Hallo,

seit vorgestern erhalte ich auf einmal Avira Warnungen, obwohl Avira nie installiert wurde.
Die Warnungen variieren. Teilweise wird auf gescheiterte Zahlungen verwiesen, teilweise wird der Laptop als beschädigt gemeldet, teilweise wird von Bedrohungen gesprochen, aktuell auch von Festplattenschäden.
Das ganze ist mir sehr suspekt. Aviar ist nicht in der App-Liste.

Könnt Ihr mir helfen?

VG

Filip

Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.

Zitat:

Zitat von File2004

Könnt Ihr mir helfen?

Ich denke schon.

Gib mir ein paar Minuten, damit ich mir die Logdateien ansehen kann.

Auf deinem System gibt es mehrere Baustellen, die Meldung ist nur eine lästige Benachrichtigung, nicht gefährlich. Wir kümmern uns darum später.


Zuvor muss aber die Adware/PUP von deinem System entfernt werden.

Wir beginnen mit MBAM und AdwCleaner. Von Chip.de und vlc.de solltest du dich zukünftig fernhalten.




Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

• Chip.de
• Softonic.de
• sourceforge.net
• openoffice.de
• VLC.de
• audacity.de
• gimp24.de
• jdownloader.org
• computerbild.de
• updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,

im Anhang findest Du die Dateien!

VG

Filip

Gut gemacht.


Was kannst du mir zu dieser Datei sagen?
C:\rtr97D5.tmp
Kennst du diese Datei? Welches Programm hat sie erstellt?
Ich kann damit nichts anfangen... sieht ungewöhnlich aus...




Als Nächstes kommt ein Fix mit FRST (Entfernung verwaister Einträge und Kontrolle der Systemdateien) sowie eine Kontrolle mit EEK.







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  CustomCLSID: HKU\S-1-5-21-695253273-1171971196-122293757-1001_Classes\CLSID\{041F9391-C79D-44EE-AA4E-AF4E029C4B47}\InprocServer32 -> C:\Users\stm72\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-695253273-1171971196-122293757-1001_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\stm72\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-695253273-1171971196-122293757-1001_Classes\CLSID\{75399D28-E622-4973-8752-BC0F7DC47AF3}\InprocServer32 -> C:\Users\stm72\AppData\Local\Google\Update\1.3.36.122\psuser_64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-695253273-1171971196-122293757-1001_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\stm72\AppData\Local\Google\Update\1.3.36.102\psuser_64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-695253273-1171971196-122293757-1001_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\stm72\AppData\Local\Google\Update\1.3.36.82\psuser_64.dll => Keine Datei
  CustomCLSID: HKU\S-1-5-21-695253273-1171971196-122293757-1001_Classes\CLSID\{DEDF773D-E27B-485E-8E7D-85C5B0EB5A67}\InprocServer32 -> C:\Users\stm72\AppData\Local\Google\Update\1.3.36.72\psuser_64.dll => Keine Datei
  ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Keine Datei
  HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
  Task: {1683B661-4F7E-43C8-9B5E-EA54B1DB8927} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Keine Datei <==== ACHTUNG
  Task: {58596602-15EB-4F12-8959-DC6414F223C5} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Keine Datei <==== ACHTUNG
  Task: {781AD2BF-AA61-4C16-8D48-DA655256E93D} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Keine Datei <==== ACHTUNG
  Task: {A5C5D72B-A8D0-4A4D-AE2B-47F440B0C58B} - \Lenovo\ImController\TimeBasedEvents\3481213b-aa3e-4354-923f-bc4fd30ec063 -> Keine Datei <==== ACHTUNG
  Task: {B951CBFB-EF96-48DE-9823-07AB2CED7FCD} - \Lenovo\ImController\TimeBasedEvents\f61decc2-2a81-4d5c-b303-610f51b3338c -> Keine Datei <==== ACHTUNG
  Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Keine Datei)
  Task: {D1077E66-556F-4B4E-8595-5CF585DA31D9} - \Lenovo\ImController\TimeBasedEvents\c440f891-bd74-491b-9388-fbd75f709d95 -> Keine Datei <==== ACHTUNG
  Task: {F5F5902C-7AE6-4D5E-81F7-E5C9C7740B41} - \Lenovo\ImController\TimeBasedEvents\45909fa9-6529-4cc9-bc7a-2f240c027b71 -> Keine Datei <==== ACHTUNG
  Task: {FAED6C41-EE92-47C0-86AE-AA86499BEFE6} - System32\Tasks\Lenovo\BatteryGauge\BatteryGaugeMaintenance => C:\ProgramData\Lenovo\ImController\Plugins\LenovoBatteryGaugePackage\x64\BGHelper.exe (Keine Datei)
  Edge Notifications: Default -> hxxps://www1.notifpushnext.com
  S2 ImControllerService; %SystemRoot%\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe [X]
  
  File: C:\rtr97D5.tmp
  Zip: C:\Users\stm72\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kegmdbhbmbglmjhhlcdlgmcjcepkmmbl
  
  startpowershell:
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  CMD: netsh winsock reset
  CMD: netsh int ip reset
  CMD: ipconfig /flushdns
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: sfc /scannow
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.
• Auf deinem Desktop findet sich nach dem Fix ein .zip Datei auf dem Desktop. Füge diese .zip Datei mit deiner nächsten Antwort als Anhang bei.

