mein Windows 10 Rechner wirkt ab und an wie ferngesteuert
 

Ich habe das Phänomen auf meinem PC dass plötzlich wie bei einer erlaubten Fernsteuerung der Mauszeiger sich kontrolliert ferngesteuert bewegt und dabei Fenster minimiert, Microsoft Anmeldeinfos öffnet, Dateiverknüpfungen kopiert bzw. löscht oder verschoben werden. Man kann regelrecht zusehen wie jemand wild herumklickt. Erst das abziehen meinen iPhones 8 am USB Stecker hat dazu beigetragen dass die Fernsteuerung plötzlich beendet war. Das abziehen der Kabelmaus hatte nichts gebracht. Diese plötzlich auftretenden fremdgesteuerten Fernsteuerungen meines PC ohne Erlaubnis wird zu meiner Verwunderung auch noch ohne WLAN Verbindung aufrechterhalten.
Ich habe unter anderem den PC zurück gesetzt mit der Option, dass die Daten behalten werden. Diese Fernsteuerung trat dennoch wiederholt auf mit dem besagten Klick- und Bewegungsverhalten. Verschiedene Antimalware Programme habe Ich installiert und das System gescannt. Die Programme finden keinen Befall mit einer Ausnahme des Spyware112TerminatorSetup.exe die Ich mir zum scannen heruntergeladen hatte.

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.





Mit diesem eingeschränkten Benutzer kommen wir so nicht weiter, er hat keine Adminrechte.


Kopiere FRST direkt auf das Laufwerk C:\ und führe das Tool dieses Mal bitte vom Adminkonto "Juliane" vom Pfad C:\FRST64.exe aus.
Oder du gibst dem eingeschränkten Konto Adminrechte.



Welches Programme hast du installiert und ausgeführt?
Was hat SpywareTerminator gefunden? Bitte die Logdatei dazu nachreichen.

Ich habe die FRST64.exe mit Admin Rechten ausgeführt.

Ich habe Malwarebytes McAfee und den Windows Windows Defender auf dem PC installiert.
Ich finde die Logdateien nicht.

Gut gemacht. :)



Führe bitte den folgenden FRST-Fix mit Adminrechten aus.

