Hallo zusammen,

ich bin Neuling bei diesem Thema und befolge ausdrücklich euren Rat, nicht blind die selben Schritte zu befolgen, die ich schon in einem anderen Post gefunden habe.

Ich nutze bisher den kostenfreien Virenscanner von Avira und erhalte seit einiger Zeit einen Sicherheitshinweis mit Hinweis auf "TR/AD.FireHooke.BU". Avira gibt an, dass diese Datei in Quarantäne verschoben sei, nach jedem Windowsstart ploppt die Meldung allerdings erneut auf.

Bei einem anschließenden ausführlichen Scan gibt es dann keinen Hinweis mehr Ich habe daher über das Tool FRST die Dateien FRST.txt und Addition.txt erzeugt.

Vielen Dank schonmal vorab!!

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Bitte poste die beiden Logdateien von FRST, dann sehen wir weiter.

Hallo Matthias, Danke, dass du mir helfen willst. Die Datei war offenbar zu groß für den Upload, daher habe ich sie aufteilen müssen.

Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Avira Security
  • Web Companion
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  C:\ProgramData\Package Cache\{60406651-D8FF-403B-AEF1-D02A47B6DF66}
  Task: {E51AE89D-81C4-4721-9A6A-366729339A8C} - System32\Tasks\Broker Fax NSI => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{60406651-D8FF-403B-AEF1-D02A47B6DF66}\{C41B0814-29D7-49D7-BFD3-1B8C2D4ACD69}" <==== ACHTUNG
  HKLM\...\Run: [] => [X]
  HKLM-x32\...\Run: [] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
  HKU\S-1-5-21-4033890031-1030331758-904151539-1001\...\Run: [] => [X]
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
  C:\Program Files (x86)\nodejs
  DeleteKey: HKLM\SOFTWARE\Node.js
  DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
  DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
  DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
  DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
  DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
  DeleteKey: HKU\.DEFAULT\Software\Node.js
  DeleteKey: HKCU\SOFTWARE\Node.js
  DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
  DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
  DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
  DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
  FF Homepage: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
  FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
  FF NewTab: Mozilla\Firefox\Profiles\1g9bnzyi.default-release -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
  C:\Users\torst\AppData\Roaming\822f02e4-9e9a-4077-a765-71edfca16ad0
  Folder: C:\Users\torst\AppData\Roaming\23023
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  Hosts:
  RemoveProxy:
  SystemRestore: On
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,

die Deinstallation hat ohne Probleme funktioniert und die gewünschten Dateien habe ich angefügt. Wie vorher schon musste ich die frst.txt aufteilen.

Danke und viele Grüße

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  C:\Users\torst\AppData\Roaming\23023
  HKU\S-1-5-21-4033890031-1030331758-904151539-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/?pc=COS2&ptag=D061720-AB5E7204335A1488EBDF&form=CONMHP&conlogo=CT3331977
  SearchScopes: HKU\S-1-5-21-4033890031-1030331758-904151539-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?pc=COS2&ptag=D061720-N0700AB5E7204335A1488EBDF&form=CONBDF&conlogo=CT3331977&q={searchTerms}
  IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
  IE trusted site: HKU\S-1-5-21-4033890031-1030331758-904151539-1001\...\webcompanion.com -> hxxp://webcompanion.com
  C:\WINDOWS\Installer\{276A8E0F-7CB7-4E6B-BCFF-85F1F4D432CB}
  Task: {0EC8FB9A-90EE-42A8-92CD-83BDA43F6AC8} - System32\Tasks\ApplicationCompatibilityauf => C:\Program Files (x86)\nodejs\node.exe -> C:\WINDOWS\Installer\{276A8E0F-7CB7-4E6B-BCFF-85F1F4D432CB}\{4DE91BE9-BB56-469C-AFBF-70D5615531E8} <==== ACHTUNG
  HKU\S-1-5-21-4033890031-1030331758-904151539-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
  C:\Program Files (x86)\Lavasoft
  GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
  FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\user.js [2020-06-17]
  FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
  FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\Extensions\abs@avira.com.xpi [2020-05-28]
  FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\user.js [2020-11-01]
  FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\Extensions\abs@avira.com.xpi [2020-10-25]
  FF HKLM\...\Firefox\Extensions: [{697CC154-77AB-4BF2-9EA1-7623569D7468}] - C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}\{697CC154-77AB-4BF2-9EA1-7623569D7468}.xpi
  FF Extension: ( ) - C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}\{697CC154-77AB-4BF2-9EA1-7623569D7468}.xpi [2020-11-01]
  FF HKLM-x32\...\Firefox\Extensions: [{697CC154-77AB-4BF2-9EA1-7623569D7468}] - C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}\{697CC154-77AB-4BF2-9EA1-7623569D7468}.xpi
  C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}
  S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
  S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
  C:\WINDOWS\system32\Tasks\Avira
  C:\ProgramData\ntuser.pol
  C:\Program Files (x86)\Avira
  C:\ProgramData\Avira
  C:\Users\AllUserName\AppData\Local\Google\Chrome
  DeleteKey: HKLM\SOFTWARE\Google\Chrome
  DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome
  DeleteKey: HKCU\SOFTWARE\Google\Chrome
  StartBatch:
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
  
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
  
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
  
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" echo "%%a" )
  
  FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" echo "%%a" )
  EndBatch: 
  powershell: Set-MpPreference -PUAProtection Enabled
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Hallo Matthias,

anbei die gewünschten Dateien.

Danke und beste Grüße

Du hast nur den letzten kleinen Teil der fixlog.txt gepostet.

Schicke mir bitte die gesamte fixlog mit deiner nächsten Antwort... du sollst den Fix nicht nochmal ausführen!

ups, sorry

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  C:\WINDOWS\Installer\{276A8E0F-7CB7-4E6B-BCFF-85F1F4D432CB}
  DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
  FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\user.js [2020-06-17]
  FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
  FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\Extensions\abs@avira.com.xpi
  FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\user.js
  FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\Extensions\abs@avira.com.xpi [2020-10-25]
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von RogueKiller
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

Hallo Matthias,

hab´ leider was viel um die Ohren und daher kommt meine Rückmeldung etwas verspätet.

Vielen Dank vorab!

Danke für die Rückmeldung.
Wir habens ja fast schon geschafft.





Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  C:\ProgramData\ntuser.pol
  C:\WINDOWS\system32\GroupPolicy\Machine
  C:\WINDOWS\system32\GroupPolicy\GPT.ini
  C:\WINDOWS\SysWOW64\GroupPolicy\Machine
  C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
  DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
  Task: {1D11F1F6-7DD0-4943-B261-57C6630621C6} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [667856 2020-10-29] (Mozilla Corporation -> Mozilla Foundation)
  C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\prefs.js
  FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
  FF Extension: (Avira Browserschutz) - C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\Extensions\abs@avira.com.xpi [2020-05-28]
  C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\prefs.js
  C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\user.js
  StartBatch:
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
  FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
  FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
  EndBatch:
  DeleteQuarantine:
  Unlock: C:\FRST
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo,

anbei die Dateien.