Hallo Leute,

habe mir heute das Farbar Recovery San Tool runtergelade und leider komische Ergebnisse bekommen. Danach habe ich einen Eset Online Scan gemacht, Adware Scan von Malwarebytes und danach das das Junkware Scan Tool durchlaufen lassen, wo jeweils keine negativen Ergebnisse raus kamen. ( Ausser beim Adware Scan dass ich 8 vorinstallierte Programme von Lenovo drauf habe. Sollte ich die deinstallieren von Lenovo?

Bei den Farbar Ergebnissen verstehe ich auch nicht die ewig langen Details von American Oracle..
Hatte zwar mal die Virtual Box installiert gehabt aber momentan die VMware Workstation.

Im Anhang befindet sich das Farbar Ergebniss, da es denke ich für hier zu lang ist. Alles andere poste ich mal hier rein:

Eset Scan:

Code: Alles auswählenAufklappen

ATTFilter

05.07.2023 08:14:31
Geprüfte Dateien: 189206
Erkannte Dateien: 0
Gesäuberte Dateien: 0
Prüfdauer gesamt: 00:34:28
Prüfstatus: Abgeschlossen
         

Adwcleaner:

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build:    08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    07-05-2023
# Duration: 00:00:05
# OS:       Windows 11 (Build 22621.1928)
# Scanned:  32102
# Detected: 8


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.LenovoIMController   Folder   C:\ProgramData\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Folder   C:\Users\Eduard\AppData\Local\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Folder   C:\Windows\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Folder   C:\Windows\System32\Tasks\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\Lenovo Dependency Package_is1 
Preinstalled.LenovoUpdate   Folder   C:\Program Files (x86)\LENOVO\SYSTEM UPDATE 
Preinstalled.LenovoUpdate   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{03C6CC92-68F2-4961-9A73-CAECA350BD08} 
Preinstalled.LenovoUpdate   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\TVSU_is1 


AdwCleaner[S00].txt - [2200 octets] - [05/07/2023 08:38:24]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########
         

Junkware:

Code: Alles auswählenAufklappen

ATTFilter

~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Enterprise x64 
Ran by Eduard (Administrator) on 05.07.2023 at  8:44:00,01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 05.07.2023 at  8:45:13,94
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

Beim Defender kam nur ein Ergebniss raus aber dafür muss ich ja noch ein zweites Thema eröffnen oder?

Poste es mal rein, da ihr ja alle Ergebnisse braucht:

Heute:

Code: Alles auswählenAufklappen

ATTFilter

PUA:Win32/CoinMiner

C:\Users\Eduard\Documents\Newsbin\TERgC7oLaHBuXv\UnRFDE4_tmp\AVG Driver Updater.exe
         

Hab auch schon versucht im Firefox mit about:config und es gefunden aber mit rechstklick konnte ich nichts zurücksetzen. Firefox ist bei mir nur in der Taskleiste und da kommen auch keine Eigenschaften zum anzeigen

Freu mich sehr auf eure Hilfe und bin offen für Tipps und wie man Windows absichert und richtig am laufen hält.

Die Farbar Addition musste ich in eine Zip Datei umwandeln, da Sie zu gross ist.
Liebe Grüsse

Pablo

Hallo Leute,

habe zwar im meinem ersten Thema das schon angessprochen, da es einer meiner Ergebnisse war. Da man aber das getrennt eröffnen soll, werde ich hier mein zweites Problem schildern.

Heute Nacht habe ich Malwarebytes deinstalliert, da es ständig Yoga Dns blockiert hat, obwohl ich es in den Auschlüssen eingetragen habe.

Kurz darauf bekam ich eine Defender Meldung, dass ein CoinMiner auf meinem System ist, wo nicht blockiert werden kann. Ich sollte in die Windows Apps und Feature nachschauen und es dann entfernen. Habe es weder dort gefunden und auch nicht in meinem Hibit Uninstaller.

Bei Firefox habe ich aber about:config eingegeben und den CoinMiner entdeckt. Konnte aber mit rechstklick nichts ausführen um es zurück zu setzen.

Ich wollt schon Firefox komplett zurücksetzen, aber ich warte lieber auf eure Antworten. Den Coinminer habe ich mir anscheinend bzw steh der Pfad da, wo ich mir den AVG Updater runtergeladen hatte.

