![]() |
|
Log-Analyse und Auswertung: W10: Firefox, automatischer Aufruf von craccoon.comWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() W10: Firefox, automatischer Aufruf von craccoon.com Guten Morgen, wie im Titel bereits erwähnt wird beim Surfen mit Firefox (vers. 87.0) gelegentlich die Website craccoon.com angesteuert. Bei der Suche nach einer Lösung bin ich auf folgenden Thread gestoßen: https://www.trojaner-board.de/201587-craccoon-exe-reicht-deinstallieren-systemsteuerung.html Eifrig habe ich mich an die Abarbeitung der dort gelisteten Schritte gemacht und erst beim anschließenden Verfassen dieses Beitrags festgestellt, dass dabei die Reihenfolge zweitgut gelungen ist. 1. MBAM analog der Anleitung ausgeführt 2. AdwCleaner analog der Anleitung ausgeführt 3. FRST mit dem Code "SearchAll: craccoon" ausgeführt 4. Dann wollte ich einen Beitrag eröffnen und habe festgestellt, dass die Reihenfolge nicht wie gewünscht ist. Zudemm gab eins der Logs aus, dass Windows auf Version 19042.xxx war und damit nicht im Forum supportet wird. Also habe ich das Update auf Version 20H2 durchgeführt. Dass die Reihenfolge unglücklich ist und eure Arbeit nicht gerade erleichtert ist mir bewusst und auch etwas peinlich :/ Zudem gibt mir FRST nur das Protokoll Search aus, Shortcut und Addition wurden nicht erstellt. Ich hoffe, dass am Ende dennoch das Motto "Et hätt noch emmer joot jejange" recht behält ![]() MBAM: Code:
ATTFilter Malwarebytes www.malwarebytes.com -Protokolldetails- Scan-Datum: 18.04.21 Scan-Zeit: 12:51 Protokolldatei: fe805c68-a033-11eb-8186-704d7b645db9.json -Softwaredaten- Version: 4.3.0.98 Komponentenversion: 1.0.1251 Version des Aktualisierungspakets: 1.0.39525 Lizenz: Testversion -Systemdaten- Betriebssystem: Windows 10 (Build 19042.867) CPU: x64 Dateisystem: NTFS Benutzer: Zeiträuber\Hendrik -Scan-Übersicht- Scan-Typ: Bedrohungs-Scan Scan gestartet von: Manuell Ergebnis: Abgeschlossen Gescannte Objekte: 363450 Erkannte Bedrohungen: 14 In die Quarantäne verschobene Bedrohungen: 14 Abgelaufene Zeit: 3 Min., 12 Sek. -Scan-Optionen- Speicher: Aktiviert Start: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Aktiviert Heuristik: Aktiviert PUP: Erkennung PUM: Erkennung -Scan-Details- Prozess: 0 (keine bösartigen Elemente erkannt) Modul: 0 (keine bösartigen Elemente erkannt) Registrierungsschlüssel: 2 PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 623, 463412, 1.0.39525, , ame, , , PUP.Optional.GreatDealz, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\lobonlhedgiilkfmbbbfhkaoefacipgj, In Quarantäne, 2095, 466866, 1.0.39525, , ame, , , Registrierungswert: 4 PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, In Quarantäne, 7006, 676881, 1.0.39525, , ame, , , PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, In Quarantäne, 7006, 676881, 1.0.39525, , ame, , , PUP.Optional.GreatDealz, HKU\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|LOBONLHEDGIILKFMBBBFHKAOEFACIPGJ, In Quarantäne, 2095, 466866, , , , , , PUP.Optional.CRaccoon, HKU\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|CRaccoon, In Quarantäne, 893, 928621, , , , , , Registrierungsdaten: 0 (keine bösartigen Elemente erkannt) Daten-Stream: 0 (keine bösartigen Elemente erkannt) Ordner: 1 PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Extensions\LOBONLHEDGIILKFMBBBFHKAOEFACIPGJ, In Quarantäne, 2095, 466866, , , , , , Datei: 7 PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Ersetzt, 2095, 466866, , , , , 48433431A11FF8AB692CDC544136DE3B, 3DCB48A2348ABBCBCED7EB3FB0D437E5E8B2E569A51C8CD0BEFA0E3480E17447 PUP.Optional.GreatDealz, C:\USERS\HENDRIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Ersetzt, 