Ich übernehme ab hier als Urlaubsvertretung.

Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Hallo deeprybka,

ich komme wohl erst wieder am Sonntag an den PC dran. Ich bitte um Geduld.

Grüße

Michael

Hallo deeprybka,

ich konnte heute nicht an das System. Morgen / Montag mein nächster Anlauf.

Grüße

Jack

OK.

Ich persönlich schätze die beiden Addons als Malware ein. In meinen Vorarbeiten sind diese trotz Google Chrome deinstallation wieder erschienen und der Anwender drückt, sobald die Addons nach Installationserlaubnis fragen, immer wieder fleissig auf installieren

http://abload.de/img/2016-08-2920_50_45-joo6kyj.png

Ich schätze irgendwo im System liegen noch die Installationsarchive in irgendwelche Google Chrome Addon Cache Ordnern. Laut meiner Rcherche und den Google Chrome Addon IDs führen die Ergebnisse zu Malware, besonders gut sichtbar an den urigen Update-URLs.

Gemeint sind diese Einträge aus dem FRST Log

Code: Alles auswählenAufklappen

ATTFilter

CHR Extension: (Ask Search) - C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaapdcjfaomkafnbpoclmfakjianjd [2016-08-20]
CHR Extension: (Bing) - C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2016-08-20]
         

Naja, Malware ist das aber keine.

Den Adwcleaner neu runterladen und die Funde auch löschen lassen:

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Ich bin immer noch misstrauisch, da die Einträge sich mit AdwCleaner nicht entfernen lassen. Zumindest die Registry Einträge kommen wieder nach dem Neustart - Ich hab die Anleitung genau ausgeführt und keine zweiten Suchlauf machen lassen.

Log

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v6.010 - Bericht erstellt am 30/08/2016 um 22:00:47
# Aktualisiert am 12/08/2016 von ToolsLib
# Datenbank : 2016-08-30.2 [Server]
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (X64)
# Benutzername : intell - INTELL-PC
# Gestartet von : C:\Users\intell\Downloads\AdwCleaner_6.010.exe
# Modus: Löschen
# Unterstützung : https://toolslib.net/forum



***** [ Dienste ] *****



***** [ Ordner ] *****

[-] Ordner gelöscht: C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd
[-] Ordner gelöscht: C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaapdcjfaomkafnbpoclmfakjianjd


***** [ Dateien ] *****

[-] Datei gelöscht: C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_fcfenmboojpjinhpgggodefccipikbpd_0.localstorage
[-] Datei gelöscht: C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_fcfenmboojpjinhpgggodefccipikbpd_0.localstorage-journal
[-] Datei gelöscht: C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_aaaaapdcjfaomkafnbpoclmfakjianjd_0.localstorage
[-] Datei gelöscht: C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_aaaaapdcjfaomkafnbpoclmfakjianjd_0.localstorage-journal


***** [ DLL ] *****



***** [ WMI ] *****



***** [ Verknüpfungen ] *****



***** [ Aufgabenplanung ] *****



***** [ Registrierungsdatenbank ] *****

[-] Schlüssel gelöscht: HKCU\Software\Google\Chrome\Extensions\fcfenmboojpjinhpgggodefccipikbpd
[-] Schlüssel gelöscht: [x64] HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaapdcjfaomkafnbpoclmfakjianjd
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaapdcjfaomkafnbpoclmfakjianjd


***** [ Browser ] *****

[-] [C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default] [extension] Gelöscht: aaaaapdcjfaomkafnbpoclmfakjianjd
[-] [C:\Users\intell\AppData\Local\Google\Chrome\User Data\Default] [extension] Gelöscht: fcfenmboojpjinhpgggodefccipikbpd


*************************

:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt
:: Proxy Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [2409 Bytes] - [30/08/2016 22:00:47]
C:\AdwCleaner\AdwCleaner[S0].txt - [1428 Bytes] - [20/08/2016 11:53:16]
C:\AdwCleaner\AdwCleaner[S1].txt - [2040 Bytes] - [22/08/2016 17:32:43]
C:\AdwCleaner\AdwCleaner[S2].txt - [2748 Bytes] - [30/08/2016 22:00:02]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [2701 Bytes] ##########
         

Die Frage ist, gibt es noch Probleme oder nicht. Und irrelevante Registryeinträge interessieren soweit nicht.
Dass hier eine Backup-Software läuft sollte auch nicht ignoriert werden. Alles schon erlebt, dass was gefixt wurde und die Software das zurückgespielt hat.

Zitat:

Zitat von deeprybka

Die Frage ist, gibt es noch Probleme oder nicht. Und irrelevante Registryeinträge interessieren soweit nicht.
Dass hier eine Backup-Software läuft sollte auch nicht ignoriert werden. Alles schon erlebt, dass was gefixt wurde und die Software das zurückgespielt hat.

Die Backup Software (Acronis True Image 2013) sichert nur einmal pro Woche und eine Wiederherstellung / Zurückspielen würde nur durch mein Zutun passieren.

Diese "irrelevante Registryeinträge" führen dazu, dass sich diese beiden (für mich) Malware-Teile wieder innerhalb von Google Chrom einnisten und wieder installieren. Der User wird gefragt, ob er der Installation von Addon xy zustimmt und zack sind wieder alle Einträge bei AdwCleaner wieder da.

Abgesehen von diesem Thema mit den Google Chrom Addons hat der PC keine Schmerzen. Trotzdem Danke soweit. Hast du noch eine Idee, wie ich diese Teile dauerhaft entfernt bekomme?

Grüße


Edit:

wenn ich solche Links als Update-Pfade sehe stellen sich mir die Nackenhaare hoch.

Code: Alles auswählenAufklappen

ATTFilter

https://mynamedomain.koko/00service/update2/crx
         

Diese und andere Ergebnisse erhalte ich, wenn ich nach der Google Chrome Addon ID suche.

Code: Alles auswählenAufklappen

ATTFilter

fcfenmboojpjinhpgggodefccipikbpd
aaaaapdcjfaomkafnbpoclmfakjianjd
         

Quelle: https://www.reasoncoresecurity.com/m...dc802042d.aspx
Quelle 2: https://www.reasoncoresecurity.com/a...3b7c28e01.aspx

Wenn Du schon so schlau bist und andere über Malware belehren kannst, dann wäre es noch interessant zu wissen, ob Chrome über einen googleaccount gesynct wird.
Wenn das nicht der Fall ist und chrome mit Revo deinstalliert wurde, dann sollte bei einer anschließenden Neuinstallation von Chrome auch alles passen.

Hallo Jürgen,

ich wollte dich nie über Malware belehren oder mir irgendetwas anmaßen. Nur dir mitteilen, wie ich die Sache aus meiner Perspektive betrachte und was ich dazu recherchiert habe als Quelle um gemeinsam das Problem zu lösen. Parallel zu diesem Post habe ich dir eine PN geschrieben.

Google Chrom war nie über einen Google-Account verbunden und auch nicht gesynct. Nachdem deinstallieren von Google Chrom und bereinigen mittels Revo scheint das Problem nun wohl behoben, es kommen nach der Neuinstallation keinerlei Addon Anfragen mehr.

Danke!