Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W10: Firefox, automatischer Aufruf von craccoon.com

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 18.04.2021, 13:05   #1
Kio
 
W10: Firefox, automatischer Aufruf von craccoon.com - Standard

W10: Firefox, automatischer Aufruf von craccoon.com



Guten Morgen,

wie im Titel bereits erwähnt wird beim Surfen mit Firefox (vers. 87.0) gelegentlich die Website craccoon.com angesteuert.

Bei der Suche nach einer Lösung bin ich auf folgenden Thread gestoßen:
https://www.trojaner-board.de/201587-craccoon-exe-reicht-deinstallieren-systemsteuerung.html

Eifrig habe ich mich an die Abarbeitung der dort gelisteten Schritte gemacht und erst beim anschließenden Verfassen dieses Beitrags festgestellt, dass dabei die Reihenfolge zweitgut gelungen ist.

1. MBAM analog der Anleitung ausgeführt
2. AdwCleaner analog der Anleitung ausgeführt
3. FRST mit dem Code "SearchAll: craccoon" ausgeführt
4. Dann wollte ich einen Beitrag eröffnen und habe festgestellt, dass die Reihenfolge nicht wie gewünscht ist.
Zudemm gab eins der Logs aus, dass Windows auf Version 19042.xxx war und damit nicht im Forum supportet wird. Also habe ich das Update auf Version 20H2 durchgeführt.

Dass die Reihenfolge unglücklich ist und eure Arbeit nicht gerade erleichtert ist mir bewusst und auch etwas peinlich :/
Zudem gibt mir FRST nur das Protokoll Search aus, Shortcut und Addition wurden nicht erstellt.

Ich hoffe, dass am Ende dennoch das Motto "Et hätt noch emmer joot jejange" recht behält

MBAM:
Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 18.04.21
Scan-Zeit: 12:51
Protokolldatei: fe805c68-a033-11eb-8186-704d7b645db9.json

-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1251
Version des Aktualisierungspakets: 1.0.39525
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19042.867)
CPU: x64
Dateisystem: NTFS
Benutzer: Zeiträuber\Hendrik

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 363450
Erkannte Bedrohungen: 14
In die Quarantäne verschobene Bedrohungen: 14
Abgelaufene Zeit: 3 Min., 12 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 623, 463412, 1.0.39525, , ame, , , 
PUP.Optional.GreatDealz, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\lobonlhedgiilkfmbbbfhkaoefacipgj, In Quarantäne, 2095, 466866, 1.0.39525, , ame, , , 

Registrierungswert: 4
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, In Quarantäne, 7006, 676881, 1.0.39525, , ame, , , 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, In Quarantäne, 7006, 676881, 1.0.39525, , ame, , , 
PUP.Optional.GreatDealz, HKU\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|LOBONLHEDGIILKFMBBBFHKAOEFACIPGJ, In Quarantäne, 2095, 466866, , , , , , 
PUP.Optional.CRaccoon, HKU\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|CRaccoon, In Quarantäne, 893, 928621, , , , , , 

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 1
PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Extensions\LOBONLHEDGIILKFMBBBFHKAOEFACIPGJ, In Quarantäne, 2095, 466866, , , , , , 

