Trojaner-Board - Trojan.Multi.GenAutorunReg.a

Trojaner-Board (https://www.trojaner-board.de/)

- Mülltonne (https://www.trojaner-board.de/muelltonne/)

- - Trojan.Multi.GenAutorunReg.a (https://www.trojaner-board.de/198624-trojan-multi-genautorunreg-a.html)

Code:

RogueKiller Anti-Malware V14.4.0.0 (x64) [Apr  1 2020] (Free) von Adlice Software

Mail : https://adlice.com/contact/

Website : https://adlice.com/download/roguekiller/

Betriebssystem : Windows 8.1 (6.3.9600) 64 bits

Gestartet in : Normaler Modus

Benutzer : Sven Andreas [Administrator]

Gestartet von : C:\Users\Sven Andreas\Downloads\RogueKiller_portable64.exe

Signaturen : 20200414_084954, Treiber : Geladen

Modus : Standard-Scan, Scannen -- Datum : 2020/04/14 23:16:25 (Dauer : 00:50:54)
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> XX - Software

  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-2194139580-3168181565-154953947-1001\Software\OCS -- N/A -> Gefunden

>>>>>> XX - Uninstall

  [PUP.Gen1 (Potenziell bösartig)] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! SearchSet -- N/A -> Gefunden

>>>>>> O87 - Firewall

  [Suspicious.Path (Potenziell bösartig)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{F5A28C52-6025-47BB-B8B2-B02227D0AAD6} -- v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Users\Sven Andreas\AppData\Local\Temp\7zSA95D.tmp\SymNRT.exe|Name=Norton Removal Tool| (C:\Users\Sven Andreas\AppData\Local\Temp\7zSA95D.tmp\SymNRT.exe) (missing) -> Gefunden

  [Suspicious.Path (Potenziell bösartig)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D1DCAA17-28F6-464B-8390-1644A9AE3C2F} -- v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Users\Sven Andreas\AppData\Local\Temp\7zSA95D.tmp\SymNRT.exe|Name=Norton Removal Tool| (C:\Users\Sven Andreas\AppData\Local\Temp\7zSA95D.tmp\SymNRT.exe) (missing) -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[PUP.Gen1 (Potenziell bösartig)] (folder) YSearchUtil -- C:\Users\Sven Andreas\AppData\Local\YSearchUtil -> Gefunden

[PUP.Gen1 (Potenziell bösartig)] (folder) yset -- C:\Program Files (x86)\Yahoo!\yset -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> Chrome Config

  [PUM.SearchEngine (Potenziell bösartig)] default_search_provider_data.template_url_data.keyword (C:\Users\Sven Andreas\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences) -- ixquick.com -> Gefunden

sorry, ich weiss nicht wie das geht mit dem editor oder wo ich den finde.
kannst du mit dem was ich geschickt habe was anfangen?
der rouge killer hat auch ein paar schädlinge gefunden, bereinigt hab ich noch nix.
danke

//edit

code tags - so schwierig kann das nun echt nicht sein!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.

Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].

Setze den Curser zwischen die CODE-Tags und drücke STRG+V.

Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

//edit cosinus

Zitat:

Zitat von kazzumoto (Beitrag 1733398)

sorry, ich weiss nicht wie das geht mit dem editor oder wo ich den finde.

Also wirklich, es ist doch klipp und klar beschrieben wie das mit den CODE-Tags geht :kloppen: ist das so schwierig für dich einfache Anweisungen zu lesen und zu verstehen? Ich komm mir auch langsam veräppelt vor wenn mir jemand sagt er sei zu blond zwei Klammerausdrücke wie [code] und [/code] notfalls manuell abzutippen :balla:

Zur Kontrolle RogueKiller bitte wiederholen.

ich will dich bestimmt nicht veräppeln, aber ich hab den txt kopiert mit den tastenkombinationen. aber wenn ich dann strg+c drücke für die zwischenablage passiert nix und das rautesymbol ist auch nicht im editor zu sehen...

und diese klammern erscheinen auch nicht...

ich mach das jetzt so, dass ich den rouge killer nochmal laufen lasse und setze die code klammern dann separat und kopiere den text dazwischen..... wär das so korrekt?

wenn ich den text editor öffgne, steht oben nur Datei, Bearbeiten, Format, Ansicht, Und ?
weder das rautesymbol ist abgebildet, noch die Funktion Erweitert.....

OMG das ist wie Word oder Excel zu bedienen! :eek:
Man klickt das Symbol an und die Klammerausdrücke werden ins Textfeld gebeamt. Und notfalls tipp man manuell über die Tastatur selbst eben eckigae Klammer auf, dann CODE dann eckige Klammer zu - sagmal bekommst du den Rechner eigentlich ohne fremde Hilfe eingeschaltet und hochgefahren? :dummguck:

ich arbeite nie mit excel oder word....

mit excel kenn ich mich überhaupt nicht aus....

ach so, das textfeld hier,wo ich den txt eingeben muss ist der editor?
ich dachte das müsste ich eingeben.....jetzt hab ich das rautesymbol hier oben entdeckt.
ich versuchs nochmal......

Also mir wirds jetzt echt zu blöd. :balla:
Das war ein Vergleich wie einfach es ist eine Schrift zu formatieren, das ist nämlich dieselbe Vorgehensweise wie in jedem Textverarbeitungs- oder Tabellenkalkulationsprogramm und jetzt kommst du an und sagst du arbeitest nicht mit Excel. Hätte ich jetzt was anderes als Word oder Excel gesagt wäre bestimmt von dir gekommen, dass du das nicht kennst :headbang:

Man kann halt nicht jedem per Forum helfen. Dafür müssen elementare Grundkenntnisse vorhanden sein.

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 15.04.20

Scan-Zeit: 08:11

Protokolldatei: ea0d6aa8-7edf-11ea-b743-00ffaed1451f.json
 

-Softwaredaten-

Version: 4.1.0.56

Komponentenversion: 1.0.867

Version des Aktualisierungspakets: 1.0.22474

Lizenz: Testversion
 

-Systemdaten-

Betriebssystem: Windows 8.1

CPU: x64

Dateisystem: NTFS

Benutzer: System
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Zeitplaner

Ergebnis: Abgeschlossen

Gescannte Objekte: 257710

Erkannte Bedrohungen: 3

In die Quarantäne verschobene Bedrohungen: 0

Abgelaufene Zeit: 33 Min., 31 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 3

PUP.Optional.MindSpark.Generic, C:\USERS\SVEN ANDREAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_onlinemapfinder.dl.myway.com_0.localstorage, Keine Aktion durch Benutzer, 1809, 443124, 1.0.22474, , ame, 

PUP.Optional.MindSpark.Generic, C:\USERS\SVEN ANDREAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_onlinemapfinder.dl.myway.com_0.localstorage-journal, Keine Aktion durch Benutzer, 1809, 443124, 1.0.22474, , ame, 

Generic.Malware/Suspicious, C:\USERS\SVEN ANDREAS\DOWNLOADS\FREE31213YOUTUBETOMP3CONVERTER.EXE, Keine Aktion durch Benutzer, 0, 392686, 1.0.22474, , shuriken, 
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Jetzt bekommst du das hin und verkackst schon wieder komplett an anderer Stelle! :koch: Du solltest RogueKiller wiederholen, nicht Malwarebytes! Mit reichts jetzt!