Super das es mit dem Posten der Logs so gut geklappt hat. Es erscheint auf den ersten Blick nach Fach-Chinesisch aber das Lesen der Anleitung Schritt für Schritt führt hier im Forum immer ans Ziel.

Ich bin kein Profi daher sollte cosinus oder MKDB nochmal über Log´s schauen aber mir sind folgende Punkte aufgefallen:
-ExpressVPN scheint an deinem Rechner installiert zu sein. Schau dir dazu bitte dieses Video an. Über Sinn und Unsinn von VPN´s will ich gar nicht streiten aber wertvolle Tipps dazu gibt´s hier.
-Im Chrome befinden sich noch Avira Erweiterungen, bitte weg damit. Avira nistet sich in verschiedene Programme/Komponenten ein wie eine Zecke.

Zitat:

CHR Extension: (Avira Password Manager) - C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll [2021-09-17]
CHR Extension: (Avira Browserschutz) - C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2021-09-21]

-Du hast den VLC Plus Player installiert! Das ist eine schädliche Nachmache des originalen VLC Player. Unter Umständen werden deine Daten gesammelt und verkauft oder Werbung macht sich am PC breit. Bitte sofort deinstallieren und bleib bei sauberen Downloadquellen! Lies dir dazu bitte den Absatz Downloadquellen in dieser Anleitung vom Board gründlich durch.

Zitat:

VLC Plus Player (HKLM\...\VLC Plus Player) (Version: 3.0.12 - Aller Media e.K.) <==== ACHTUNG

Mach bitte noch vollständige Scan mit Malwarebytes und AdwCleaner. Die Log-Dateien beider Scans bitte auch wieder in Code-Tags einfügen wie zuvor mit FRST.

Bei Fragen oder Problemen melde dich bitte, bevor Missverständnisse oder ungewollte Aktionen auftreten.

Danke für deine erste Expertise BeRealm, vllt finden wir da noch was.

Zitat:

Zitat von cosinus

Danke für deine erste Expertise BeRealm, vllt finden wir da noch was.

cosinus, nix gegen BeRealm, aber die Idee mit Adwcleaner und Malwarebytes hatte ich vor BeRealm auch schon: https://www.trojaner-board.de/202593...ml#post1757100
Ich würde an der Stelle von Viktor Barth auch nochmal die Uninstall Tools von Avira und McAfee ausführen, idealerweise im Abgesicherten Modus ob die noch Reste von Avira bzw McAfee finden und löschen.

Danke für deine erste Expertise schlawack, vllt finden wir da noch was.

Hallo BeRealm,

danke für Deine Mail.
Ich habe den Rechner soweit gesäubert.
Avira, VLC-plus komplett entfernt.
Nach Neustart mit Malwarebytes und Adwcleaner gescannt.
Die Logfiles hier im Anschluss.

Noch eine Frage:
Warum erhalte ich hier im Portal und auf anderen Seiten auf einmal Werbung.
Hatte ich bisher nicht, und möchte ich auch künftig nicht.

v.G.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 23.09.21
Scan-Zeit: 15:18
Protokolldatei: c96e7596-1c70-11ec-a0dc-28cdc464727e.json

-Softwaredaten-
Version: 4.4.6.132
Komponentenversion: 1.0.1453
Version des Aktualisierungspakets: 1.0.45256
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19043.1237)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-2R3VNG7\vikto

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 768004
Erkannte Bedrohungen: 16
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 0 Min., 49 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 2
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Keine Aktion durch Benutzer, 502, 455286, , , , , , 
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Keine Aktion durch Benutzer, 502, 455286, , , , , , 