Hatte aber noch nichts installiert und nach dem Ergebniss, den Ordner gelöscht. Heute hatte ich einen Farbar Scan durchgeführt wo Ergebnisse sind, die in meinem anderen Thema bearbeitet werden, Ebenso einen positiven Eset Scan, Junkware Scan ( Von Malwarebytes) und den Adwarecleaner von Malwarebytes.

Bei jedem Programm ausser Farbar waren es nur positive Ergebnisse. Ausser bei dem Adwarecleaner heisst es, dass ich 8 vorinstallierte Programme von Lenovo habe.

Soll ich die in Quarantäne stecken oder löschen?? Warum werden die überhaupt angezeigt für die Quarantäne?

Hier mal die verschiedenen Logs:

Defender habe ich das Ergebniss nur raus kopiert:

Heute:

Win32/CoinMiner

Pfad bzw betroffenes Element: C:\Users\Eduard\Documents\Newsbin\TERgC7oLaHBuXv\UnRFDE4_tmp\AVG Driver Updater.exe

Eset Scan:

Code: Alles auswählenAufklappen

ATTFilter

05.07.2023 08:14:31
Geprüfte Dateien: 189206
Erkannte Dateien: 0
Gesäuberte Dateien: 0
Prüfdauer gesamt: 00:34:28
Prüfstatus: Abgeschlossen
         

Adware:

Code: Alles auswählenAufklappen

ATTFilter

# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build:    08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    07-05-2023
# Duration: 00:00:05
# OS:       Windows 11 (Build 22621.1928)
# Scanned:  32102
# Detected: 8


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.LenovoIMController   Folder   C:\ProgramData\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Folder   C:\Users\Eduard\AppData\Local\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Folder   C:\Windows\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Folder   C:\Windows\System32\Tasks\LENOVO\IMCONTROLLER 
Preinstalled.LenovoIMController   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\Lenovo Dependency Package_is1 
Preinstalled.LenovoUpdate   Folder   C:\Program Files (x86)\LENOVO\SYSTEM UPDATE 
Preinstalled.LenovoUpdate   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{03C6CC92-68F2-4961-9A73-CAECA350BD08} 
Preinstalled.LenovoUpdate   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\TVSU_is1 


AdwCleaner[S00].txt - [2200 octets] - [05/07/2023 08:38:24]
         

JRT:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Enterprise x64 
Ran by Eduard (Administrator) on 05.07.2023 at  8:44:00,01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 05.07.2023 at  8:45:13,94
End of JRT log
         

Wenn ich die Farbar Ergebnisse auch per Anhang posten soll, kann ich das gerne machen.

Freue mich auf eure Hilfe und wertvolle Tpps.

Liebe Grüsse

Pablo

Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich habe deine beiden Themen zusammengeführt. Bitte verwende nur dieses eine Thema hier und eröffne nicht mehr ein neues Thema. Dieses wird sonst in die Mülltonne verschoben.


Ich analyisere die Logdateien und melde mich später wieder.

Servus,


so, ich bins nochmal. Ich habe mir alles durchgesehen.

Zitat:

Ausser bei dem Adwarecleaner heisst es, dass ich 8 vorinstallierte Programme von Lenovo habe.

Soll ich die in Quarantäne stecken oder löschen?? Warum werden die überhaupt angezeigt für die Quarantäne?

AdwCleaner zeigt halt vorinstallierte (meist nicht benötigte) Software an.

Ich vermute mal, dass dieses System nach dem Kauf nicht einer sauberen Neuinstallation unterzogen wurde? Sowas macht man normalerweise und dann bekommt man auch nicht einen "Wust" an unnötiger Software auf das System.

Zitat:

Plattform: Microsoft Windows 11 Enterprise Version 22H2 22621.1928 (X64) Sprache: Deutsch (Deutschland)

Als Privatperson benötigt man keine Enterprise Version, da genügt Home/Pro.
Ist das ein gewerblich genutztes System?

Zitat:

PUA:Win32/CoinMiner
C:\Users\Eduard\Documents\Newsbin\TERgC7oLaHBuXv\UnRFDE4_tmp\AVG Driver Updater.exe

Bei Firefox habe ich aber about:config eingegeben und den CoinMiner entdeckt. Konnte aber mit rechstklick nichts ausführen um es zurück zu setzen.

