| |
| |||||||
Log-Analyse und Auswertung: Programm versucht automatisch Chrome Extension zu installieren (web safety)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.12.2022, 15:34
| #9 |
| |  Programm versucht automatisch Chrome Extension zu installieren (web safety) Vielen Dank fürs wieder öffnen. Und vielen Dank für eure Hilfe! Ich bin total lost....  Hier die 2 Logs. Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-12-2022
durchgeführt von appyt (10-12-2022 19:45:26) Run:1
Gestartet von C:\Users\appyt\Downloads
Geladene Profile: appyt
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\appyt\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\appyt\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\...\RunOnce: [Uninstall 22.217.1016.0002] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\appyt\AppData\Local\Microsoft\OneDrive\22.217.1016.0002" (Keine Datei)
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] ->
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
S3 WinRing0_1_2_0; \??\C:\Users\appyt\AppData\Local\Temp\tmpC372.tmp [X] <==== ACHTUNG
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
C:\Program Files (x86)\Lavasoft
C:\ProgramData\Application Data\Lavasoft
C:\ProgramData\Lavasoft
C:\Users\AllUserName\AppData\Local\Lavasoft
C:\Users\AllUserName\AppData\Roaming\Lavasoft
DeleteKey: HKCU\Software\Lavasoft
DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
C:\ProgramData\ntuser.pol
C:\WINDOWS\system32\GroupPolicy\Machine
C:\WINDOWS\system32\GroupPolicy\GPT.ini
C:\WINDOWS\SysWOW64\GroupPolicy\Machine
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
DeleteKey: HKLM\SOFTWARE\Policies\Google
DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
C:\Users\AllUserName\AppData\Roaming\npm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
CMD: dir "%windir%\installer\*.xpi" /S
CMD: dir "%windir%\installer\c*rx" /S
CMD: dir "%windir%\installer\x*ml" /S
CMD: dir "%windir%\installer\{*-*-*-*-*}" /S
CMD: dir "%ProgramData%\Package Cache\{*-*-*-*-*}" /S
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: slmgr /dli
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************
SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => konnte nicht entfernt werden, Schlüssel könnte geschützt sein
"HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Update Binary" => nicht gefunden
"HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Standalone Update Binary" => nicht gefunden
"HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Uninstall 22.217.1016.0002" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{C885AA15-1764-4293-B82A-0586ADD46B35} => erfolgreich entfernt
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Microsoft\Edge => erfolgreich entfernt
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp => erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0 => erfolgreich entfernt
WinRing0_1_2_0 => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\WinSetupMon => erfolgreich entfernt
WinSetupMon => Dienst erfolgreich entfernt
"C:\Program Files (x86)\Lavasoft" => nicht gefunden
C:\ProgramData\Application Data\Lavasoft => erfolgreich verschoben
"C:\ProgramData\Lavasoft" => nicht gefunden
"C:\Users\ProgramData\AppData\Local\Lavasoft" => nicht gefunden
"C:\Users\appyt\AppData\Local\Lavasoft" => nicht gefunden
"C:\Users\Default\AppData\Local\Lavasoft" => nicht gefunden
"C:\Users\Public\AppData\Local\Lavasoft" => nicht gefunden
"C:\Users\ProgramData\AppData\Roaming\Lavasoft" => nicht gefunden
"C:\Users\appyt\AppData\Roaming\Lavasoft" => nicht gefunden
"C:\Users\Default\AppData\Roaming\Lavasoft" => nicht gefunden
"C:\Users\Public\AppData\Roaming\Lavasoft" => nicht gefunden
HKCU\Software\Lavasoft => erfolgreich entfernt
HKLM\Software\Wow6432Node\Lavasoft => erfolgreich entfernt
"C:\ProgramData\ntuser.pol" => nicht gefunden
C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"C:\WINDOWS\SysWOW64\GroupPolicy\Machine" => nicht gefunden
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
HKLM\SOFTWARE\Policies\Mozilla => nicht gefunden
HKLM\SOFTWARE\Policies\Microsoft\Edge => nicht gefunden
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => erfolgreich entfernt
"C:\Users\ProgramData\AppData\Roaming\npm" => nicht gefunden
C:\Users\appyt\AppData\Roaming\npm => erfolgreich verschoben
"C:\Users\Default\AppData\Roaming\npm" => nicht gefunden
"C:\Users\Public\AppData\Roaming\npm" => nicht gefunden
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js => erfolgreich verschoben
C:\Program Files (x86)\nodejs => erfolgreich verschoben
HKLM\SOFTWARE\Node.js => nicht gefunden
HKLM\SOFTWARE\WOW6432Node\Node.js => erfolgreich entfernt
HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19 => nicht gefunden
HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877 => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19 => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877 => erfolgreich entfernt
HKU\.DEFAULT\Software\Node.js => nicht gefunden
HKCU\SOFTWARE\Node.js => erfolgreich entfernt
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891} => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c} => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2} => erfolgreich entfernt
