Ist das System infiziert, Rettung noch möglich?

[Icewolf 8]

Meine Frau hat ein Zip Datei auf den Desktop geladen, bei übernehmen in die Quarantäne und diese einzusenden ist der Windows Explorer abgeschmiert! Seitdem zickt der Rechner. Ist noch eine Rettung möglich? EAM Scan wird nachgeliefert falls das noch funktioniert. Es geht um diese Malware >>> https://www.virustotal.com/de/file/0dd2c369816a22c313067349a91f96770702abb0324b57445ee1e2dc535b3765/analysis/1416765029/

[Icewolf 8]

Ich brauche meine Mühle täglich, es wäre sehr nett wenn sich noch jemand die Berichte anschaut, damit ich über den Zustand informiert werde. Ein EAM Scanbericht kann nicht erstellt werden, da das System jetzt immer einfriert!

[schrauber 30]

Hi,

 

das sieht auf den ersten Blick gar nicht so wild aus. Scheint als hängt da ein Avast Update fest. 3 RunOnce Einträge vom Updater. Bitte mal Avast komplett deinstallieren, dann neu installieren.

[schrauber 30]

Wenn das erledigt ist, und Du wieder einigermaßen normale arbeiten kannst (Tools starten), bitte das:

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.

  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )

  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

[Icewolf 8]

Hallo Thomas, vielen Dank für deine Hillfe ich habe das System in der Zwischenzeit auf den letzten Wiederherstellungspunkt zurückgesetzt, da es immer angestürzt ist. Nun konnten auch die Suchläufe durchgeführt werden. Anbei die Logfiles zusammengefasst in einer ZIP Datei.

[schrauber 30]

Hallo,

bitte mal Papierkorb und Temps leeren. hast Du spezielle Policies für Benutzer gesetzt?

[Icewolf 8]

Hi, den Papierkorb habe ich mit O&O sicher gelöscht und die tmp*. auch, ein neues FRST kommt noch. Nein die Policies habe ich nicht gesetzt, die sind mir aber auch schon aufgefallen.

[schrauber 30]

Ok, dann bitte das frische FRST log, dann nehmen wir die Policies noch raus.

[Icewolf 8]

Hallo Thomas, wofür sind denn die Policies? Denn in der Registry gibt es ja mehrere davon.

[schrauber 30]

Hallo,

Policies gibt es "tausende". In dem Fall:

 

GroupPolicyUsers\S-1-5-21-1011398583-3045841654-2731531067-1005\User: Group Policy restriction detected <======= ATTENTION
GroupPolicyUsers\S-1-5-21-1011398583-3045841654-2731531067-1004\User: Group Policy restriction detected <======= ATTENTION
 

Beschränkungen in irgend einer Form auf zwei spezielle Benutzerkonten. In den meisten Fällen ist es aber auch einfach ne Fehlerkennung oder fehlerhafte Verarbeitung von Infos durch FRST

[Icewolf 8]

Hallo Thomas, ich habe Zeitlimits gesetzt, könnte evtl. daran liegen. Dann belassen wir das jetzt so. Ich werde das System bei Gelegenheit neu aufsetzen, ist mir sicherer. Vielen für deine Unterstützung 

[schrauber 30]

ok

[schrauber 30]

Dieses Thema scheint erledigt und wird geschlossen.

Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.