Hallo,
Ich habe Seit kurzen Probleme mit dem rechner. das machte sich am anfang lediglich bemerkbar dadurch das im taskmanager keine Netzwerkauslastung angezeigt hat.

-am 09.01 habe ich eine meldung von Windows Sicherheit bekommrn das eine Bedrohung gefunden wurde, die habe ich blockiert, eine direkte schnellprüfung im anschluss hat nichts gefunden, dann nochmal vollständig geprüft da wurde etwas gefunden.
Das habe ich unter Quarantiane gestellt.
-seit dem wurde nichts mehr gefunden weder mit defender offline noch mit mrt.

-ich wollte die Malware oder was das ist löschen und auch den Dateipfad einsehen das geht nicht. Das einsehen des Pfades ging nur über die Ereignisanzeige.

das ganze finde ich etwas seltsam und brauche hilfe um die den schmutz zu beseitigen,
so das ich demnächst auch ggf. eine sicherung der daten anfertigen kann. und ein sauberes system habe, bzw alles neu aufsetzen kann und die alten daten mitnehmen kann.


Dateipfad/e:

Pfad: file:_C:\Users\*****\Downloads\gimp-2.10.14-setup - CHIP-Installer.exe; file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

Pfad: file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe


bei beiden handelt es sich um: PUADlManager:Win32/DownloadSponsor
und dazu finde ich im netzt keine richtigen angaben.


meine Starke Vermutung bzgl. der Fehlenden Netzwerkauslastung, war das es an Ocam (download von Chip ) liegt Instaliert ca. anfang Oktober. 2021.
Immer nach dem Schließen von Ocam ist im Hintergrund ein fenster geöffnet und nach dem schließen von dem fenster, öffneten sich im browser tabs.
Ich habe versucht durch entziehen von berechtigungen usw. zu erreichen das dieses hintergundfesnter nicht mehr funktioniert. nun lässt die app sich nicht mehr deinstalliern.
(Muss natürlich nicht an Ocam liegen)



sollten noch log daten benötigt werden vom defender bitte kurz erwähnen wie das geht. Dann mach ich es.

MfG




bedauerlicherweise waren es zu viele Zeichen, ich habe entsprechen einen RAR datei erstellt

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Pfad: file:_C:\Users\*****\Downloads\gimp-2.10.14-setup - CHIP-Installer.exe; file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

Pfad: file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe


bei beiden handelt es sich um: PUADlManager:Win32/DownloadSponsor

Und was genau verstehst du bei den Funden von Windows Defender nicht?

"PUA" bedeutet "Potentially Unwanted Application", was soviel wie "Potentiell Unerwünschte Software" bedeutet.

Wir warnen schon seit Jahren davor, Software bei Chip.de zu laden, bitte den folgenden Abschnitt lesen:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

• Chip.de
• Softonic.de
• sourceforge.net
• openoffice.de
• VLC.de
• audacity.de
• gimp24.de
• jdownloader.org
• computerbild.de
• updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Bitte gib mir kurz eine Rückmeldung, sobald du alle Informationen gelesen und verstanden hast.
Sollen wir dein System auf weitere PUAs hin überprüfen?

Zitat:

Zitat von M-K-D-B

Und was genau verstehst du bei den Funden von Windows Defender nicht?

"PUA" bedeutet "Potentially Unwanted Application", was soviel wie "Potentiell Unerwünschte Software" bedeutet.

Bitte gib mir kurz eine Rückmeldung, sobald du alle Informationen gelesen und verstanden hast.
Sollen wir dein System auf weitere PUAs hin überprüfen?

mein verständnisproblem war nur das ich explizit nach PUADl gesucht habe, mir aber nur PUA agezeigt wurde

ja, lass uns weiter prüfen

Zitat:

Zitat von connor1

ja, lass uns weiter prüfen

Dann beginnen wir mit den ersten beiden Schritten:



Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner

MBMA.txt

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 13.01.22
Scan-Zeit: 20:53
Protokolldatei: 8ca763b0-74aa-11ec-bbb4-28d244d53c31.json

-Softwaredaten-
Version: 4.5.0.152
Komponentenversion: 1.0.1538
Version des Aktualisierungspakets: 1.0.49757
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19044.1466)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-AA8OGT5\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 365019
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 2
Abgelaufene Zeit: 6 Min., 45 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 613, 463412, 1.0.49757, , ame, , , 
PUP.Optional.ChipDe, HKLM\SYSTEM\SETUP\FIRSTBOOT\SERVICES\chip1click, In Quarantäne, 613, 567244, 1.0.49757, , ame, , , 

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

Adw Cleaner

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-13-2022
# Duration: 00:00:10
# OS:       Windows 10 Home
# Scanned:  32022
# Detected: 3


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.LenovoHotkeyManager   Folder   C:\Program Files\LENOVO\HOTKEY 
Preinstalled.LenovoPowerManager   Folder   C:\Windows\SysWOW64\LENOVO\POWERMGR 
Preinstalled.LenovoPowerManager   Folder   C:\Windows\System32\LENOVO\POWERMGR 



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
         

Gut gemacht.


