Wertes Trojanerboard,

ich bitte um Unterstützung, Ich befürchte mir Malware eingefangen zu haben.

Habe vor einigen Tagen mittels Tor-Brauser (zur Vermeidung von Werbemüll) im Internet recherchiert. Dabei habe ich entgegen meinen Gewohnheiten, einen Button zur Aktualisierung meines Firefox-Browsers geklickt. Ca. 5 Sek. nach meinem, zugegeben idiot. Verhalten, habe ich den Rechner zur Prävention von Malware bzw. weiterem Unheil ausgeschaltet.

Habe bisher kein verdächtiges Verhalten meines Laptop's erkannt, sorge mich dennoch als sehr sicherheitsafiner User, mir dennoch Malware eingefangen zu haben.
Ein erster Bitdefender Voll-Scan hat keine Befunde gezeigt. Ein weiterer Bitdefender Voll-Scan läuft noch.



Anbei die Logfiles:

FRST.txt + Edition.txt

Scan log ESET 27122022.txt

MWBT_29122022.txt

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Systems helfen.





Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

• Chip.de
• Softonic.de
• sourceforge.net
• openoffice.de
• VLC.de
• audacity.de
• gimp24.de
• jdownloader.org
• computerbild.de
• updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • CHIP Updater
  • CPUID CPU-Z
  • Host App Service
  • IObit Uninstaller
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Hallo Mathias,
vielen Dank für Deine Hilfe.
Folgender Status:

Die Deinstallation der ewähnten Programme war erfolgreich bis auf die Software IObit Uninstaller.
Beim Deinstall-Versuch erschien jeweils die Meldung der Benutzkontensteuerung zum Deinstallieren. Nach klicken des Buttons Deinstallieren erfolgte jedoch keine Deinstallation.

Scan mit MBAM und AdwareCleaner wurde durchgeführt. Die Logdateien findest Du im Anhang.

Vielen Dank für die Rückmeldungen und die Logdateien.

Als nächtes benötige ich neue Logdateien von FRST, damit wir weitermachen können.




Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hallo Mathias,

anbei sende ich Dir die gewünschte Logdatei FRST Teil 1 +2 (wg. Größe).

und hier noch der Additional-Logfile (Teil 1+2).

Wieso hast du beim letzten Suchlauf jetzt auf einmal eine uralte Version von FRST verwendet?

Zitat:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version:20-07-2015

Also das verstehe ich jetzt überhaupt nicht...


Aktuell ist momentan Version 11-01-2023.


Lösche bitte diese alte Version und lade dir die aktuelle Version herunter.

Hallo Mathias,
sorry dass ich die alte Version verwendet habe. Alte Version wurde gelöscht.
Anbei die Logfiles mit der neuen Version.

