| |
| |||||||
Log-Analyse und Auswertung: W10: Firefox, automatischer Aufruf von craccoon.comWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.04.2021, 13:05
| #1 |
 |  W10: Firefox, automatischer Aufruf von craccoon.com Guten Morgen, wie im Titel bereits erwähnt wird beim Surfen mit Firefox (vers. 87.0) gelegentlich die Website craccoon.com angesteuert. Bei der Suche nach einer Lösung bin ich auf folgenden Thread gestoßen: https://www.trojaner-board.de/201587-craccoon-exe-reicht-deinstallieren-systemsteuerung.html Eifrig habe ich mich an die Abarbeitung der dort gelisteten Schritte gemacht und erst beim anschließenden Verfassen dieses Beitrags festgestellt, dass dabei die Reihenfolge zweitgut gelungen ist. 1. MBAM analog der Anleitung ausgeführt 2. AdwCleaner analog der Anleitung ausgeführt 3. FRST mit dem Code "SearchAll: craccoon" ausgeführt 4. Dann wollte ich einen Beitrag eröffnen und habe festgestellt, dass die Reihenfolge nicht wie gewünscht ist. Zudemm gab eins der Logs aus, dass Windows auf Version 19042.xxx war und damit nicht im Forum supportet wird. Also habe ich das Update auf Version 20H2 durchgeführt. Dass die Reihenfolge unglücklich ist und eure Arbeit nicht gerade erleichtert ist mir bewusst und auch etwas peinlich :/ Zudem gibt mir FRST nur das Protokoll Search aus, Shortcut und Addition wurden nicht erstellt. Ich hoffe, dass am Ende dennoch das Motto "Et hätt noch emmer joot jejange" recht behält  MBAM: Code:
ATTFilter Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 18.04.21
Scan-Zeit: 12:51
Protokolldatei: fe805c68-a033-11eb-8186-704d7b645db9.json
-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1251
Version des Aktualisierungspakets: 1.0.39525
Lizenz: Testversion
-Systemdaten-
Betriebssystem: Windows 10 (Build 19042.867)
CPU: x64
Dateisystem: NTFS
Benutzer: Zeiträuber\Hendrik
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 363450
Erkannte Bedrohungen: 14
In die Quarantäne verschobene Bedrohungen: 14
Abgelaufene Zeit: 3 Min., 12 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 2
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 623, 463412, 1.0.39525, , ame, , ,
PUP.Optional.GreatDealz, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\lobonlhedgiilkfmbbbfhkaoefacipgj, In Quarantäne, 2095, 466866, 1.0.39525, , ame, , ,
Registrierungswert: 4
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, In Quarantäne, 7006, 676881, 1.0.39525, , ame, , ,
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, In Quarantäne, 7006, 676881, 1.0.39525, , ame, , ,
PUP.Optional.GreatDealz, HKU\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|LOBONLHEDGIILKFMBBBFHKAOEFACIPGJ, In Quarantäne, 2095, 466866, , , , , ,
PUP.Optional.CRaccoon, HKU\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|CRaccoon, In Quarantäne, 893, 928621, , , , , ,
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 1
PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Extensions\LOBONLHEDGIILKFMBBBFHKAOEFACIPGJ, In Quarantäne, 2095, 466866, , , , , ,
Datei: 7
PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Ersetzt, 2095, 466866, , , , , 48433431A11FF8AB692CDC544136DE3B, 3DCB48A2348ABBCBCED7EB3FB0D437E5E8B2E569A51C8CD0BEFA0E3480E17447
PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Ersetzt, 2095, 466866, , , , , 22B83C242FB2A476BE7E4CDB8A750169, EEE872EE81B8766456119039D947A0D1F6D942F6F005E6D48D084D0DA0BEA964
PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CRaccoon.lnk, In Quarantäne, 893, 928621, , , , , E9322A0F277D6617A38F865A601BDE2B, D077D656F0C26ADC1F3077076F7249331A4EADB2695305062B5E094826D78918
PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\CRACCOON\CRACCOON.EXE, In Quarantäne, 893, 928621, 1.0.39525, , ame, , 503217AD3915BC3F23B175A9AB3219D6, 7E32BA0D1D3E95A2A9D87D05017ED6BEDC1839D48E43B8C63D15E54AB5AEE753
PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\CRACCOON\CRACCOON CRUNINSTALL.EXE, In Quarantäne, 893, 928621, 1.0.39525, , ame, , 503217AD3915BC3F23B175A9AB3219D6, 7E32BA0D1D3E95A2A9D87D05017ED6BEDC1839D48E43B8C63D15E54AB5AEE753
PUP.Optional.ChipDe, C:\USERS\HENDRIK\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}\CHIP INSTALLER.MSI, In Quarantäne, 623, 594115, 1.0.39525, , ame, , 09592483D17F4F088723F4084EA94BD0, BC47ABA34B923C9C53F71928F1D57F6211D52EC020FA14DCC145B4919108F781
PUP.Optional.ChipDe, C:\USERS\HENDRIK\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{C98C8305-357C-4DBD-9100-2AB1B6830EA9}\CHIP INSTALLER.MSI, In Quarantäne, 623, 594115, 1.0.39525, , ame, , 81EAE53E48A2A10927A8635CE8E5C1BF, C71EF2EEB52CFBC5F4EFA23352DAB93B6223E6AA1D492811BEFA528E24C77ACD
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
WMI: 0
(keine bösartigen Elemente erkannt)
(end)
Code:
ATTFilter # -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build: 03-22-2021
# Database: 2021-04-08.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 04-18-2021
# Duration: 00:00:04
# OS: Windows 10 Pro
# Cleaned: 44
# Failed: 0
***** [ Services ] *****
No malicious services cleaned.