Bitte FRST zur Kontrolle erneu ausführen:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

sind beide in der RAR

Du verwendest zwei Adblocker gleichzeitig, dazu bitte beachten:

Zitat:

FF Extension: (uBlock Origin) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\f4rczgl2.default\Extensions\uBlock0@raymondhill.net.xpi [2022-01-13]

FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\f4rczgl2.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2021-11-24]

Die gleichzeitige Verwendung von "uBlock Origin" (uBO) und "Adblock Plus" (ABP) ist sinnfrei, weil uBO bereits mehr blockiert als ABP. Folglich kannst du ABP deinstallieren.

Das wäre wie wenn du zwei Schmutzfilter für das Regenwasser verwenden würdest und der 1. Filter (uBO) Schmutz bis zu einer Größe von 0,5 mm filtert, während der 2. Filter (ABP) Schmutz nur bis zu einer Größe von 0,8 mm filtert.







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  Task: {09C1813C-EA23-45A2-9FEB-7BDDD890084F} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Keine Datei)
  Task: {7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe -autostart (Keine Datei)
  Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
  Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
  Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
  Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
  CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\AllUserName\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset catalog
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: Winmgmt /salvagerepository 
  CMD: Winmgmt /resetrepository 
  CMD: winmgmt /resyncperf
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: bcdedit.exe /set {bootmgr} displaybootmenu yes
  CMD: bcdedit.exe /set {default} recoveryenabled yes
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Danke, für den hinweis bzgl der Addblocker, ABP habe ich gleich entfernt.

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10-01-2022 01
durchgeführt von ***** (14-01-2022 23:04:17) Run:1
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** & Administrator
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
Task: {09C1813C-EA23-45A2-9FEB-7BDDD890084F} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Keine Datei)
Task: {7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe -autostart (Keine Datei)
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\ProgramData\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\*****\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Default\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Public\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\TEMP.DESKTOP-AA8OGT5\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: bcdedit.exe /set {bootmgr} displaybootmenu yes
CMD: bcdedit.exe /set {default} recoveryenabled yes
Hosts:
RemoveProxy:
EmptyTemp:

*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09C1813C-EA23-45A2-9FEB-7BDDD890084F}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09C1813C-EA23-45A2-9FEB-7BDDD890084F}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Setup\EOSNotify => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\DolbySelectorTask => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DolbySelectorTask" => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\BookReader_B171F20233094AC88D05A8EF7B9763E8 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => erfolgreich entfernt
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => erfolgreich entfernt
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui => erfolgreich entfernt

========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset catalog =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).


========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{118DF058-4C30-4B66-B1DE-060DE22449D4} canceled.
{3EE1121A-2481-415F-8276-B33BD328063F} canceled.
{D7287FBD-5883-4F76-B428-0889631F8D9F} canceled.
3 out of 3 jobs canceled.

========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.

========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Fehler beim Zur�cksetzen des WMI-Repositorys
Fehlercode:	0x8007041B
Einrichtung:	Win32
Beschreibung:	Ein Stoppzeichen wurde an einen Dienst gesendet, von dem andere Dienste abh„ngen.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========


========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= bcdedit.exe /set {bootmgr} displaybootmenu yes =========

Der Vorgang wurde erfolgreich beendet.

========= Ende von CMD: =========


========= bcdedit.exe /set {default} recoveryenabled yes =========

Der Vorgang wurde erfolgreich beendet.

========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 38171016 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 37793681 B
Edge => 1471174 B
Firefox => 1123632622 B
Opera => 164190130 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 6986 B
systemprofile32 => 7426 B
LocalService => 11552 B
NetworkService => 1117294 B
***** => 58756722 B
Administrator => 59030889 B

RecycleBin => 0 B
EmptyTemp: => 1.4 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 23:08:00 ====
         

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.



