Malwarebyte - Ransomwareschutz wird laufend ohne mein zutun deaktiviert
 

Hallo Leute,

nachdem ihr mir vor 10 Jahren schonmal geholfen habt, habe ich mir eine lebenslange Malwarebytes Lizenz gegnönnt.

Nun habe ich auf meinem System mit Windows 11 (226211) ein Problem. Mein Malwarebytes (zuletzt heute aktualisiert - 4.6.4.286) deaktiviert immer wieder den Ransomwareschutz ohne mein zutun. Ich bekomme immer wieder die Meldung mit, dass der Schutz deaktiviert ist und drehe den Schutz wieder auf, manchmal bemerke ich die Meldung aber vielleicht nicht. Ich vermute, dass irgendein Schädling den Schutz von sich aus deaktiviert.

Ganz offen: Habe ich eine Ahnung, wie ich mir das Problem eingetreten haben könnte? Ganz offen: ja - durch eine einmalige schwachsinnige Aktion. Habe ich die Ursache/das Programm wieder deinstalliert? Ja. Alle 10 Jahre muss ich mich offenbar wie ein Idiot verhalten um es auf die harte Tour zu lernen. Ich hoffe ihr möchtet mir trotzdem helfen.

Falls ja, vielen Dank schonmal.

Grüße, Daniel

:hallo:




Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.






Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool (FRST) auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte FRST.
• Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
• Klicke auf Ja, um fortzufahren.
• Klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste uns die zwei Logdateien ( FRST.txt und Addition.txt ) in deinem Thema.

Hallo Matthias,

vielen Dank, dass Du mir hilfst. Ich habe die Schritte durchgeführt und die Dateien angehängt.

Grüße, Daniel

Ich sehe keine aktive Malware in den Logdateien. :)

Wenn du magst, können wir aber verwaiste Einträge entfernen, temporäre Speicherorte leeren und die Systemdateien auf Fehler überprüfen.
Außerdem können wir mit ein paar Tools das System überprüfen.
Gib Bescheid, wenn du Interesse daran hast.




Was genau hast du installiert/ausgeführt und dann wieder deinstalliert?
Wann genau war das (Datum)? Seit wann hast du also das beschriebene Problem?

Hast du schon Malwarebytes' Anti-Malware deinstalliert, das Sytem neu gestartet und dann das Programm neu installiert?

Ja, das würde ich gerne in Anspruch nehmen.

Ich habe mit Baldurs Gate 3 mit Crack heruntergealden um zu sehen ob mich das Spiel interessiert und es dann zu kaufen. Es hat sich herausgestellt, dass es nicht so ist. Wie alle anderen Spiele auch. Ich bin zu alt zum zocken, aber die Nostalgie hat mich gepackt.

Irgendwann danach ist mir aufgefallen, dass sich der Ransomwareschutz von Malwarebytes immer wieder einmal ausschaltet (bzw. hab ich die Benachrichtigung gesehen). Das war auf jeden Fall nach der Installation von Baldurs Gate.

Ich würde gerne Deine Hilfe in Anpruch nehmen um alles zu bereinigen. Wenn ich mit dem Thema schon begonnen habe, zieh ich das jetzt auch durch, wenn Du Dir die Zeit nimmst. Wenn Du der Meinung bist das ergänzend zu Malwarebytes Antimalware auch weitere Sicherheitssoftware sinn macht, lege ich mir die auch zu. Aber das Abo dürfte nicht zu teuer sein bzw. im Idealfall ist es ein Einzelkauf.

Vielen Dank für Deine Hilfe, Daniel

Meine Frage von vorhin hast du überlesen:
Eventuell kannst du so das Problem mit dem Ransomwareschutz beheben.





Führe bitte die folgende Reparatur mit FRST aus.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-910225107-2989576576-4175345234-1001\...\Run: [606ba22cbf04c325e033981c7c38631c] => "C:\Program Files\DVDFab\Photo Enhancer AI\liveUpdate.exe" --run_mode=background_check (Keine Datei)
HKU\S-1-5-21-910225107-2989576576-4175345234-1001\...\Run: [MicrosoftEdgeAutoLaunch_E0359248083FDB44B7852C7D3585D0D2] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4187088 2023-10-18] (Microsoft Corporation -> Microsoft Corporation)
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Erledigt, wie gehts weiter? :-)

Gut gemacht.



Ein wichtiger Schritt ist es, die von dir bereits zweimal überlesene Frage zu beantworten... ;)




Meine Frage von vorhin hast du überlesen:
Eventuell kannst du so das Problem mit dem Ransomwareschutz beheben.

Oh. Entschuldigung. Ich möchte jetzt nicht behauptem, dass ich nach 23 Uhr vielleicht schon ein Bier zu viel hatte, dementieren will ich es aber auch nicht :pfeiff:

Ich hab das jetzt gemacht (deinstalliert, Neustart, installier) und vielleicht hilft das ja, mein Problem zu beheben. Ich bin aber schon erleichtert, dass ich mir keinen Schädling eingetreten habe.

Vielen Dank für die Hilfe und schönen Sonntagabend noch.

Grüße aus Wien, Daniel

Gut. Bitte noch ESET und Securitycheck ausführen.

Und bitte beobachten, ob der Ransomwareschutz immer noch deaktiviert wird.





Schritt 1
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Ah, es geht noch weiter. Na dann :-)

Schritt 1
Überprüfe dein System auf fehlende Windows Updates.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
• Wähle alle angebotenen Kumulativen Updates bzw. Funktionsupdates aus, downloade und installiere sie.
• Starte den Rechner zum Abschluss neu.
• Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.

Schritt 2
Die folgenden Programme sind veraltet. Du solltest sie deinstallieren und die neueste Version installieren:
Von JDownloader kann ich nur abraten.








Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hi Matthias,

Winows Updates wurden keine angeboten. Ich habe viel der bemängelten Software desintalliert ider geupdated. Nur bei Discord und Signal war das nicht möglich, die machen das aber normalerweise vonb alleine, also hoffe ich das passt. Auf JDownoader kann ich nicht verzichten, aber ich werde es künftig vermutlich in einer Sandbox laufen lassen.

Der Donwloadlink zu KpRm hat leider nicht funktioniert, vielleicht möchtest Du Dir das einmal ansehen. Es steht, das der Download gleich startet es passiert aber nichts. Dann verschwindet der Hinweis. Auch der kurzzeitig Sichtbare Link zum Download führt ins leere.

Ich bedanke mich ganz herzlich für Deine Hilfe.

Letztes mal wurde ich (glaube ich) um eine kleine Spende gebeten und bin der Bitte nachgekommen. Ist das immer noch so?

lg, Daniel

Danke für den Hinweis. Ich frage dort mal nach.
Hier kannst du das Tool auch downloaden.



Eine Spende dient zur Erhaltung des Forums. Vielen Dank dafür.





Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.