Schritt 2
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hi,

die Datei ist mir unbekannt. Keine Ahnung, wo sie herkommen könnte.

Wenn ich bei FRST auf Reparieren klicke, kommt immer die Meldung Fislist.txt nicht gefunden. Was mache ich falsch?

Sorry, Fixlist.txt lautet der Name der fehlenden Datei

Zitat:

Zitat von File2004

Wenn ich bei FRST auf Reparieren klicke, kommt immer die Meldung Fislist.txt nicht gefunden. Was mache ich falsch?

Dann hast du vermutlich nicht den gesamten Inhalt der obigen Codebox markiert und in die Zwischenablage kopiert.

Hallo,

hier die Info:

msisoft Emergency Kit – Version 2023.3
Letztes Update: N/A
Eigene LAPTOP-G9CU43H0\Stanic
LAPTOP-G9CU43H0
Windows 11x64

Scan-Einstellungen:

Scan-Methode: Malware-Scan
Objekte: Speicher, Spuren, Dateien

PUPs-Erkennung: An
Archive scannen: Aus
E-Mail-Archive scannen: Aus
ADS-Scan: An

Scan-Beginn: 25.03.2023 21:21:51

Gescannt: 76451
Gefunden 0

Scan-Ende: 25.03.2023 21:23:14
Scan-Zeit: 0:01:23

Die genannte "Benachrichtigung von Avira" ist nun auch weg, oder?


Dann entfernen wir die Datei und machen eine abschließende Kontrolle mit SC.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  C:\rtr97D5.tmp
  Reboot:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hi,

ja, die Meldung ist weg!

Hier die Datei und das logfile:

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 26.03.2023 10:31:42
Path starting: C:\Users\stm72\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Stanic
VersionXML: 10.49is-11.03.2023
___________________________________________________________________________

Windows 11(6.3.22000) (x64) Core Release: 21H2 Lang: German(0407)
Installation date OS: 24.03.2022 17:53:05
LicenseStatus: Windows(R), Core edition The machine is permanently activated.
LicenseStatus: Office 16, Office16O365ProPlusR_Grace edition Windows is in Notification mode
LicenseStatus: Office 16, Office16O365HomePremR_Grace edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: C:\Program Files\Internet Explorer\iexplore.exe
SystemDrive: C: FS: [NTFS] Capacity: [475.7 Gb] Used: [89.2 Gb] Free: [386.5 Gb]
------------------------------- [ Windows ] -------------------------------
User Account Control enabled (Level 3)
Sicherheitscenter (wscsvc) - The service has stopped
Remoteregistrierung (RemoteRegistry) - The service has stopped
SSDP-Suche (SSDPSRV) - The service is running
Remotedesktopdienste (TermService) - The service has stopped
Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
Malwarebytes (disabled and up to date)
Windows Defender (disabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - The service is running
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.25.256 v.4.5.25.256 [+]
-------------------------- [ SecurityUtilities ] --------------------------
WebAdvisor von McAfee v.4.1.1.685
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft 365 - de-de v.16.0.16130.20332 [+]
Microsoft 365 Apps for Enterprise - de-de v.16.0.16130.20332 [+]
OpenOffice 4.1.9 v.4.19.9805 Warning! Download Update
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.048.0305.0002 [+]
-------------------------- [ IMAndCollaborate ] ---------------------------
Microsoft Teams v.1.6.00.376 Warning! Download Update
Zoom v.5.14.0 (13888) [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.111.0.5563.111 [+]
Microsoft Edge v.111.0.1661.54 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.4.0.0.1496
Malwarebytes Service (MBAMService) - The service is running
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.1207
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2301.6-0\MsMpEng.exe v.4.18.2301.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2301.6-0\NisSrv.exe v.4.18.2301.6
Microsoft Defender Antivirus-Dienst (WinDefend) - The service is running
Microsoft Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service is running
----------------------------- [ End of Log ] ------------------------------

Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt):

• OpenOffice
• Microsoft Teams

Die Downloadlinks findest du in der Logdatei von SecurityCheck.




Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hi Matthias,

vielen Dank für die Hilfe!

Hier noch die Logdatei:

# Run at 26.03.2023 12:58:08
# KpRm (Kernel-panik) version 2.12.0
# Website https://kernel-panik.me/tool/kprm/
# Run by Stanic from C:\Users\stm72\Downloads
# Computer Name: LAPTOP-G9CU43H0
# OS: Unsupported OS X64 (22000) (10.0.22000.0)
# Number of passes: 1

- Checked options -

~ Delete Tools
~ Delete Quarantines

- Delete Tools -


## AdwCleaner
[OK] C:\Users\stm72\Downloads\adwcleaner.exe deleted
[OK] C:\AdwCleaner deleted

## Emisoft Emergency Kit
[OK] C:\Users\stm72\Downloads\EmsisoftEmergencyKit.exe deleted
[OK] C:\EEK deleted

## FRST
[OK] C:\FRST deleted

## SecurityCheck
[OK] C:\Users\stm72\Downloads\SecurityCheck.exe deleted
[OK] C:\SecurityCheck deleted

-- KPRM finished in 65.71s --

VG
Filip

Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.