***** [ Folders ] *****
Deleted C:\ProgramData\Application Data\Lavasoft\Web Companion
Deleted C:\Users\Hendrik\AppData\Local\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}
Deleted C:\Users\Hendrik\AppData\Local\Temp\DMR
Deleted C:\Users\Hendrik\AppData\Roaming\CRaccoon
***** [ Files ] *****
Deleted C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini
Deleted C:\Windows\SysWOW64\lavasofttcpservice.dll
Deleted C:\Windows\System32\LavasoftTcpService64.dll
Deleted C:\Windows\System32\LavasoftTcpServiceOff.ini
***** [ DLL ] *****
No malicious DLLs cleaned.
***** [ WMI ] *****
No malicious WMI cleaned.
***** [ Shortcuts ] *****
No malicious shortcuts cleaned.
***** [ Tasks ] *****
No malicious tasks cleaned.
***** [ Registry ] *****
Deleted HKCU\Software\Lavasoft\Web Companion
Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com
Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\watch4.de
Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.watch4.de
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataContainer
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataContainer.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataController
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataController.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTable
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTable.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableFields
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableFields.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableHolder
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableHolder.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.LSPLogic
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.LSPLogic.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.ReadOnlyManager
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.ReadOnlyManager.1
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.WFPController
Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.WFPController.1
Deleted HKLM\Software\Classes\TypeLib\{ED62BC6E-64F1-46BE-866F-4C8DC0DF7057}
Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\craccoon.ch
Deleted HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{0015CAC9-FC30-4CD0-BFAA-7412CC2C4DD9}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{26C7AFDB-3690-449E-B979-B0AF5CC56DD4}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{3A5A5381-DAAF-4C0D-B032-2C66B3EE4A8D}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{472EF1D2-4AAE-470D-AE85-6AF8177916FD}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{8F010D54-C023-457F-AF03-497EACB6D519}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{9A754403-27B1-4ED7-96D7-588F07888EBF}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{CB31FF8F-BF80-4D2B-ADBE-12C6F5347890}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{FCAA532B-E807-4027-940C-BA16B9D50105}
Deleted HKLM\Software\Wow6432Node\\Classes\TypeLib\{ED62BC6E-64F1-46BE-866F-4C8DC0DF7057}
Deleted HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\craccoon.ch
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries cleaned.
***** [ Chromium URLs ] *****
No malicious Chromium URLs cleaned.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries cleaned.
***** [ Firefox URLs ] *****
No malicious Firefox URLs cleaned.
***** [ Hosts File Entries ] *****
No malicious hosts file entries cleaned.
***** [ Preinstalled Software ] *****
No Preinstalled Software cleaned.
*************************
[+] Delete Tracing Keys
[+] Reset Winsock
*************************
AdwCleaner[S00].txt - [5596 octets] - [18/04/2021 12:56:41]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
Code:
ATTFilter Farbar Recovery Scan Tool (x64) Version: 17-04-2021
durchgeführt von Hendrik (18-04-2021 12:59:27)
Gestartet von C:\Users\Hendrik\Downloads
Start-Modus: Normal
================== Datei-Suche: "SearchAll: craccoon" =============
Datei:
========
C:\Windows\Prefetch\CRACCOON.EXE-7B4C1C46.pf
[2021-04-18 12:23][2021-04-18 12:23] 000011185 _____ () 93913D2C8BC06B5D8CF72D37E6B78BBD [Datei ist nicht signiert]
C:\AdwCleaner\Quarantine\v1\20210418.125711\28\CRaccoon\CRaccoon CRApp.uinst#039276E53E608D3D
[2021-02-02 07:55][2021-02-02 07:55] 000000021 _____ () 1F8A9F088D317C5B910A34E7FCC4576B [Datei ist nicht signiert]
Ordner:
========
2021-02-01 14:50 - 2021-04-18 12:57 _____ C:\AdwCleaner\Quarantine\v1\20210418.125711\28\CRaccoon
Registry:
========
[HKEY_USERS\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]
"C:\Users\Hendrik\AppData\Roaming\CRaccoon\CRaccoon CRUninstall.exe"="0x5341435001000000000000000700000028000000C03132002852320001000000000000000000000A0021000050BB64EDDDACD501000000000000000002000000280000000000000000000010000000000000000000000000000000007E270000000000000100000001000000"
====== Ende von Suche ======
Stellt sich nun die Frage: Ist das System sauber oder sind noch Tätigkeiten erforderlich? Bis zu einer Antwort mach ich lieber nichts weiteres  |
| Themen zu W10: Firefox, automatischer Aufruf von craccoon.com |
| .com, adware, appdata, craccoon, download, explorer, failed, festgestellt, firefox, folge, forum, frage, google, internet, internet explorer, lösung, microsoft, recovery, registry, reset, secure, suche, surfen, system32, temp, update, weiterleitung, windows |
Baum-Darstellung