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2} => nicht gefunden
========= dir "%windir%\installer\*.xpi" /S =========
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: EEEC-9297
========= Ende von CMD: =========
========= dir "%windir%\installer\c*rx" /S =========
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: EEEC-9297
========= Ende von CMD: =========
========= dir "%windir%\installer\x*ml" /S =========
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: EEEC-9297
========= Ende von CMD: =========
========= dir "%windir%\installer\{*-*-*-*-*}" /S =========
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: EEEC-9297
Verzeichnis von C:\WINDOWS\installer
25.01.2021 11:16 <DIR> {0E05CA72-D8DD-432F-A2CC-880034A48577}
08.06.2020 09:45 <DIR> {3A5141D4-47DB-4302-9B1C-272BE585BC8A}
30.12.2020 08:11 <DIR> {3C1972F6-E411-4B54-AD4C-EF24894301D6}
16.10.2020 10:21 <DIR> {4487026C-A32C-4FF5-858E-8DB890814949}
09.11.2021 15:30 <DIR> {68C9C2A4-C212-4310-AB68-12F97050A416}
10.01.2021 21:02 <DIR> {924D3ABC-FC75-4042-9DDB-FB846A45848D}
06.10.2022 15:30 <DIR> {AC76BA86-0804-1033-1959-018244601032}
01.12.2022 14:48 <DIR> {AC76BA86-1031-1033-7760-BC15014EA700}
12.11.2022 15:20 <DIR> {DE181B35-ACEF-4DB0-86D9-731D5767ABB1}
30.12.2020 23:10 <DIR> {F9C5C994-F6B9-4D75-B3E7-AD01B84073E9}
0 Datei(en), 0 Bytes
Anzahl der angezeigten Dateien:
0 Datei(en), 0 Bytes
10 Verzeichnis(se), 402.067.148.800 Bytes frei
========= Ende von CMD: =========
========= dir "%ProgramData%\Package Cache\{*-*-*-*-*}" /S =========
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: EEEC-9297
Verzeichnis von C:\ProgramData\Package Cache
22.12.2021 05:04 <DIR> {050d4fc8-5d48-4b8f-8972-47c82c46020f}
25.01.2021 11:15 <DIR> {0E05CA72-D8DD-432F-A2CC-880034A48577}
30.12.2020 23:10 <DIR> {43a03b9c-4770-409c-a999-587b60700b63}
22.12.2021 05:04 <DIR> {a9cfe9c7-e54f-46cd-9c5c-542ff8e3e8c4}
22.12.2021 05:04 <DIR> {b2d0f752-adc5-496e-8f70-8669de01f746}
22.12.2021 05:04 <DIR> {f65db027-aff3-4070-886a-0d87064aabb1}
0 Datei(en), 0 Bytes
Anzahl der angezeigten Dateien:
0 Datei(en), 0 Bytes
6 Verzeichnis(se), 402.067.148.800 Bytes frei
========= Ende von CMD: =========
========= Powershell: =========
========= Ende von Powershell: =========
========= netsh winsock reset =========
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
========= Ende von CMD: =========
========= netsh int ip reset =========
Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... Fehler
Zugriff verweigert
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.
========= Ende von CMD: =========
========= ipconfig /flushdns =========
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
========= Ende von CMD: =========
========= netsh advfirewall reset =========
OK.
========= Ende von CMD: =========
========= netsh advfirewall set allprofiles state ON =========
OK.
========= Ende von CMD: =========
========= netsh winhttp reset proxy =========
Aktuelle WinHTTP-Proxyeinstellungen:
DirectAccess (kein Proxyserver).
========= Ende von CMD: =========
========= Bitsadmin /Reset /Allusers =========
BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.
{08CD69B0-1A1A-43F8-8DF1-A8DC52336D4E} canceled.
1 out of 1 jobs canceled.
========= Ende von CMD: =========
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= slmgr /dli =========
0
========= Ende von CMD: =========
C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-3349990796-3301203750-1932007998-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
========= Ende von RemoveProxy: =========
=========== EmptyTemp: ==========
FlushDNS => abgeschlossen
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 207222569 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 770523284 B
Windows/system/drivers => 27344189 B
Edge => 0 B
Chrome => 396207709 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 931624 B
systemprofile32 => 931624 B
LocalService => 1039884 B
NetworkService => 1206994 B
appyt => 71462037 B
RecycleBin => 4537125659 B
EmptyTemp: => 5.6 GB temporäre Dateien entfernt.
================================
Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 10-12-2022 19:51:55)
Ergebnis der geplanten Schlüssel-Entfernung nach dem Neustart:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => erfolgreich entfernt
==== Ende vom Fixlog 19:51:55 ====
Code:
ATTFilter Emsisoft Emergency Kit – Version 2022.12
Letztes Update: 10.12.2022 20:08:10
Eigene DESKTOP-Q7BCFQ5\appyt
DESKTOP-Q7BCFQ5
Windows 11x64
Scan-Einstellungen:
Scan-Methode: Malware-Scan
Objekte: Speicher, Spuren, Dateien
PUPs-Erkennung: An
Archive scannen: Aus
E-Mail-Archive scannen: Aus
ADS-Scan: An
Scan-Beginn: 10.12.2022 20:08:35
C:\Users\appyt\Downloads\audacity2-4-2.exe erkannt: Application.Downloader (A) [305107]
Gescannt: 81287
Gefunden 1
Scan-Ende: 10.12.2022 20:12:33
Scan-Zeit: 0:03:58
C:\Users\appyt\Downloads\audacity2-4-2.exe Application.Downloader (A)
Gelöscht 1
|
| Themen zu Programm versucht automatisch Chrome Extension zu installieren (web safety) |
| antivirus, backdoor, einstellungen, entfernen, google, hijack, home, internet, internet explorer, netzwerk, nvcontainer, performance, problem, programm, prozesse, realtek, registry, rundll, scan, software, svchost.exe, system, trojaner, udp, updates, windows |
Baum-Darstellung