Datei: 14
PUP.Optional.ChipDe, C:\USERS\VIKTO\DOWNLOADS\VLC MEDIA PLAYER (64 BIT) - INSTALLER _1AF0.EXE, Keine Aktion durch Benutzer, 636, 562568, 1.0.45256, , ame, , 4AD14F8F15E3A4C6575C4C15912087D9, D4635DD7665F14636ABBAA1BED97D381A5C82351AD7B5E93D36D25455F3FB48B
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , 91B2F7F866FF63AC9958286158FC25C9, 9367EAE05AB6CC5F9434572D20670E6A41535E6DE1A4A765051B2C4C018E4AB3
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002591.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , 61E2B4C20DDF9A04168207B93A17B54F, 0B7831957D95887DFF25920FCA504EEAB4E31EE61405F204045CEFF4D4D2C4D1
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002593.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , 94332380D4C1F718C2CFFAB0392F4C71, EA251918A101DE5F22698E2CB3EA72157139EBDA3E3AB3E1818D95F0494783EE
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002595.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , C73E70C6741D593B68AFF803DE4F30E8, 40115824B7E82C79F1B84493FFA8BE241BDCEAB064B410E1D72FAAF50ECBE171
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002596.log, Keine Aktion durch Benutzer, 502, 455286, , , , , B34EBAD53D6137F0CB66A79EC6B7F443, 0423E21CA78C7EBE6A0675172F38BFE035E1F9AD0DB3E1DA54EE9C651B4174D8
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002597.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , A865DD3518DC5649220EE13B2F748922, 559E0199075586120B07385AFD9F9B938B6E101E34D0FB441315CD7D306C6BC5
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Keine Aktion durch Benutzer, 502, 455286, , , , , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Keine Aktion durch Benutzer, 502, 455286, , , , , , 
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Keine Aktion durch Benutzer, 502, 455286, , , , , 20C2AA4D1DE097CAE690C5C54920F65F, 925CEB78833AAFDB9ED08BBD78386BE551A90A71133F6E0154FB9F1D062A6CE1
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Keine Aktion durch Benutzer, 502, 455286, , , , , A002B1B276E7188775895D27CF51416D, 31686954431547164A45F531F6DB836E32AF252343031F21C10A72E75B79E3B2
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Keine Aktion durch Benutzer, 502, 455286, , , , , DCEC838026B453427FCADE89C0396B4A, 8665344A44C46854D801DB3586AA18CF8182990286CB803204C6414671D11FE4
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 502, 455286, 1.0.45256, , ame, , 0BF2F7273BCE07193B91572AB9CB5A45, A44D3CED5509186DFE370BF7080A636046CB2D66D47C632A6F70F9CA391980FA
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 502, 455286, 1.0.45256, , ame, , 0BF2F7273BCE07193B91572AB9CB5A45, A44D3CED5509186DFE370BF7080A636046CB2D66D47C632A6F70F9CA391980FA

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.3.0.0
# -------------------------------
# Build:    06-29-2021
# Database: 2021-09-09.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    09-23-2021
# Duration: 00:00:08
# OS:       Windows 10 Home
# Scanned:  31964
# Detected: 32


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy             HKLM\Software\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
PUP.Optional.Legacy             HKLM\Software\Classes\AppID\{BAB04997-93AD-4C13-805A-0409199700BB}
PUP.Optional.Legacy             HKLM\Software\Classes\CLSID\{947217BD-E967-400A-B14A-BA851A8EDCBB}
PUP.Optional.Legacy             HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved|{947217BD-E967-400A-B14A-BA851A8EDCBB}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\\Classes\AppID\{BAB04997-93AD-4C13-805A-0409199700BB}
PUP.Optional.VLCPlusPlayer.DE   HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Update Plus Player

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.StartFenster       Websuche

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH 
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAF41A62-1C71-4CF6-B388-957F5888E2FC}  
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch 
Preinstalled.HPCleanFLC   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher 
Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE 
Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT 
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Users\vikto\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY 
Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6} 
Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT 
Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F} 
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES 
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES 
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\SHORTCUTPROVIDER 
Preinstalled.WildTangentGamesBundle   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WILDTANGENT GAMES 
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangent wildgames Master Uninstall 
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{80831F60-19D7-43B3-A60C-5CAF8C478DF6} 
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{A39303AB-4898-4F12-BAA0-0B8630F86DB4} 



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
         

Den gnazn Müll von Junkware hast du im Prinzip alles selbst installiert. Siehe auch VLC Plus Player - das passiert wenn man einfach von irgendwo lädt und nicht von der Orginalseite des Videolan-Projekts.