Wir entfernen verwaiste Einträge und reparieren Windows-Systemdateien.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2098711848-422600557-2982094552-1001\...\Run: [MicrosoftEdgeAutoLaunch_A91327C76CF05D4CE64D3297690AFB78] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4113824 2023-06-15] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-2098711848-422600557-2982094552-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Roland Ruhnau\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Roland Ruhnau\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1001\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Roland Ruhnau\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1001\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Roland Ruhnau\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1003\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Juliane\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Juliane\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1003\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Juliane\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" (Keine Datei)
HKU\S-1-5-21-2098711848-422600557-2982094552-1003\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Juliane\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" (Keine Datei)
Task: {03604884-FDB0-4985-ACEA-75E302940DF3} - \McAfee\McAfee Idle Detection Task -> Keine Datei <==== ACHTUNG
Task: {071A0CAF-202C-479A-842A-14246E469140} - \Microsoft\Windows\UpdateOrchestrator\USO_Broker_Display -> Keine Datei <==== ACHTUNG
Task: {275EA5D5-98F0-4DCB-BF8F-D4720D3E97DD} - \McAfee\McAfee Auto Maintenance Task Agent -> Keine Datei <==== ACHTUNG
Task: {2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask -> Keine Datei <==== ACHTUNG
Task: {6ECC17BA-2F21-4D1D-A937-AF5B7E29ED7A} - \Microsoft\Windows\UpdateOrchestrator\Reboot -> Keine Datei <==== ACHTUNG
Task: {77F76F9A-417C-4597-A7B6-7309E1E1E11C} - \Hewlett-Packard\HP Support Assistant\Opt-in For HP Support Assistant Quick Start -> Keine Datei <==== ACHTUNG
Task: {7FDB885A-3623-4252-8EDA-8CDCE8F3736F} - \OneDrive Standalone Update Task v2 -> Keine Datei <==== ACHTUNG
Task: {88A6FD0A-1E9E-48EA-8574-629C6CC6A26E} - \HPJumpStartLaunch -> Keine Datei <==== ACHTUNG
Task: {99B7EED9-8F5D-4006-8003-29C58DC0D4CD} - \Hewlett-Packard\HP Support Assistant\Product Configurator -> Keine Datei <==== ACHTUNG
Task: {B4DCBAAA-80B9-474B-BA24-51C55A4B9ACD} - \Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start -> Keine Datei <==== ACHTUNG
Task: {B6E67297-4E2A-4BAB-9C4A-63B62EDBF591} - \Microsoft\Windows\Management\Provisioning\PostResetBoot -> Keine Datei <==== ACHTUNG
Task: {BCFCD795-798C-4D3C-8D09-DA6A8D2EDCCF} - \McAfee\DAD.Execute.Updates -> Keine Datei <==== ACHTUNG
Task: {C2098BE2-A29A-4EB1-97F6-F0C57E086D4F} - \Microsoft\Windows\Speech\HeadsetButtonPress -> Keine Datei <==== ACHTUNG
Task: {C48D50E5-71A9-48D8-B7C1-3DA9AECBDEC3} - \Microsoft\Windows\WindowsUpdate\sih -> Keine Datei <==== ACHTUNG
Task: {CD09F284-307D-498F-92AF-73420CA3B030} - \McAfeeLogon -> Keine Datei <==== ACHTUNG
Task: {DB015B81-4733-4E89-A38A-5C4253F5AF1D} - \HPAudioSwitch -> Keine Datei <==== ACHTUNG
Task: {DEFC9D68-5369-43F1-B1EE-0951674BCC14} - \HPEA3JOBS -> Keine Datei <==== ACHTUNG
U3 aspnet_state; kein ImagePath
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.
• FRST erstellt eine Zip-Datei mit dem Muster Datum_Uhrzeit.zip auf dem Desktop, zum Beispiel 20.02.2023_11.33.52.zip.
  Bitte füge diese Datei mit deiner nächsten Antwort als Anhang hinzu.

Die Logdatei füge Ich ein.

Die Datei mit dem Datum und der Uhrzeit kann Ich nicht finden.

Alles klar, danke für die Logdatei.
Eine .zip Datei wurde nicht erstellt, passt schon.


Bitte als Nächstes ESET durchlaufen lassen.



Schritt 1
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Bitte, gerne.
Gut.

Ich habe die Log Datei von ESET gepostet.

Wondershare hatte Ich eigentlich von meinem PC wieder deinstalliert vor dem zurücksetzten. Da die Ergebnisse nicht so gut waren. Und nach dem zurücksetzten auch nicht mehr installiert. Auch das war ungewöhnlich: Wondershare hatte trotz Deinstallation noch einen Dienst auf meinem Computer aktiv hinterlassen der nach dem zurücksetzten verschwunden ist.

Ich benutze jetzt Online den vocalremover.org um die Stimme aus meinem gekauften mp3 Dateien raus zu schneiden, der vocalremover nutzt AI und die Ergebnisse sind brauchbarer. Die bearbeitete Datei, kann Ich nachdem die Stimme entfernt wurde, einfach herunterladen. Auf mich wirkte die Website seriös. Ich hoffe sie ist es auch. Daher brauche Ich Wondershare nicht.

Danke für die Infos und die Logdatei.


Bitte zur Kontrolle nun FRST und SecurityCheck ausführen.





Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.





Bitte poste mit deiner nächsten Antwort:

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
• die Logdatei von SecurityCheck

Gut, Ich habe die Logs erstellt.