Datei: 7
PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Ersetzt, 2095, 466866, , , , , 48433431A11FF8AB692CDC544136DE3B, 3DCB48A2348ABBCBCED7EB3FB0D437E5E8B2E569A51C8CD0BEFA0E3480E17447
PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Ersetzt, 2095, 466866, , , , , 22B83C242FB2A476BE7E4CDB8A750169, EEE872EE81B8766456119039D947A0D1F6D942F6F005E6D48D084D0DA0BEA964
PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CRaccoon.lnk, In Quarantäne, 893, 928621, , , , , E9322A0F277D6617A38F865A601BDE2B, D077D656F0C26ADC1F3077076F7249331A4EADB2695305062B5E094826D78918
PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\CRACCOON\CRACCOON.EXE, In Quarantäne, 893, 928621, 1.0.39525, , ame, , 503217AD3915BC3F23B175A9AB3219D6, 7E32BA0D1D3E95A2A9D87D05017ED6BEDC1839D48E43B8C63D15E54AB5AEE753
PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\CRACCOON\CRACCOON CRUNINSTALL.EXE, In Quarantäne, 893, 928621, 1.0.39525, , ame, , 503217AD3915BC3F23B175A9AB3219D6, 7E32BA0D1D3E95A2A9D87D05017ED6BEDC1839D48E43B8C63D15E54AB5AEE753
PUP.Optional.ChipDe, C:\USERS\HENDRIK\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}\CHIP INSTALLER.MSI, In Quarantäne, 623, 594115, 1.0.39525, , ame, , 09592483D17F4F088723F4084EA94BD0, BC47ABA34B923C9C53F71928F1D57F6211D52EC020FA14DCC145B4919108F781
PUP.Optional.ChipDe, C:\USERS\HENDRIK\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{C98C8305-357C-4DBD-9100-2AB1B6830EA9}\CHIP INSTALLER.MSI, In Quarantäne, 623, 594115, 1.0.39525, , ame, , 81EAE53E48A2A10927A8635CE8E5C1BF, C71EF2EEB52CFBC5F4EFA23352DAB93B6223E6AA1D492811BEFA528E24C77ACD

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         
AdwCleaner:
Code:
ATTFilter
# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build:    03-22-2021
# Database: 2021-04-08.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-18-2021
# Duration: 00:00:04
# OS:       Windows 10 Pro
# Cleaned:  44
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\Application Data\Lavasoft\Web Companion
Deleted       C:\Users\Hendrik\AppData\Local\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}
Deleted       C:\Users\Hendrik\AppData\Local\Temp\DMR
Deleted       C:\Users\Hendrik\AppData\Roaming\CRaccoon

***** [ Files ] *****

Deleted       C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini
Deleted       C:\Windows\SysWOW64\lavasofttcpservice.dll
Deleted       C:\Windows\System32\LavasoftTcpService64.dll
Deleted       C:\Windows\System32\LavasoftTcpServiceOff.ini

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
Deleted       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com
Deleted       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\watch4.de
Deleted       HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.watch4.de
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataContainer
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataContainer.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataController
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataController.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataTable
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataTable.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableFields
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableFields.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableHolder
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableHolder.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.LSPLogic
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.LSPLogic.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.ReadOnlyManager
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.ReadOnlyManager.1
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.WFPController
Deleted       HKLM\Software\Classes\LavasoftTcpServiceLib.WFPController.1
Deleted       HKLM\Software\Classes\TypeLib\{ED62BC6E-64F1-46BE-866F-4C8DC0DF7057}
Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\craccoon.ch
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{0015CAC9-FC30-4CD0-BFAA-7412CC2C4DD9}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{26C7AFDB-3690-449E-B979-B0AF5CC56DD4}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{3A5A5381-DAAF-4C0D-B032-2C66B3EE4A8D}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{472EF1D2-4AAE-470D-AE85-6AF8177916FD}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{8F010D54-C023-457F-AF03-497EACB6D519}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{9A754403-27B1-4ED7-96D7-588F07888EBF}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{CB31FF8F-BF80-4D2B-ADBE-12C6F5347890}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{FCAA532B-E807-4027-940C-BA16B9D50105}
Deleted       HKLM\Software\Wow6432Node\\Classes\TypeLib\{ED62BC6E-64F1-46BE-866F-4C8DC0DF7057}
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\craccoon.ch

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5596 octets] - [18/04/2021 12:56:41]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         
FRST-Search:
Code:
ATTFilter
Farbar Recovery Scan Tool (x64) Version: 17-04-2021
durchgeführt von Hendrik (18-04-2021 12:59:27)
Gestartet von C:\Users\Hendrik\Downloads
Start-Modus: Normal

================== Datei-Suche: "SearchAll: craccoon" =============

Datei:
========
C:\Windows\Prefetch\CRACCOON.EXE-7B4C1C46.pf
[2021-04-18 12:23][2021-04-18 12:23] 000011185 _____ () 93913D2C8BC06B5D8CF72D37E6B78BBD [Datei ist nicht signiert]

