Hallo und Herzlichen Dank, dass Ihr hier über js adware revizer b berichtet. Leider ist es mir noch nicht gelungen, diese Bedrohung zu entfernen.

Malwarebytes und Eset Security finden nichts. Auch das Microsoft Windows-Tool zum Entfernen von bösartiger Software brachte keine Besserung.
Kann sich jemand bitte meinem Problem annehmen ? TS und Discord vorhanden.

Herzlichen Dank.

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Zitat von twitchuser

Hallo und Herzlichen Dank, dass Ihr hier über js adware revizer b berichtet. Leider ist es mir noch nicht gelungen, diese Bedrohung zu entfernen.

Malwarebytes und Eset Security finden nichts. Auch das Microsoft Windows-Tool zum Entfernen von bösartiger Software brachte keine Besserung.

Hat überhaupt irgend ein Programm diese Adware entdeckt? Wenn ja, bitte die Logdateien dazu posten.
Welche Probleme zeigen sich genau? Gibt es Probleme mit dem Internet Browser?

Zitat:

Zitat von twitchuser

Kann sich jemand bitte meinem Problem annehmen ? TS und Discord vorhanden.

Ich kann mich deinem Problem annehmen.

Wir helfen nicht per TS/Discord, sondern nur hier über das Forum (denn dafür ist es ja da).




Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?







Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste mir die FRST.txt und die Addition.txt in deinem Thema (#-Symbol im Eingabefenster der Webseite anklicken).

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias

https://i.imgur.com/CfMVSKm.png

Das ist die einzige Meldung die kommt, wenn ich eine Webseite aufrufe oder in Twitch unterwegs bin. Oder einen neuen Tab öffne und dort einen Link wie imgur eingebe.

Herzlichen Dank.

Zitat:

Zitat von twitchuser

https://i.imgur.com/CfMVSKm.png

Das ist die einzige Meldung die kommt, wenn ich eine Webseite aufrufe oder in Twitch unterwegs bin. Oder einen neuen Tab öffne und dort einen Link wie imgur eingebe.

Dass die Meldung von ESET, deinem AV-Programm, kommt, siehst du ja selbst.
Es könnte sich um einen Fehlalarm handeln oder Google Chrome bzw. dein Rechner ist infiziert und ESET erkennt die Malware lokal nicht auf deinem Rechner, warnt aber davor, weil Chrome eine Verbindung zu einer unerwünschten Seite aufbauen möchte.


Allerdings bin ich mir nicht ganz klar, welche Art von Hilfe du von mir jetzt erwartest , zumal du auf den zweiten Teil meines Postes nicht eingegangen bist.

Entweder du führst FRST wie in meinem letzten Post beschrieben aus und wir analysieren und ggf. bereinigen den Rechner nach meiner Anleitung oder eben nicht und dieses Thema ist damit beendet.
Das liegt ganz bei dir.

Zitat:

Zitat von M-K-D-B

zumal du auf den zweiten Teil meines Postes nicht eingegangen bist.

Verzeih mir bitte. Hab den zweiten Teil total übersehen.

Diese Meldung bekomme ich, wenn ich die Anwendung FRST starten möchte.

Der Computer wurde durch Windows geschützt
Von Windows Defender SmartScreen wurde der Start einer unbekannten App verhindert. Die Ausführung dieser App stellt u. U. ein Risiko für den PC dar.

Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.

https://www.trojaner-board.de/attachment.php?attachmentid=82419&stc=1&d=1555539352

https://www.trojaner-board.de/attachment.php?attachmentid=82420&stc=1&d=1555539368

Der Verdacht liegt nahe, dass eine deiner CHR-Erweiterungen die Probleme verursacht.







Schritt 1
Wie ich den Logdateien entnehmen kann, hast du bereits AdwCleaner ausgeführt.
Reiche mir bitte die Logatei von AdwCleaner nach (du sollst keinen neuen Suchlauf ausführen, sondern nur die alte Logdatei des Suchlaufs posten).

Zitat:

CHR Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\u-pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2019-04-04]
CHR Extension: (AdBlock) - C:\Users\u-pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2019-04-12]

Wie kommst du auf die sinnlose Idee, zwei Werbeblocker zu installieren? In AdBlock werden bestimmte Werbungen nicht blockiert, daher kann ich nur davon abraten.

Wenn du schon einen Werbeblocker installierst, solltest du wenigstens den besten nehmen:
uBlock origin








Schritt 2

• Starte Google Chrome.
• Gib oben in die Adresszeile chrome://extensions ein und drücke Enter
• Es werden alle Erweiterungen aufgelistet.
• Entferne die folgenden Erweiterungen, indem du auf Entfernen klickst:
  
  • The FFZ Add-On Pack
  • BetterTTV
  • FrankerFaceZ
  • Adblock Plus
  • AdBlock
• Bestätige mit Entfernen.
• Schließe Google Chrome.

Schritt 3

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CustomCLSID: HKU\S-1-5-21-807845029-2928975163-168087748-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\u-pc\AppData\Local\Microsoft\OneDrive\18.111.0603.0004\amd64\FileSyncShell64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-807845029-2928975163-168087748-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\u-pc\AppData\Local\Microsoft\OneDrive\18.111.0603.0004\amd64\FileSyncShell64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-807845029-2928975163-168087748-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\u-pc\AppData\Local\Microsoft\OneDrive\18.111.0603.0004\amd64\FileSyncShell64.dll => Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
  ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Keine Datei
  ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Keine Datei
  ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
  ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Keine Datei
  ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
  ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Keine Datei
  ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
  ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
  ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• eine Rückmeldung bezüglich der Entfernung der Chrome-Erweiterungen,
• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

eine Rückmeldung bezüglich der Entfernung der Chrome-Erweiterungen

Erweiterungen wurden entfernt

---------------------------------------------------------------------------------
Entferne die folgenden Erweiterungen, indem du auf Entfernen klickst:
The FFZ Add-On Pack
BetterTTV
FrankerFaceZ
Adblock Plus
AdBlock
---------------------------------------------------------------------------------

Bitte Chrome zurücksetzen.




Meldet ESET nun immer noch die Adware?

Hallo Matthias

Ich hätte gleich mitteilen sollen, dass das Problem mit der Meldung nach Ausführen des Schrittes 2, nicht mehr aufgetreten ist.

Google Chrome wurde nach dem Ausführen von Schritt 3, zurück gesetzt.

Herzlichen Dank für die Hilfe

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  DeleteQuarantine:
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.