Malwarebyte findet pup.optional.openofficede

Dukkha · 29.11.2022, 18:31

Hallo zusammen,

Leider habe ich OpenOffice von der "openoffice.de" Seite runtergeladen, statt der offizielen openoffice.org (die de-Seite kommt bei mir zuerst auf Google). Danach hat Malwarebytes insgesamt 7 Elemente in die Quarantäne geschoben.

Danach habe Logs mit FRST erstellt und auch das Tool adwCleaner laufen lassen. AdwCleaner hat nichts gefunden ausser vorinstallierten Programmen, die habe ich aber nicht in Quarantäne geschoben.

Leider kann ich meine Logfiles von FRST hier nicht hineinkopieren, ich vermute, sie sind zu groß. Deshalb hänge ich sie an. Falls es doch irgendwie geht, so wäre ich froh um Hilfe. Danke.

EDIT: Ich habe das Logfile von Malwarebytes gefunden und es lässt sich kopieren:

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 29.11.22
Scan-Zeit: 16:42
Protokolldatei: 61455a94-6ffc-11ed-96c2-00ffc99db455.json

-Softwaredaten-
Version: 4.5.18.226
Komponentenversion: 1.0.1823
Version des Aktualisierungspakets: 1.0.62858
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 19044.2251)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-L75O52C\andre

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 321177
Erkannte Bedrohungen: 7
In die Quarantäne verschobene Bedrohungen: 7
Abgelaufene Zeit: 4 Min., 14 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.OpenOfficeDE, HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\OpenOffice Updater, In Quarantäne, 5875, 628584, 1.0.62858, , ame, , , 
PUP.Optional.OpenOfficeDE, HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OpenOffice Updater, In Quarantäne, 5875, 531440, 1.0.62858, , ame, , , 

Registrierungswert: 1
PUP.Optional.OpenOfficeDE, HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|OPENOFFICE UPDATER, In Quarantäne, 5875, 531439, 1.0.62858, , ame, , , 

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 1
PUP.Optional.FakeOpenOffice, C:\USERS\ANDRE\APPDATA\ROAMING\OPENOFFICE UPDATER, In Quarantäne, 1396, 1100251, 1.0.62858, , ame, , , 

Datei: 3
PUP.Optional.OpenOfficeDE, C:\USERS\ANDRE\APPDATA\ROAMING\OPENOFFICE UPDATER\UPDATER.EXE, In Quarantäne, 5875, 531439, , , , , 165AD73A0A60AE4A1C0E83EE6C3FA590, 0C6E109E221B1834FDED33E5C63554B520D45EDBDFC82C73B16E91DF6AC81AC2
PUP.Optional.FakeOpenOffice, C:\Users\andre\AppData\Roaming\OpenOffice Updater\oo.ico, In Quarantäne, 1396, 1100251, , , , , 13A6E06560E33A07137079764675E9D2, CEB85A88CDD80F56E0F5EFE03810916A6590FF4A14CE54997A1BD11FCC7A2135
PUP.Optional.FakeOpenOffice, C:\Users\andre\AppData\Roaming\OpenOffice Updater\uninst.exe, In Quarantäne, 1396, 1100251, , , , , CFE7A9882519157734F97FFBD440F8CA, E0B6CB633507B3DD887875EC58B88E3D78B64446FA073862CC24A5B7C8CBB58E

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

M-K-D-B · 29.11.2022, 21:36

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Da sind noch einige Reste von McAfee auf dem System. Lass mal das Uninstall-Tool drüberlaufen, du hast ja ESET. Dann ein FRST-Fix.

Schritt 1
McAfee ist noch nicht vollständig entfernt.
Downloade dir das McAfee Removal Tool auf deinen Desktop.

Starte das Programm und klicke auf Next.
Stimme den Lizenzvereinbarungen zu ("Agree") und klicke auf Next.
Gib den Sicherheitscode ein, klicke auf Next und dann startet die Entfernung.
Schließe das Programm beim Neustart.

Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
S4 ELANFPService; %SystemRoot%\System32\ELANFPService.exe [X]
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

Starte nun FRST und klicke direkt auf den Button Reparieren.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

Wichtig:
- Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
  Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
- Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

die Logdatei des FRST-Fix (fixlog.txt)

Dukkha · 29.11.2022, 23:37

Hallo Matthias,

Vielen Dank für deine Hilfe. Beim McAffe-Teil bekam ich allerdings eine Fehlermeldung:
"incomple unistallation: some or all files may not have been removed successfully"

Das Logfile ist riesig, ich weiß nicht, ob ich das posten soll.