Wir entfernen verwaiste Reste mit FRST.
Außerdem kontrollen wir die Windows Systemdateien.
Dies kann einige Minuten dauern.
Du solltest währenddessen nichts anderes am System machen.
Bitte gedulde dich.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
  Toolbar: HKU\S-1-5-21-2066734981-1365014711-1473916580-1001 -> Kein Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  Keine Datei
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
  HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
  HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
  HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
  SearchScopes: HKLM -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = hxxp://de.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms}
  SearchScopes: HKU\S-1-5-21-2066734981-1365014711-1473916580-1001 -> DefaultScope {5DCE0FB2-EE44-4337-803D-6ACCBD8C4D42} URL = 
  SearchScopes: HKU\S-1-5-21-2066734981-1365014711-1473916580-1001 -> {5DCE0FB2-EE44-4337-803D-6ACCBD8C4D42} URL = 
  Task: {0FF5D1F2-0B38-48D7-A251-7C15ABEC7C12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
  Task: {226C1514-BB33-4854-9FAC-4965751EEF32} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG
  Task: {241B55E6-EE7C-43D4-97E2-394448528923} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG
  Task: {25C41518-5A00-4152-BFC1-6AC685606B83} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
  Task: {28DCA83F-50E3-4AAD-AD5F-A3F546C3D680} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
  Task: {2B1491D7-C77D-4709-A5DE-417ACB7AE05B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
  Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Keine Datei)
  Task: {44D697C5-11CD-4BDE-BE9F-397CD6DA2574} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
  Task: {4E771B5C-C60E-48C7-8131-A22B5DE47AEB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
  Task: {539FE2A1-DA42-4E3E-8EB0-7E3066A9F9D0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
  Task: {58099CEE-3A02-4B52-8DAF-B0C9C6B4CA52} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
  Task: {5E69D8FA-2963-4664-83CE-943FDEB1978A} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Keine Datei <==== ACHTUNG
  Task: {710C2620-A43E-4EA3-AEF3-78033F11B3F9} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Keine Datei <==== ACHTUNG
  Task: {8018F549-9CBD-4DE7-8118-4F2540318A29} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Keine Datei <==== ACHTUNG
  Task: {91BC67DF-6BAE-4FE8-9D97-29631908F3F9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
  Task: {AEB4FCD6-0EC5-46C7-9409-1481D769338B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
  Task: {DCD780E5-0F86-4467-B3CC-72CF6FFC96BD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
  Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
  Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
  Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
  Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
  FF Homepage: Mozilla\Firefox\Profiles\jkilm97f.default-release -> hxxps://links.malwarebytes.com/link/restorebrowser?lic=trial&product=MBAM-C/homepage?hp=1&bitmask=9996&pId=CH210629&iDate=2022-01-03 11:02:11&bName=
  FF HKU\S-1-5-21-2066734981-1365014711-1473916580-1001\...\Firefox\Extensions: [cliqz@cliqz.com] - C:\Users\Donald\AppData\Roaming\Mozilla\Firefox\Profiles\qcjn6kha.default\extensions\cliqz@cliqz.com => nicht gefunden
  S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X]
  S3 ePowerSvc; "C:\Program Files\Acer\Acer Power Management\ePowerSvc.exe" [X]
  C:\Program Files (x86)\Lavasoft
  C:\ProgramData\Application Data\Lavasoft
  C:\ProgramData\Lavasoft
  C:\Users\AllUserName\AppData\Local\Lavasoft
  C:\Users\AllUserName\AppData\Roaming\Lavasoft
  DeleteKey: HKCU\Software\Lavasoft
  DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
  startpowershell:
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  CMD: netsh winsock reset
  CMD: netsh int ip reset
  CMD: ipconfig /flushdns
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: sfc /scannow
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Hallo Matthias,

vielen Dank für das Script.
Anbei das File Fixlog.txt

Gut gemacht.

Eine kurze Kontrolle mit SC.


Schritt 1
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hallo Mathias,

anbei das Logfile SC.
Die IObit-Software nervt immer noch mit unerwünschten Hinweisen, obwohl die App manuell gelöscht wurde. Wie in Deinem Post angewiesen habe ich mehrfach versucht das Tool IObit Uninstaller 11 zu löschen, jedoch ohne Erfolg.

Hast Du einen Rat ?

Wir versuchen, Iobit mit Revo zu entfernen.
Gib Bescheid, ob das damit geklappt hat.


Downloade dir bitte Revo Uninstaller Free auf deinen Desktop.

• Installiere das Programm mit den vorgegebenen Einstellungen.
• Starte das Programm.
• Es wird dir eine Liste aller installierten Programme angezeigt.
• Wähle IObit Uninstaller aus, klicke oben auf Anwendung deinstallieren und folge den Anweisungen.
• Wähle abschließend den Prüfmodus Moderat aus und klicke auf Durchsuchen, um eventuelle Reste aufspüren und entfernen zu können.
• Sollten Reste gefunden werden, klicke zuerst auf Alle markieren und anschließend auf Löschen. Bestätige die Nachfrage mit Ja.
• Schließe RevoUninstaller.