Schritt 1

• Wir empfehlen die regelmäßige Verwendung (z. B. alle zwei Wochen) von AdwCleaner und MBAM. Sie stören den Betrieb deines Antivirenprogramms nicht.
• Wenn du die Tools dennoch entfernen möchtest, geht das ganz einfach.
  • MBAM:
  • Über Start > Einstellungen > Apps kannst du das Programm deinstallieren.
  • AdwCleaner:
  • Starte AdwCleaner und klicke in der linken Menüleiste auf Einstellungen.
  • Scrolle ganz nach unten und klicke unter dem Menüpunkt AdwCleaner entfernen auf Entfernen.

Schritt 2

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Rechtsklicke auf FRST64 und wähle Umbenennen.
• Benenne FRST64 in Uninstall um.
• Starte Uninstall.
• FRST und die dazugehörigen Dateien/Odner werden entfernt.
• Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.

Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Zitat:

Wir empfehlen die regelmäßige Verwendung (z. B. alle zwei Wochen) von AdwCleaner und MBAM. Sie stören den Betrieb deines Antivirenprogramms nicht.

wenn ich auf win. sicherheit gehe steht dort Malwarebytes ist aktiviert. und das keine aktivitäten erforderlich sind.
Kann ich den Scanner von Windows verwenden und Trotzdem alle zwei wochen AdwCleaner und MBAM durchlaufen lassen, wenn ja wie?

Zitat:

Anleitung: Maßnahmen zur Absicherung des Rechners

ich würde aufjedenfall einen backup machen wie am anfang erwähnt, muss mich nur nochmal etwas genauer damt befassen.




was hat die PUA auf meinem PC eigentlich gemacht ?

eben hat sich nochmal defender firewall gemeldet während ich VLC mediaplayer benutzt habe und hat folgendes blockiert :
Name: VLC media player,
Herrausgeber:VideoLAN
Pfad: C:\program files\videolan\vlc\vlc.exe

sollte man sich da gedanken machen, oder ist alles ok?

Zitat:

Zitat von connor1

wenn ich auf win. sicherheit gehe steht dort Malwarebytes ist aktiviert. und das keine aktivitäten erforderlich sind.
Kann ich den Scanner von Windows verwenden und Trotzdem alle zwei wochen AdwCleaner und MBAM durchlaufen lassen, wenn ja wie?

Du kannst MBAM ganz einfach wieder deaktivieren:

• Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
• Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
• Windows Defender wird sich automatisch wieder aktivieren.
• Du kannst nun Adwcleaner und MBAM zur regelmäßigen Kontrolle auf dem Computer belassen und verwenden. Sie stören den Windows Defender nicht.

Zitat:

Zitat von connor1

ich würde aufjedenfall einen backup machen wie am anfang erwähnt, muss mich nur nochmal etwas genauer damt befassen.

Das ist eine gute Idee. Regelmäßige Backups sind sehr wichtig.

Zitat:

Zitat von connor1

was hat die PUA auf meinem PC eigentlich gemacht ?

Nichts schlimmes... das System verlangsamt und ggf. Werbung angezeigt.

Zitat:

Zitat von connor1

eben hat sich nochmal defender firewall gemeldet während ich VLC mediaplayer benutzt habe und hat folgendes blockiert :
Name: VLC media player,
Herrausgeber:VideoLAN
Pfad: C:\program files\videolan\vlc\vlc.exe

sollte man sich da gedanken machen, oder ist alles ok?

VLC ist ja legitim, also ist das Ok. Den Zugriff kannst du also zulassen.




Sonst ist alles ok?

Zitat:

Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
Windows Defender wird sich automatisch wieder aktivieren.

habe ich gemacht und im schutzverlauf befinden sich immer noch die beiden PUA.
wenn ich drauf klicke werde ich gefragt ob ich möchte das durch diese App änderungen am gerät vorgenommen werden. (so wie am anfang)

Zitat:

Zitat von connor1

habe ich gemacht und im schutzverlauf befinden sich immer noch die beiden PUA.
wenn ich drauf klicke werde ich gefragt ob ich möchte das durch diese App änderungen am gerät vorgenommen werden. (so wie am anfang)

Schutzverlauf heißt ja nur, dass dir dort angezeigt wird, "wann" der Windows Defender in der Vergangenheit "was auch immer" gefunden/blockiert/gelöscht hat.

Das heißt aber nicht, dass die PUA noch auf dem Gerät vorhanden ist.

Jedes Sicherheitsprogramm listet dem Nutzer im Verlauf alle bisher gefundenen "schädlichen Elemente" auf.

Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.