C:\AdwCleaner\Quarantine\v1\20210418.125711\28\CRaccoon\CRaccoon CRApp.uinst#039276E53E608D3D
[2021-02-02 07:55][2021-02-02 07:55] 000000021 _____ () 1F8A9F088D317C5B910A34E7FCC4576B [Datei ist nicht signiert]


Ordner:
========
2021-02-01 14:50 - 2021-04-18 12:57 _____ C:\AdwCleaner\Quarantine\v1\20210418.125711\28\CRaccoon

Registry:
========
[HKEY_USERS\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]
"C:\Users\Hendrik\AppData\Roaming\CRaccoon\CRaccoon CRUninstall.exe"="0x5341435001000000000000000700000028000000C03132002852320001000000000000000000000A0021000050BB64EDDDACD501000000000000000002000000280000000000000000000010000000000000000000000000000000007E270000000000000100000001000000"


====== Ende von Suche ======
         

Stellt sich nun die Frage:
Ist das System sauber oder sind noch Tätigkeiten erforderlich?
Bis zu einer Antwort mach ich lieber nichts weiteres

 

Themen zu W10: Firefox, automatischer Aufruf von craccoon.com
.com, adware, appdata, craccoon, download, explorer, failed, festgestellt, firefox, folge, forum, frage, google, internet, internet explorer, lösung, microsoft, recovery, registry, reset, secure, suche, surfen, system32, temp, update, weiterleitung, windows




Ähnliche Themen: W10: Firefox, automatischer Aufruf von craccoon.com


  1. craccoon.exe, reicht deinstallieren über die Systemsteuerung?
    Plagegeister aller Art und deren Bekämpfung - 18.04.2021 (4)
  2. Trojaner CRaccoon auf meinen Rechner
    Plagegeister aller Art und deren Bekämpfung - 03.01.2021 (24)
  3. Windows 8.1 + Firefox 38.0.1: Request an Malware-gelistete Seite bei Aufruf von beliebiger Website
    Log-Analyse und Auswertung - 31.05.2015 (3)
  4. f.txt - Automatischer download
    Log-Analyse und Auswertung - 08.05.2015 (3)
  5. Versendung automatischer Spam-Mails
    Log-Analyse und Auswertung - 26.03.2013 (15)
  6. Trojan.JS.Redirector bei Aufruf von Firefox
    Plagegeister aller Art und deren Bekämpfung - 10.01.2013 (14)
  7. Automatischer Text in Textfeldern bei Foren!
    Plagegeister aller Art und deren Bekämpfung - 22.06.2010 (1)
  8. PC-Freeze => automatischer Reboot // c.exe
    Plagegeister aller Art und deren Bekämpfung - 10.02.2010 (5)
  9. Automatischer Neustart
    Log-Analyse und Auswertung - 18.08.2008 (6)
  10. Automatischer login ...
    Log-Analyse und Auswertung - 29.02.2008 (1)
  11. Automatischer Neustart und Bluescreen
    Alles rund um Windows - 29.04.2007 (34)
  12. IExplorer und Firefox schliessen mit Fehlermeldung sofort nach erstem Aufruf
    Log-Analyse und Auswertung - 21.12.2006 (1)
  13. Automatischer Neustart bei Benutzeranmeldung
    Log-Analyse und Auswertung - 14.09.2006 (4)
  14. IE ... ungewollter automatischer Seitenaufruf
    Plagegeister aller Art und deren Bekämpfung - 31.01.2006 (11)
  15. Automatischer Start von Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 05.06.2005 (6)
  16. Automatischer start vom IE
    Plagegeister aller Art und deren Bekämpfung - 13.03.2005 (8)
  17. Automatischer Aufruf von Teen Sex Baby??
    Plagegeister aller Art und deren Bekämpfung - 04.03.2005 (4)

Zum Thema W10: Firefox, automatischer Aufruf von craccoon.com - Guten Morgen, wie im Titel bereits erwähnt wird beim Surfen mit Firefox (vers. 87.0) gelegentlich die Website craccoon.com angesteuert. Bei der Suche nach einer Lösung bin ich auf folgenden Thread - W10: Firefox, automatischer Aufruf von craccoon.com...
Archiv
Du betrachtest: W10: Firefox, automatischer Aufruf von craccoon.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.