Vielen Dank für die Logdatei von SecurityCheck.

Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt):
Malwarebytes version 4.5.19.229 v.4.5.19.229 Warning! Download Update
KeePass Password Safe 1.37 v.1.37 Warning! Download Update
OpenOffice 4.1.5 v.4.15.9789 Warning! Download Update
WinRAR 5.50 (64-Bit) v.5.50.0 Warning! Download Update
7-Zip 9.34 (x64 edition) v.9.34.00.0 Warning! Download Update
Uninstall old version and install new one.
GIMP 2.8.18 v.2.8.18 Warning! Download Update
paint.net v.4.0.6 Warning! Download Update
Picasa 3 v.3.9.141.259 Warning! This software is no longer supported.
Skype™ 6.20 v.6.20.104 Warning! Download Update
VLC media player v.3.0.8 Warning! Download Update
iTunes v.12.0.1.26 Warning! Download Update
^Please use Apple Software Update tool.^
Spotify v.0.9.1.57.ge7405149 Warning! Download Update
Google Chrome v.108.0.5359.126 Warning! Download Update

Hallo Mathias,

nochmals danke für deinen Einsatz.

Deinstallation von IObit war mittels Revo-Tool erfolgreich, ist in den Windows App nicht mehr zu finden. Gehe davon aus, dass IObit zukünftig nicht mehr nervt. Beisst sich anscheinend ziemlich tief in der Festplatte fest.
Die Update-Hinweise werde ich noch abarbeiten.

Wie sieht dein abschließendes Fazit zu meinem vermuteten Malwarebefall aus ?
Kann ich mein Laptop uneingeschränkt insbesondere auch für Homebanking nutzen ?
Generell ist Bitdefender Internet Security im Einsatz, für Payments und Homebanking wird Safepay (Bitdefender) und zusätzlich bei Homebanking ein Token (2 Faktor-Authentisierung) eingesetzt. Oder hast Du Vorschläge zur Erhöhung meiner Sicherheit im Web?

Zitat:

Zitat von TheObserver

Deinstallation von IObit war mittels Revo-Tool erfolgreich, ist in den Windows App nicht mehr zu finden. Gehe davon aus, dass IObit zukünftig nicht mehr nervt. Beisst sich anscheinend ziemlich tief in der Festplatte fest.
Die Update-Hinweise werde ich noch abarbeiten.

Es freut mich, dass Revo geholfen hat.
Ansonsten hätten wir das mit FRST entfernt.

Zitat:

Zitat von TheObserver

Wie sieht dein abschließendes Fazit zu meinem vermuteten Malwarebefall aus ?

Abschließend lässt sich sagen, dass sich auf deinem System "nur" unerwünschte Software (sog. PUP) und Adware befand. Nervig/lästig, aber nicht sehr gefährlich.

Grund dafür waren u. a. auch deine Downloadquellen. In diesem Bereich hast du noch "Luft nach oben".

Zitat:

Zitat von TheObserver

Kann ich mein Laptop uneingeschränkt insbesondere auch für Homebanking nutzen ?

Ja, kannst du.

Zitat:

Zitat von TheObserver

Generell ist Bitdefender Internet Security im Einsatz, für Payments und Homebanking wird Safepay (Bitdefender) und zusätzlich bei Homebanking ein Token (2 Faktor-Authentisierung) eingesetzt. Oder hast Du Vorschläge zur Erhöhung meiner Sicherheit im Web?

Generell ist nichts gegen dein Konzept zu sagen, das ist ok.

Viel wichtiger ist jedoch, dass du dir ein "Gesamtkonzept" bezüglich Sicherheit aneignest und dich nicht alleine auf 2FA und Bitdefender verlässt (siehe Downloadquellen weiter oben).

Weiter unten habe ich einen Lesestoff für dich verlinkt. Lies dir das mal alles durch, eventuell kannst du das eine oder andere noch optimieren an deinem "Konzept".





Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.