Das Fixlog-File:

Code:

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 26-11-2022
durchgeführt von andre (29-11-2022 23:07:45) Run:1
Gestartet von C:\Users\andre\Documents\Programme\FRST
Geladene Profile: andre
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
S4 ELANFPService; %SystemRoot%\System32\ELANFPService.exe [X]
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKLM\System\CurrentControlSet\Services\ELANFPService => erfolgreich entfernt
ELANFPService => Dienst erfolgreich entfernt

========= Powershell: =========

Set-MpPreference : Fehler beim Vorgang: 0x800106ba. Vorgang: Set-MpPreference. Ziel: DisableAutoExclusions.
In C:\FRST\tmp000.ps1:9 Zeichen:1
+ Set-MpPreference -DisableAutoExclusions $true -Force
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (MSFT_MpPreference:root\Microsoft\...FT_MpPreference) [Set-MpPreference],  
   CimException
    + FullyQualifiedErrorId : HRESULT 0x800106ba,Set-MpPreference
 

========= Ende von Powershell: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= netsh int ip reset =========

Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... Fehler
Zugriff verweigert

 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.


========= Ende von CMD: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).


========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {A9C3601F-7E1D-4F1E-92DB-8BE1DE4B9E1C}.
0 out of 1 jobs canceled.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 508474178 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 16554308 B
Edge => 0 B
Firefox => 1279142896 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 254924 B
systemprofile32 => 254924 B
LocalService => 492904 B
NetworkService => 8473748 B
andre => 459746035 B
defaultuser100000 => 460583800 B

RecycleBin => 9912248 B
EmptyTemp: => 2.6 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 23:16:51 ====

M-K-D-B · 30.11.2022, 20:48

Gut gemacht.

Schritt 1
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Dukkha · 02.12.2022, 11:13

Danke nochmals für die Hilfe. Es scheint immer noch Rest von McAfee auf dem Rechner zu haben.

Code:

ATTFilter

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 02.12.2022 11:07:10
Path starting: C:\Users\andre\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: andre
VersionXML: 10.29is-20.11.2022
___________________________________________________________________________

Windows 10(6.3.19044) (x64) Core Release: 2009 Lang: German(0407)
Installation date OS: 09.09.2021 08:38:58
LicenseStatus: Windows(R), Core edition The machine is permanently activated.
LicenseStatus: Office 16, Office16O365HomePremR_Grace edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
SystemDrive: C: FS: [NTFS] Capacity: [476.1 Gb] Used: [281.7 Gb] Free: [194.4 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
User Account Control enabled (Level 3)
Sicherheitscenter (wscsvc) - The service is running
Remoteregistrierung (RemoteRegistry) - The service has stopped
SSDP-Suche (SSDPSRV) - The service is running
Remotedesktopdienste (TermService) - The service has stopped
Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
ESET Security (enabled and up to date)
---------------------------- [ Firewall_WMI ] -----------------------------
ESET Firewall (enabled)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.18.226 v.4.5.18.226 [+]
ESET Security v.16.0.22.0 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft 365 - de-de v.16.0.15726.20202
Microsoft 365 - en-us v.16.0.15726.20202
Microsoft 365 - fr-fr v.16.0.15726.20202
Microsoft 365 - it-it v.16.0.15726.20202
OpenOffice 4.1.13 v.4.113.9810
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.227.1030.0001
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.12.0 (8964) Warning! Download Update
---------------------------- [ ProxyAndVPNs ] -----------------------------
ExpressVPN v.7.12.1.4
-------------------------------- [ Media ] --------------------------------
Audacity 3.1.3 v.3.1.3 Warning! Download Update
VLC media player v.3.0.16 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 de) v.107.0
Microsoft Edge v.107.0.1418.62 [+]
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 de) v.102.5.0
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET Security\egui.exe v.10.30.8.0
C:\Program Files\ESET\ESET Security\eguiProxy.exe v.10.30.8.0
ESET Service (ekrn) - The service is running
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.30.8.0
ESET Firewall Helper (ekrnEpfw) - The service is running
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.30.8.0
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.4.0.0.1372
Malwarebytes Service (MBAMService) - The service is running
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.1159
McAfee Service Controller (mfemms) - The service has stopped
Microsoft Defender Antivirus-Dienst (WinDefend) - The service has stopped
Microsoft Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service has stopped
----------------------------- [ End of Log ] ------------------------------

M-K-D-B · 02.12.2022, 17:58

Wir können versuchen, die Reste zu entfernen, wenn du das möchtest.

