!ml - Fehlalarm? "Restviren" irgendwo im System?
 

Hallo Zusammen,

folgende Situation: Ich habe aus der Cloud eines Bekannten ein Programm heruntergeladen, was anscheinend infiziert war. Beim entpacken schlug der Windows Defender Alarm und zeigte 2 Dateien an, eine .exe und ein keygen. :kloppen:

Ja, ich weiß, solche Software ist verboten. Es ging ums ausprobieren im vollen Funktionsumfang. Ich benutze keine andere illegale Software.

Er erkannte folgenden Virus/Trojaner: trojan:script/wacatac.h!ml

Die Dateien wurden direkt entfernt, mitsamt Programm und allen anderen zugehörigen Dateien.
Die Dateien waren nur im Download Ordner und Papierkorb lokalisiert.

MBAM findet keine infizierten Dateien mehr.
adwcleaner ebenfalls.

Meine Sorge ist, dass der Virus sich noch irgendwo im Hintergrund aufhält. Man liest ja die wildesten Dinge über den im Internet.

Oder war der Defender etwas zimperlich?

Ich hoffe ihr könnt mir helfen. Log Daten von FRST sind dabei.


Mit freundlichen Grüßen

Naturjoghurt

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.




Finger weg von jeglicher illegaler Software, beim nächsten Mal kanns auch anders ausgehen und dein Rechner wird infiziert.

Der Windows Defender hat alles richtig gemacht.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-2888192890-3063177879-2109287110-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\alexi\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-2888192890-3063177879-2109287110-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\alexi\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Keine Datei
C:\Users\AllUserName\Downloads\R2R.zip
D:\R2R.zip
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Hallo Matthias, danke fürs Willkommen heißen und die schnelle Hilfe!

Ich habe die Schritte wie beschrieben ausgeführt und hier ist das Ergebnis.

Sehr gut gemacht.


Bitte eine Kontrolle mit SecurityCheck ausführen.


Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Gesagt, getan.

Schritt 1
Die folgenden Programme sind veraltet. Du solltest sie deinstallieren und die neueste Version installieren:

• Discord
• Java 8

Die Downloadlinks dazu findest du in der Logdatei von SecurityCheck.






Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Habe alles gemacht wie beschrieben, scheint auch funktioniert zu haben, nur wurde die logdatei leider nicht gespeichert.

Vielen Dank für die schnelle und kompetente Hilfe!

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.