2095, 466866, , , , , 22B83C242FB2A476BE7E4CDB8A750169, EEE872EE81B8766456119039D947A0D1F6D942F6F005E6D48D084D0DA0BEA964 PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CRaccoon.lnk, In Quarantäne, 893, 928621, , , , , E9322A0F277D6617A38F865A601BDE2B, D077D656F0C26ADC1F3077076F7249331A4EADB2695305062B5E094826D78918 PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\CRACCOON\CRACCOON.EXE, In Quarantäne, 893, 928621, 1.0.39525, , ame, , 503217AD3915BC3F23B175A9AB3219D6, 7E32BA0D1D3E95A2A9D87D05017ED6BEDC1839D48E43B8C63D15E54AB5AEE753 PUP.Optional.CRaccoon, C:\USERS\HENDRIK\APPDATA\ROAMING\CRACCOON\CRACCOON CRUNINSTALL.EXE, In Quarantäne, 893, 928621, 1.0.39525, , ame, , 503217AD3915BC3F23B175A9AB3219D6, 7E32BA0D1D3E95A2A9D87D05017ED6BEDC1839D48E43B8C63D15E54AB5AEE753 PUP.Optional.ChipDe, C:\USERS\HENDRIK\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}\CHIP INSTALLER.MSI, In Quarantäne, 623, 594115, 1.0.39525, , ame, , 09592483D17F4F088723F4084EA94BD0, BC47ABA34B923C9C53F71928F1D57F6211D52EC020FA14DCC145B4919108F781 PUP.Optional.ChipDe, C:\USERS\HENDRIK\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{C98C8305-357C-4DBD-9100-2AB1B6830EA9}\CHIP INSTALLER.MSI, In Quarantäne, 623, 594115, 1.0.39525, , ame, , 81EAE53E48A2A10927A8635CE8E5C1BF, C71EF2EEB52CFBC5F4EFA23352DAB93B6223E6AA1D492811BEFA528E24C77ACD Physischer Sektor: 0 (keine bösartigen Elemente erkannt) WMI: 0 (keine bösartigen Elemente erkannt) (end) Code:
ATTFilter # ------------------------------- # Malwarebytes AdwCleaner 8.2.0.0 # ------------------------------- # Build: 03-22-2021 # Database: 2021-04-08.1 (Cloud) # Support: https://www.malwarebytes.com/support # # ------------------------------- # Mode: Clean # ------------------------------- # Start: 04-18-2021 # Duration: 00:00:04 # OS: Windows 10 Pro # Cleaned: 44 # Failed: 0 ***** [ Services ] ***** No malicious services cleaned. ***** [ Folders ] ***** Deleted C:\ProgramData\Application Data\Lavasoft\Web Companion Deleted C:\Users\Hendrik\AppData\Local\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754} Deleted C:\Users\Hendrik\AppData\Local\Temp\DMR Deleted C:\Users\Hendrik\AppData\Roaming\CRaccoon ***** [ Files ] ***** Deleted C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini Deleted C:\Windows\SysWOW64\lavasofttcpservice.dll Deleted C:\Windows\System32\LavasoftTcpService64.dll Deleted C:\Windows\System32\LavasoftTcpServiceOff.ini ***** [ DLL ] ***** No malicious DLLs cleaned. ***** [ WMI ] ***** No malicious WMI cleaned. ***** [ Shortcuts ] ***** No malicious shortcuts cleaned. ***** [ Tasks ] ***** No malicious tasks cleaned. ***** [ Registry ] ***** Deleted HKCU\Software\Lavasoft\Web Companion Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\watch4.de Deleted HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.watch4.de Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataContainer Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataContainer.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataController Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataController.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTable Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTable.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableFields Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableFields.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableHolder Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.DataTableHolder.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.LSPLogic Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.LSPLogic.