Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[SLE]

Besserer Vorschlag von dir für betroffenen ONU der kein aktuelles Systembackup hat?
Und: es funktioniert wenn man Malwarebytes als "Bereiniger" installiert hat(mit nicht zu alten Signaturen).

Ja, aber der ist leider komplizierter. Oft genug entfernt nämlich MBAM nur einen Teil (den Ursprung) und bleibt dann blind. (soviel zu es funktioniert)
Dann gilt es nämlich mal ein paar gescheite Logs anzufertigen (AVZ/OTL) und in speziellen Foren vorstellig zu werden.

[simracer]

Ja, aber der ist leider komplizierter. Oft genug entfernt nämlich MBAM nur einen Teil (den Ursprung) und bleibt dann blind. (soviel zu es funktioniert)

Dann hatte ich ja bis jetzt mit Malwarebytes Glück. Oder wie erklärst du dann das es immer Infektionen an den gleichen Orten waren und andere Scanner wie Emergency Kit oder Kaspersky Rescue Disk nach den Scans mit Malwarebytes nichts mehr fanden?
Es waren(laut Malwarebytes)immer solche Fundorte:

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\skype.dat (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\xxxxxxxx\desktop\animal-sex-video.avi.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.

Beziehungsweise: manchmal fehlte auch schon die letzte Infizierung bei einem Malwarebytes Scan(Desktop)weil das File auf dem Desktop(ich hab mir die Files immer auf das Desktop kopiert)vom Virenschutz Programm in dessen Qurantäne verschoben wurde bei dessen Ausführung.

[SLE]

Dann hatte ich ja bis jetzt mit Malwarebytes Glück. Oder wie erklärst du dann das es immer Infektionen an den gleichen Orten waren ...

Weil man Startupentries nicht an beliebigen Orten anlegen kann. Die bestehen i.d.R. immer aus einem Regeintrag (hier Winlogon...soll ja gleich beim Booten kommen) und einem File in den Anwendungsdaten das dadurch gestartet wird. Der Dropper auf dem Desktop (wenn die Infektion wie hier über direktes Dateistarten geschieht) löscht sich auch gern mal selbst nach der Ausführung. Diese Aktionen sollte jeder BB erkennen - und müsste es auch.

Zeigt aber alles nur, dass du bisher mit den harmlosesten Spielzeugvarianten dieser Dinger experimentiert hast (die es oft über den Link dieses Topics gibt)Die kann man auch "per Hand" entfernen (siehe z.B. Sempervideo). Es gibt und gab aber eben auch weitaus komplexere die noch mehr Unfug machen: Systemdateien verbiegen, Sachen nachladen, Dateien verschlüsseln. Und das sind genau die Sachen wo MWb a.) oft versagt und b.) ein Löschen nur bestimmter Dateien über MWB eine Desinfektion sogar unmöglich machen kann.

und andere Scanner wie Emergency Kit oder Kaspersky Rescue Disk nach den Scans mit Malwarebytes nichts mehr fanden?

Dies war und ist aber noch nie ein gutes Vorgehen gewesen um eine Infektion bzw. den Umfang oder Reste dieser festzustellen.

[simracer]

Zeigt aber alles nur, dass du bisher mit den harmlosesten Spielzeugvarianten dieser Dinger experimentiert hast (die es oft über den Link dieses Topics gibt)

Hab ich(dir)ja auch immer geschrieben bzw erwähnt das es die Files waren aus den Links von blueX zu Anfang des Threads

Es gibt und gab aber eben auch weitaus komplexere die noch mehr Unfug machen: Systemdateien verbiegen, Sachen nachladen, Dateien verschlüsseln. Und das sind genau die Sachen wo MWb a.) oft versagt und b.) ein Löschen nur bestimmter Dateien über MWB eine Desinfektion sogar unmöglich machen kann.

Das will ich ja gar nicht bestreiten SLE und bei denen "Kalibern" ist es dann besser wenn man sich hilfesuchend an Spezialisten wie das Trojaner Board zum Beispiel wendet, einen PC Fachmann zur Hand hat oder aber wenn man ein sauberes Systembackup/image hat.

[Gast_blueX_*]

Abschließend zur Kenntnis:
Die URLs sind zwischenzeitlich nicht mehr erreichbar.

Ich denke, da hat jemand bemerkt, dass die URLs von einigen AVs überwacht werden.