Dazu bitte eine Kontrolle mit FRST.

Schritt 1

Starte FRST erneut und klicke auf Untersuchen.
FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Dukkha · 03.12.2022, 22:44

Hi, leider kann ich den Inhalt der Logfiles wieder nicht hineinkopieren und muss sie unten anhängen.

M-K-D-B · 04.12.2022, 16:56

Schau mal bitte im Startmenü und in den Einstellungen nach, ob du noch Software von McAfee findest.
Falls ja, bitte deinstallieren und den Rechner neu starten.

Gib bitte kurz Bescheid.

Dukkha · 05.12.2022, 11:36

Ja, ich finde McAfee Personal Security. Ich denke Mal, als nächstes sollte ich das manuell deinstallieren versuchen?

M-K-D-B · 05.12.2022, 21:28

Zitat:

Zitat von Dukkha

Ja, ich finde McAfee Personal Security. Ich denke Mal, als nächstes sollte ich das manuell deinstallieren versuchen?

Genau. Bitte übers Startmenü bzw. über die Einstellungen deinstallieren.

Anschließend den Rechner neu starten und bitte neue Logdateien von FRST.

Dukkha · 09.12.2022, 19:14

Hi,

Ich war leider sehr beschäftigt, deshalb die verspätete Antwort. Hier sind die neuen Logfiles. Vielen Dank nochmals.

M-K-D-B · 09.12.2022, 21:56

Zitat:

Zitat von Dukkha

Ich war leider sehr beschäftigt, deshalb die verspätete Antwort.

Ist bei mir im Moment nicht anders... habe gefühlt Arbeit bis zur Decke.

Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
U3 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
U3 mfevtp; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
C:\Program Files\Common Files\McAfee
S3 cfwids; C:\windows\System32\drivers\cfwids.sys [75704 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
C:\windows\System32\drivers\cfwids.sys
R3 mfeaack; C:\windows\System32\drivers\mfeaack.sys [529848 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
U0 mfeavfk; C:\windows\System32\drivers\mfeavfk.sys [382392 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
U0 mfefirek; C:\windows\System32\drivers\mfefirek.sys [521656 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
U0 mfehidk; C:\windows\System32\drivers\mfehidk.sys [1006008 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
R3 mfeplk; C:\windows\System32\drivers\mfeplk.sys [116664 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
U0 mfewfpk; C:\windows\System32\drivers\mfewfpk.sys [252344 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
C:\windows\System32\drivers\mfeaack.sys
C:\windows\System32\drivers\mfeavfk.sys
C:\windows\System32\drivers\mfefirek.sys
C:\windows\System32\drivers\mfehidk.sys
C:\windows\System32\drivers\mfeplk.sys
C:\windows\System32\drivers\mfewfpk.sys

startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: slmgr /dli
Hosts:
RemoveProxy:
EmptyTemp:
End::

Starte nun FRST und klicke direkt auf den Button Reparieren.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

Wichtig:
- Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
  Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
- Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

M-K-D-B · 14.12.2022, 21:34

Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

30.11.2022, 20:48	#4
M-K-D-B /// TB-Ausbilder	Malwarebyte findet pup.optional.openofficede Gut gemacht. Schritt 1 Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

02.12.2022, 17:58	#6
M-K-D-B /// TB-Ausbilder	Malwarebyte findet pup.optional.openofficede Wir können versuchen, die Reste zu entfernen, wenn du das möchtest. Dazu bitte eine Kontrolle mit FRST. Schritt 1 Starte FRST erneut und klicke auf Untersuchen. FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt). Poste mir beide Logdateien mit deiner nächsten Antwort.

04.12.2022, 16:56	#8
M-K-D-B /// TB-Ausbilder	Malwarebyte findet pup.optional.openofficede Schau mal bitte im Startmenü und in den Einstellungen nach, ob du noch Software von McAfee findest. Falls ja, bitte deinstallieren und den Rechner neu starten. Gib bitte kurz Bescheid.

Malwarebyte findet pup.optional.openofficede

Log-Analyse und Auswertung: Malwarebyte findet pup.optional.openofficede