Vollständigkeitshalber: Ich hatte vor ca. einem Monat das Problem, dass Ich meine selbst gescannten Dokumente nicht mehr öffnen und bearbeiten konnte. Mir fehlten die Rechte. Außerdem erhielt Ich mehrere Phishing Mails (BKA Kinderporno) und eine SMS (ein angebliches Paket sei beim Zoll) mit meiner Adresse und meinem Namen die durch den Microsoft Email Filter gingen. Hier hat jemand meine Handynummer, mein Adresse und meinen Namen bereits ausgespäht. In mehreren Online Foren wurde geraten einmal das System zu scannen. Das tat ich. Daraufhin ist mir aufgefallen, dass der Antivirenscanner seit sehr langer Zeit nicht mehr gelaufen ist. Da Microsoft und heise empfohlen hatten nur den Microsoft Windows Defender auf einem Windows 10 System zu benutzen, hatte Ich auch nur den benutzt in der Hoffnung das dieser vollautomatisch für Schutz sorgt. Ich hatte dann meine Windows Defender vollständig scannen lassen und vier schwerwiegende Viren gefunden. Ein Virus war in der vlc.exe. Den VLC hatte Ich irgendwann runtergeladen und dann wieder deinstalliert. Und einen Virus im Lonely Planet eBook für Nicaragua. Daraufhin habe Ich mein Backup gescannt und einen weiteren neuen Virus in zwei Lonely Planet eBooks gefunden. Ich habe dann die Viren gelöscht und der PC lief erst einmal scheinbar wieder reibungslos. Die nicht mehr benötigten eBooks löschte Ich auch. Bis zu dem Zeitpunkt als dann nach längerer Zeit dieses Fernsteuerungsphänomen auftrat. Mehrere verschiedene kostenlose Antivirenprogramme (AVAST, AVIRA, Bitdefender, AVG Internet Security) haben nichts gefunden. Nachdem nun mehreren Beiträgen im Internet rieten den PC zurücksetzen und die Daten zu behalten, habe Ich das ausprobiert. Das hat leider auch nichts gebracht, da am Abend nach der Neuinstallation die Fernsteuerung wieder los ging. Ich hatte zuvor mein gekaufte mp3 Datei bei vocalremover.org bearbeitet und als Musikversion gedownloadet.

Windows Defender hat bei der Schnellüberprüfung folgende Bedrohung gefunden PUA:Win32/CrawlerToolbar.

Vielen Dank für die nachgelieferten Informationen und die Logdateien.

In den Logdateien ist keine aktive Malware zu erkennen.
"PUA:Win32/CrawlerToolbar" ist von SpywareTerminator, welche selbst als unerwünschtes Programme von Windows Defender erkannt wurde. Ist jetzt aber nicht schädlich/gefährlich.
Ich an deiner Stelle würde aber von SpywareTerminator die Finger lassen.


Aufgrund aller Informationen tippe ich persönlich hier auf ein Hardware- oder Treiberproblem, ggf. mit Restauswirkungen von einer früheren Infektion.



Um ganz sicher zu gehen, empfehle ich eine saubere Neuinstallation mit Formatierung aller Laufwerke. Zuvor aber alle privaten Daten sichern (Dokumente, Bilder, aber keine ausführbaren Dateien).
Anschließend solltest du alle Zugangsdaten (Email, Online-Shopping, Online-Banking, Social Media, etc.) ändern.

Solltest du direkt nach der Neuinstallation wieder Probleme wie "Fernsteuerung" feststellen, kannst du von einem Hardwaredefekt ausgehen, denn Malware kann ja dann keine mehr auf dem System sein. Dann müsstest du dich an ein Geschäft vor Ort wenden.

Für die Zeit nach der Neuinstallation:

Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Ich würde den PC gerne neu aufsetzen, das wird jedoch noch Zeit in Anspruch nehmen.

Ich habe noch einen Ubuntu Laptop, sollte Ich den Stick von dem Rechner aus machen oder kann Ich den Windows Rechner benutzen?

Ich habe zwei Festplatten mit Laufwerk C: worauf Windows und Daten sind, Laufwerk D: auf dem Daten sind und Laufwerk E: für Recovery worauf ausdrücklich steht dass man es nicht löschen soll. Sollen trotzdem alle Laufwerke formatiert werden bei der Neuinstallation?

Wenn du ganz ganz sicher gehen willst, kannst du den Ubuntu nehmen.
Ich wüsste aber nicht, wieso es beim Windows Rechner zu Problemen kommen sollte.



Man formatiert alle Laufwerke. Bei der Neuinstallation wird u. a. wieder eine Recovery-Partition angelegt.

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.