Ich wollt schon Firefox komplett zurücksetzen, aber ich warte lieber auf eure Antworten. Den Coinminer habe ich mir anscheinend bzw steh der Pfad da, wo ich mir den AVG Updater runtergeladen hatte.

Schaut man sich die Meldung von Windows Defender einmal genauer an, so erhält man:

Code: Alles auswählenAufklappen

ATTFilter

Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/CoinMiner&threatid=227033&enterprise=0
Name: PUA:Win32/CoinMiner
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\Eduard\Documents\Newsbin\TERgC7oLaHBuXv\UnRFDE4_tmp\AVG Driver Updater.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: DESKTOP-BRJGG6A\Eduard
Prozessname: C:\Program Files\Newsbin\NewsbinPro64.exe
         

Darin wird ersichtlich, dass die Software "Newsbin", welche du selbst installiert hast, letztlich für die Meldung des Defenders verantwortlich ist. Das könnte also auch ein Fehlalarm sein.

Lade doch einfach die "AVG Driver Updater.exe" bei VirusTotal hoch und poste das Ergebnis.


Aktive Malware kann ich (sonst) keine erkennen.

Zitat:

Zitat von M-K-D-B

Ich vermute mal, dass dieses System nach dem Kauf nicht einer sauberen Neuinstallation unterzogen wurde? Sowas macht man normalerweise und dann bekommt man auch nicht einen "Wust" an unnötiger Software auf das System.

Dann hat ihm der Händler oder PC-Auskenner von nebenan Mist installiert:

Zitat:

Plattform: Microsoft Windows 11 Enterprise Version 22H2 22621.1928 (X64) Sprache: Deutsch (Deutschland)

Eine Enterprise-Edition ist eine teure Volumenlizenz-Edition für Großbuden, aber ganz sicher nicht für Privatanwender gedacht.

Servus Matthias, hast du meine Antwort hier gestern bekommen? Weil ich nichts sehen kann, mir aber sicher bin, dass ich die Nachricht gepostet habe

Servus Matthias, danke für die schnelle Antwort! Seh gerade dass meine Nachricht gleich dorten steht, also muss es gestern nicht geklappt haben.

Den Laptop habe ich von meinem Bruder, da der nur 8GB RAM hat und ich hab seit paar Wochen angefangen mich mit IT, Windows, Sicherheit etc. zu beschäftigen, da ist der momentan noch ausreichend bzw nicht allzulang haha.

Die Wust kann ich mir erklären durch das ständige ausprobieren von Programmen, da ich ja wie gesagt noch am Anfang stehe.

Den Ordner hatte ich leider schon gelöscht, da ich das Programm eh nicht wollte und nach der Meldung sowieso.

Malwarebytes und die anderen waren ja alle positiv ausgefallen und hatte gestern nochmal nachgeschaut wegen dem Coinminer.

Es gibt Berichte von 2020, wo mehrere schreiben, dass der Miner eine Fehlermeldung von Windows ist.

Dann wiederum heisst es, das der Miner sich immer wieder installieren kann und eigentlich in Ländern wie Russland zu finden ist usw.

Firefox habe ich mal zurückgesetzt und seitdem ich den Ordner gelöscht habe, kam auch keine Meldung mehr.

Die Farbar Einträge sind dann gar nicht so ungewöhnlich?

Freut mich, dass so anscheinend alles inordung ist aber sollte ich das Windows deiner Meinung nach neu installieren?

Müssen wir dann weiterhin gar nichts machen?

Die Lenovo Programme braucht man eigentlich gar nicht oder?

LG
Pablo

Servus Pablo,



warum hier eine Enterprise Version installiert hast, hast du bisher nicht erklärt.
"Normal" ist diese Version nicht, Home/Pro ist üblich.

In den Logdateien von FRST finden sich einige Einträge, die ungewöhnlich sind.

Der beschriebene Fund sieht für mich eher nach einem Fehlalarm aus, aber das Problem ist ja behoben.

Die Lenovo-Programme sind nicht zwingend für den Betrieb erforderlich.

Wie bereits erwähnt... eine saubere Neuinstallation wäre angebracht.







Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Servus Matthias,

die Windows 11 Enterprise wurde bei Best-Software.de gekauft und kostet dort nicht viel, deswegen hatte ich die gekauft. Ist das sehr ungewöhnlich?

