Hallo an die Community.
Seit Ende letzten Jahres taucht beim Surfen im Internet immer wieder das Popup-Fenster mit der Meldung auf, dass mein Antivirusprogramm Avast mich vor einer Bedrohung schützt und eine Verbindung zu cllckbiz.org trennt. Das genannte Antivirusprogramm und das Programm CCleaner habe ich immer wieder durchlaufen lassen, welches nichts fand.

Die Bedrohungsmeldung habe ich zur Hilfe der Anlage beigefügt.

Es wäre nett, wenn mir jemand mit diesem Problem helfen könnte, da die diese Meldung inklusive penetrantischer Geräuschmeldung beim Surfen mehrmals stündlich auftaucht.

Vielen Dank schonmal

Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.

Zitat:

(...) und das Programm CCleaner habe ich immer wieder durchlaufen lassen, welches nichts fand.

Bitte lesen:
CCleaner wird nicht mehr empfohlen







Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • App Explorer
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.



Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Danke für die schnelle Meldung.
Schritt 1 (App Explorer) wurde erfolgreich deinstalliert.

Schritt 2: MBAM installiert, durchgeführt und 53 Fälle in Quarantäne verschoben. Die Logdatei ist im Anhang.

Schritt 3 AdwCleaner durchlaufen gelassen. Logdatei:

# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build: 08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 04-01-2023
# Duration: 00:00:02
# OS: Windows 10 (Build 19045.2728)
# Cleaned: 20
# Failed: 0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted C:\Program Files (x86)\Chromium
Deleted C:\Users\Public\Documents\Downloaded Installers
Deleted C:\Users\king_\AppData\Local\slimware utilities inc
Deleted C:\Users\king_\AppData\Roaming\DESKTOPICONAMAZON
Deleted C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

Deleted C:\Users\king_\AppData\Roaming\Mozilla\Firefox\Profiles\wpqf1uoc.default-release\invalidprefs.js
Deleted C:\Windows\System32\Tasks_Migrated\App Explorer

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

Deleted C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WildTangent Games\BlackJack+.lnk

***** [ Tasks ] *****

Deleted C:\Windows\System32\Tasks\DRIVER BOOSTER SCHEDULER

***** [ Registry ] *****

Deleted HKCU\Software\csastats
Deleted HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A5001D15-0517-4560-9A15-6EEC5100B1DC}
Deleted HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scheduler
Deleted HKLM\Software\Classes\Installer\Features\A38C15B2D5649AE4C9CDE19DE50DA96C
Deleted HKLM\Software\Classes\Installer\Products\A38C15B2D5649AE4C9CDE19DE50DA96C
Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A38C15B2D5649AE4C9CDE19DE50DA96C
Deleted HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted HKLM\Software\Wow6432Node\IObit\RealTimeProtector

***** [ Chromium (and derivatives) ] *****

Deleted Touch VPN – Kostenloses VPN und kostenloser Proxy - bihmplhobchoageeokmgbdihknkjbknd

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

Deleted Amazon Assistant for Firefox - abb-acer@amazon.com

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [7952 octets] - [01/04/2023 22:32:46]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Entschuldige. Hier die Logdatei von MBAM

Vielen Dank für die Logdateien.


Bitte zur Kontrolle FRST ausführen, dann geht es weiter.




Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hier die beiden neuen logdatein

Zitat:

Zitat von Montesuma

Hier die beiden neuen logdatein

Vielen Dank.



Bitte achte besser auf deine Downloadquellen und halte dich von dubioser Software fern (andernfalls infizierst du dein System erneut):

Zitat:

PUP.Optional.ChipDe, C:\USERS\KING_\DOWNLOADS\CRYSTALDISKMARK - CHIP-INSTALLER.EXE, In Quarantäne, 7728, 562568, 1.0.67452, 75C2667705E97E8DE194586A, dds, 02234549, A0A672FA6B668D19B057268682226E48, 2182746BEBE799AEA3DAF01743D61BBE545869F8970A8AC306F806676EAF1AB9

HackTool.PasswordStealer, C:\USERS\KING_\DOWNLOADS\DOWNLOADS2\RPC412_SETUP.EXE, In Quarantäne, 2460, 146683, 1.0.67452, , ame, , D5B76350CB5ED0625D51E31E6097E62E, 3880FA9F424F98C617D5DC9D03C20D3663CC7F878E13DF81F3276994747B461C
Trojan.Crypt, C:\USERS\KING_\DOWNLOADS\DOWNLOADS2\KLICK0R.EXE, In Quarantäne, 57, 483116, 1.0.67452, , ame, , E07258AF0E27AD18D1B893672FA04D09, 2E5961DEBA5C857A2F0EF9910CF7DA4337209B7B08240BD5166097390962220A

Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

• Chip.de
• Softonic.de
• sourceforge.net
• openoffice.de
• VLC.de
• audacity.de
• gimp24.de
• jdownloader.org
• computerbild.de
• updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Wir nutzen nun FRST zur Bereinigung. Dies wird einige Minuten dauern.
Anschließend kontrollieren wir mit ESET.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-359495094-2024670768-2274059689-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer17win10.msn.com/?pc=ACTE
  SearchScopes: HKLM -> DefaultScope {83E58341-C23D-4FAA-AAF3-AA6420033B1B} URL = 
  SearchScopes: HKLM-x32 -> DefaultScope {83E58341-C23D-4FAA-AAF3-AA6420033B1B} URL = 
  HKU\S-1-5-21-359495094-2024670768-2274059689-1001\...\Run: [GalaxyClient] => [X]
  GroupPolicy: Beschränkung ? <==== ACHTUNG
  Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
  Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
  Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
  Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
  Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
  FF user.js: detected! => C:\Users\king_\AppData\Roaming\Mozilla\Firefox\Profiles\wpqf1uoc.default-release\user.js [2023-01-09]
  FF user.js: detected! => C:\Users\king_\AppData\Roaming\Mozilla\Firefox\Profiles\u851r464.default\user.js [2023-01-09]
  CHR DefaultSearchURL: Default -> hxxps://db.pokemongohub.net/images/icons/192.png
  S3 BraveElevationService1d926d1b84156a; "C:\Program Files\BraveSoftware\Brave-Browser\Application\111.1.49.132\elevation_service.exe" [X]
  S2 igfxCUIService2.0.0.0; %SystemRoot%\System32\DriverStore\FileRepository\cui_dch.inf_amd64_767e7683f9ad126c\igfxCUIService.exe [X]
  S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
  
  startpowershell:
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  CMD: netsh winsock reset
  CMD: netsh int ip reset
  CMD: ipconfig /flushdns
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: sfc /scannow
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von ESET

hier die beiden Dateien

Gut gemacht.

Wie läuft Chrome? Meckert Avast noch?



Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Leider erscheint die Bedrohungsmeldung weiterhin. Auch nochmal im Anhang zu sehen.

Vielen Dank für die Infos.

Die Meldung von Avast kommt nur, wenn der Browser geöffnet ist?



Bitte eine Kontrolle mit FRST ausführen.


Schritt 1

• Starte FRST erneut.
• Setze einen Haken vor Shortcut.txt und klicke auf Untersuchen.
• FRST erstellt nun drei Logdateien (FRST.txt, Addition.txt und Shortcut.txt).
• Poste mir alle Logdateien mit deiner nächsten Antwort.

Edit:
Ich bin die nächsten Tage nicht da, cosinus übernimmt dann für mich.

Vielen Dank, dass du dich der Problematik annimmst Matthias.
Die Meldung kommt scheinbar nur, wenn der Chrome-Browser geöffnet ist. Bei z.B. Mozilla ist dies nicht der Fall.

Ich würde dir dringend raten, den Chrome-Browser zu deinstallieren und künftig nur noch Firefox zu verwenden. Als Ausweichbrowser haben Windows 10 und 11 bereits den Microsoft Edge dabei und das ist ein chromebasierter Browser. Wozu brauchst du daher noch noch die Extrawurst Chrome von Google?

Danke für den Tipp. Da der Browser für meine Zwecke sehr gut eingerichtet ist, stellt sich mir die Frage, ob es noch eine weitere Lösungsmöglichkeit gibt?
Danke und VG

Nicht wenn der Browser komplett verhunzt ist. Dann wirst du ihn komplett deinstallieren und neu installieren müssen. Wobei sich mir aber die Frage stellt was ihr Leute da draußen an dieser Google-Wanze Chrome so toll findet?

Bist du denn bereit, dich von anderem unnötigen oder alten Schrott zu trennen? Also das hier:

Acer Configuration Manager
Avast Free Antivirus
Brave
Care Center Service
Driver Booster 10
WinRAR 5.71 (64-Bit)