Hallo liebes Board, alle Jahre wieder grüßt der Marder im PC
Ich werde derzeit bei meinem Browser nach dem ich etwas in Google eingebe sofort zu Bing weitergeleitet. Ich hab bereits vor ein paar Tagen mein Antimaleware Bytes durchlaufen lassen und auch etwas gefunden, in Quarantäne gestellt und sofort gelöscht. Die Berichte schicke ich mit rein.

Dazu noch ein frisches FRST + Addition.

Danke schon mal vorab für die Hilfe.

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Systems helfen.



Wir helfen gerne, aber nicht bei illegaler Software:

Zitat:

Malware.AI.4094218615, G:\$RECYCLE.BIN\S-1-5-21-1626158099-3054840128-3983119954-1001\$RWO984A\ADOBE INDESIGN 2021\RESOURCES\CEP\HSF\HSF_4.0.2_B.EXE, In Quarantäne, 1000000, -200748681, 1.0.65012, 4852A27ED0DCD59EF408D177, dds, 02141776, F5708B7D88D5245EA39854F3FA41D421, 24784EB68006793350C5CE713884125F8E441E1369245A7B370027E16F4D530E
RiskWare.Tool.CK, G:\BEHALTEN\SFT\PROGRAMME2\PPLSQCKTME.ZIP, In Quarantäne, 6720, 133409, 1.0.65012, F8DE63D974899F6BFBF4D149, dds, 02141776, 9D260033F9624006101FDA9E5C018D73, 3DF72687B4CF6DE9E6A5950C5AB918FCF9D9CD6F4B0B44F95DFCA97940ED17B8

Bitte lesen:
Cracks, Keygens und andere illegale Software

Hey, das besagte Programm war auf einer externen Festplatte, die ich mal an diesen PC hier angeschlossen habe. Ich habe das Programm weder auf meinem PC, noch habe ich es heruntergeladen. Ich habe noch mal drüber geschaut und nichts gefunden

Lieben Gruß

Lassen wir mal ESET laufen.



Schritt 1
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Sieht so als als würde nichts gefunden, der Wechsel mit der Suchmaschine ist aber immer noch irgendwie im Browser

Ich habe nicht gesagt, dass das Problem mit ESET behoben sein wird.

Du solltest besser auf deine Downloadquellen achten, du hast dir unerwünschte Software auf dein System geholt.



Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

• Chip.de
• Softonic.de
• sourceforge.net
• openoffice.de
• VLC.de
• audacity.de
• gimp24.de
• jdownloader.org
• computerbild.de
• updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • VLC Plus Player
  • VLC Plus Player Updater
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von AdwCleaner

Oh, okay. Ich wollte eigentlich nur den VLC Media Player, aber da ist was schiefgelaufen. Ist nun deinstalliert und Log ist mit dabei.

Zitat:

Zitat von Xraa

Oh, okay. Ich wollte eigentlich nur den VLC Media Player, aber da ist was schiefgelaufen.

Mir ist schon klar, was du wolltest.
Den VLC Player lädt man sich aber über die offizielle Herstellerseite: videolan.org

Nicht immer ist das erste Sucheregebnis von Google das Richtige.



FRST zur Kontrolle bitte.

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Vielen Dank!

Wir entfernen verwaiste Einträge mit FRST und kontrollieren die Systemdateien.
Dies kann ein paar Minuten dauern, bitte gedulde dich.
Anschließend bitte noch SecurityCheck ausführen.








Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  VirusTotal: C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\n4a6pcvh.default-release\Extensions\{8b47571c-5a80-4b96-8784-794227c94e22}.xpi
  C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\n4a6pcvh.default-release\Extensions\{8b47571c-5a80-4b96-8784-794227c94e22}.xpi
  Task: {074DA1B5-25E9-4907-BBF5-78EC5AC4B8AD} - System32\Tasks\MicrosoftEdgeShadowStackRollbackTask => C:\Program Files (x86)\Microsoft\Edge\Application\108.0.1462.54\Installer\setup.exe --handle-crash="$(ProcessPath)" (Keine Datei)
  Task: {09A71551-E2CD-4553-AFD9-AD2D1305169A} - System32\Tasks\Microsoft Office 15 Sync Maintenance for MIOGA-Unbekannt Mioga => C:\Program Files\Microsoft Office\Office15\MsoSync.exe (Keine Datei)
  Task: {3187BD49-B39A-47C4-84C3-1D8ED683EA17} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Keine Datei)
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Keine Datei)
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  C:\Users\AllUserName\AppData\Local\VLC Plus Player Updater
  startpowershell:
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  CMD: netsh winsock reset
  CMD: netsh int ip reset
  CMD: ipconfig /flushdns
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
  CMD: sfc /scannow
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von SecurityCheck

Guten Morgen, beides done.

Gut gemacht.


Findet die Weiterleitung aktuell immer noch in Firefox statt?




Hattest du diese Erweiterung bewusst installiert gehabt?
FF Extension: (Audio Player App) - C:\Users\Unbekannt\AppData\Roaming\Mozilla\Firefox\Profiles\n4a6pcvh.default-release\Extensions\{8b47571c-5a80-4b96-8784-794227c94e22}.xpi [2023-01-27]
Falls ja, was kannst du mir dazu sagen? Ich finde nämlich nichts passendes dazu.



Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt; Bonjour würde ich deinstallieren, wenn nicht benötigt):

Microsoft 365 Apps for Enterprise - de-de v.16.0.15831.20252 Warning! Download Update

Discord v.1.0.9004 Warning! Download Update

Bonjour v.3.0.0.10 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.


Die Downloadlinks findest du auch in der Logdatei von SecurityCheck.

Also die Weiterleitung kommt zum Glück schon nicht mehr, danke schon mal dafür. Die Erweiterung sagt mir aber tatsächlich gar nichts und ich habe in der Leiste auch keine Erweiterung drinne außer AdBlock Plus.

Danke für die Rückmeldung.
Dann befinden wir uns jetzt auf der Zielgeraden.




Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alles durch und vielen Dank für die Hilfe!