Downloadquellen

Lade keine Software von Chip.de, Softonic.de, sourceforge.net, openoffice.de, VLC.de, audacity.de, gimp24.de oder updatestar.com.
Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software (Potentially unwanted programs, kurz PUP) oder Adware installiert.
Auf manchen Seiten wird direkt PUP / Adware zum Download angeboten.

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software direkt beim jeweiligen Hersteller / Entwickler.

Zitat:

Noch eine Frage:
Warum erhalte ich hier im Portal und auf anderen Seiten auf einmal Werbung.
Hatte ich bisher nicht, und möchte ich auch künftig nicht.

Falls du es noch nicht getan hast, installiere mal für deine Browser uBlock Origin: https://www.google.com/search?client=firefox-b-d&q=uBlock+Origin und gib dann Bitte Rückmeldung ob es mit uBlock Origin dann mit Werbung in den Browsern vorbei ist.

Hallo Viktor,

Wie man in den Log´s sehen kann hast du einiges PUP (=potenziell unerwünschte Programme) am Computer. Das kommt vorallem durch unseriöse Webseiten und deren Geschäftsmodelle. Um Geld zu kassieren, wird auf deinem Rechner, durch den Download auf deren Seiten wird Werbung mit in deinen PC geschleust

Chrome ist ein stabiler und kommerzieller Browser von Google. Leider werden durch Chrome auch Daten (Surfverhalten, Klicks, etc.) gesammelt. Ich will dir nichts auf´s Auge drücken und die Meinungen gehen, wie immer im Leben, teilweise auseinander. Wenn du mehr darüber wissen willst kannst du hier viele Informationen erhalten. Bei Fragen dazu stehe ich gerne zur Verfügung.

Lösch bitte noch die Datei im Downloadbereich:

Zitat:

PUP.Optional.ChipDe, C:\USERS\VIKTO\DOWNLOADS\VLC MEDIA PLAYER (64 BIT) - INSTALLER _1AF0.EXE, Keine Aktion durch Benutzer, 636, 562568, 1.0.45256, , ame, , 4AD14F8F15E3A4C6575C4C15912087D9, D4635DD7665F14636ABBAA1BED97D381A5C82351AD7B5E93D36D25455F3FB48B

Zurück zum Problem mit der Werbung:
-Deinstallier Chrome bitte vollständig, da scheint auch PUP übrig geblieben zu sein.
-Bei Bedarf kannst du Chrome wieder installieren
-Im Firefox/Chrome bitte uBlock Origin (bitte auf die genaue Bezeichnung achten. Auch hier gibt´s wieder unseriöse Trittbrettfahrer) aus dem jeweiligen Add-on store. (Wie mein Vorredner auch vorgeschlagen hat)

Als seriöse Downloadquelle kannst du Heise Download nutzen, wenn du dich später mit chocolatey beschäftigen willst.

Solltest du noch Probleme haben, dann beschreib es bitte so genau wie möglich und in welchem Programm und auf welchen Webseiten du es hast.

uBlock Origin gibt es auch für den Edge Chromium Browser(hab das da auch installiert): https://www.deskmodder.de/blog/2019/06/04/ublock-origin-fuer-den-microsoft-edge-chromium-herunterladen/

Zitat:

Zitat von schlawack

Falls du es noch nicht getan hast, installiere mal für deine Browser uBlock Origin: https://www.google.com/search?client=firefox-b-d&q=uBlock+Origin und gib dann Bitte Rückmeldung ob es mit uBlock Origin dann mit Werbung in den Browsern vorbei ist.

Habe ich raufgespielt.
Scheint erstmal zu wirken.