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.ReadOnlyManager Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.ReadOnlyManager.1 Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.WFPController Deleted HKLM\Software\Classes\LavasoftTcpServiceLib.WFPController.1 Deleted HKLM\Software\Classes\TypeLib\{ED62BC6E-64F1-46BE-866F-4C8DC0DF7057} Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\craccoon.ch Deleted HKLM\Software\Wow6432Node\Lavasoft\Web Companion Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{0015CAC9-FC30-4CD0-BFAA-7412CC2C4DD9} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{26C7AFDB-3690-449E-B979-B0AF5CC56DD4} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{3A5A5381-DAAF-4C0D-B032-2C66B3EE4A8D} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{472EF1D2-4AAE-470D-AE85-6AF8177916FD} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{8F010D54-C023-457F-AF03-497EACB6D519} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{9A754403-27B1-4ED7-96D7-588F07888EBF} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{CB31FF8F-BF80-4D2B-ADBE-12C6F5347890} Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{FCAA532B-E807-4027-940C-BA16B9D50105} Deleted HKLM\Software\Wow6432Node\\Classes\TypeLib\{ED62BC6E-64F1-46BE-866F-4C8DC0DF7057} Deleted HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\craccoon.ch ***** [ Chromium (and derivatives) ] ***** No malicious Chromium entries cleaned. ***** [ Chromium URLs ] ***** No malicious Chromium URLs cleaned. ***** [ Firefox (and derivatives) ] ***** No malicious Firefox entries cleaned. ***** [ Firefox URLs ] ***** No malicious Firefox URLs cleaned. ***** [ Hosts File Entries ] ***** No malicious hosts file entries cleaned. ***** [ Preinstalled Software ] ***** No Preinstalled Software cleaned. ************************* [+] Delete Tracing Keys [+] Reset Winsock ************************* AdwCleaner[S00].txt - [5596 octets] - [18/04/2021 12:56:41] ########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ########## Code:
ATTFilter Farbar Recovery Scan Tool (x64) Version: 17-04-2021 durchgeführt von Hendrik (18-04-2021 12:59:27) Gestartet von C:\Users\Hendrik\Downloads Start-Modus: Normal ================== Datei-Suche: "SearchAll: craccoon" ============= Datei: ======== C:\Windows\Prefetch\CRACCOON.EXE-7B4C1C46.pf [2021-04-18 12:23][2021-04-18 12:23] 000011185 _____ () 93913D2C8BC06B5D8CF72D37E6B78BBD [Datei ist nicht signiert] C:\AdwCleaner\Quarantine\v1\20210418.125711\28\CRaccoon\CRaccoon CRApp.uinst#039276E53E608D3D [2021-02-02 07:55][2021-02-02 07:55] 000000021 _____ () 1F8A9F088D317C5B910A34E7FCC4576B [Datei ist nicht signiert] Ordner: ======== 2021-02-01 14:50 - 2021-04-18 12:57 _____ C:\AdwCleaner\Quarantine\v1\20210418.125711\28\CRaccoon Registry: ======== [HKEY_USERS\S-1-5-21-256580667-2295068177-2157506718-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store] "C:\Users\Hendrik\AppData\Roaming\CRaccoon\CRaccoon CRUninstall.exe"="0x5341435001000000000000000700000028000000C03132002852320001000000000000000000000A0021000050BB64EDDDACD501000000000000000002000000280000000000000000000010000000000000000000000000000000007E270000000000000100000001000000" ====== Ende von Suche ====== Stellt sich nun die Frage: Ist das System sauber oder sind noch Tätigkeiten erforderlich? Bis zu einer Antwort mach ich lieber nichts weiteres ![]() |
Themen zu W10: Firefox, automatischer Aufruf von craccoon.com |
.com, adware, appdata, craccoon, download, explorer, failed, festgestellt, firefox, folge, forum, frage, google, internet, internet explorer, lösung, microsoft, recovery, registry, reset, secure, suche, surfen, system32, temp, update, weiterleitung, windows |