Habe das Tool installiert und die Werkzeuge gelöscht, was muss ich als nächstes machen?

Mit neu installieren dann auf einfach zurücksetzen und alle dateien löschen? Das was ich brauche, mache ich mir halt vorher aufn Stick.

Was war denn bei Farbar als Beispiel ungewöhnlich?


# Run at 08.07.2023 02:11:48
# KpRm (Kernel-panik) version 2.14.0
# Website https://kernel-panik.me/tool/kprm/
# Run by Eduard from C:\Users\Eduard\Downloads
# Computer Name: DESKTOP-BRJGG6A
# OS: Windows 11 X64 (22621) (10.0.22621.1928)
# Number of passes: 1

- Checked options -

~ Delete Tools

- Delete Tools -


## AdwCleaner
[OK] C:\Users\Eduard\Downloads\AntiVirus\adwcleaner_7.3.exe deleted

## ESET Online Scanner
[OK] C:\Users\Eduard\Desktop\ESET Online Scanner.lnk deleted
[OK] C:\Users\Eduard\Downloads\esetonlinescanner.exe deleted
[OK] C:\Users\Eduard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk deleted

## FRST
[OK] C:\Users\Eduard\Downloads\Addition.txt deleted
[OK] C:\Users\Eduard\Downloads\FRST.txt deleted
[OK] C:\Users\Eduard\Downloads\AntiVirus\FRST64.exe deleted

## Junkware Removal Tool
[OK] C:\Users\Eduard\Desktop\JRT.txt deleted
[OK] C:\Users\Eduard\Downloads\AntiVirus\JRT4.exe deleted

- Other Lines -


## Quarantines keeped
~ C:\AdwCleaner (AdwCleaner)
~ C:\Users\Eduard\AppData\Local\ESET\ESETOnlineScanner (ESET Online Scanner)
~ C:\FRST (FRST)

-- KPRM finished in 4.82s --


MFG

Zitat:

Zitat von Pablo2305

die Windows 11 Enterprise wurde bei Best-Software.de gekauft und kostet dort nicht viel, deswegen hatte ich die gekauft. Ist das sehr ungewöhnlich?

Ja. Hast du meinen Beitrag dazu nicht gelesen?
Irgendwelche Schlüssel für ein Paar € Fuffzich zu erwerben kann nach hinten losgehen, idR hast du keine Lizenz erworben. Das Impressum von deinem Anbieter hinterlässt auch nicht wirklich einen seriösen Eindruck.

Zudem fragt man sich wie die vorinstallierte Software von Lenovo ins System kommt und warum überhaupt noch irgendein windiger Key gekauft wird. Schonmal Notebooks ohne vorinstalliertes Windows gesehen?

Hallo Cosinus,

welchen Beitrag meinst du denn genau? Und Best Software dachte ich, dass wäre ein seriöser Anbieter oder dich nicht?

Auf dem Laptop war vorher Windows 11 Home darauf und nein habe noch keine Laptops ohne vorinstalliertes Windows gesehen. Was meinst du damit genau?

Zitat:

Zitat von Pablo2305

welchen Beitrag meinst du denn genau? Und Best Software dachte ich, dass wäre ein seriöser Anbieter oder dich nicht?

https://www.trojaner-board.de/207051-win32-coinminer-wurde-erkannt.html#post1775156

Zitat:

Zitat von Pablo2305

Auf dem Laptop war vorher Windows 11 Home darauf und nein habe noch keine Laptops ohne vorinstalliertes Windows gesehen. Was meinst du damit genau?

Dann erklär doch mal warum du zusätzlich einen Key von einem windigen Key Reseller kaufst obwohl doch schon ein Windows auf dem Notebook dabei war.

Hallo Cosinus, hab nachgeschaut und per Befehl winver und den Befehl slmgr.vbs /dli und bei bei beiden steht dort dass es lizenziert ist.

Deswegen verstehe ich nicht ganz was mit windigen Key gemeint ist. Ich kenne schon die Keys wo man kaufen kann etc. aber die Version wurde nicht so gekauft.

Auf dem Noetebook war doch kein Enterprise drauf sondern Windows 11 Home Edition.

Ich dachte das wäre ein ganz normaler Kauf wo einer höheren Version haha. Dachte jetzt nicht das ich da was falsch gemacht habe.

Windige Key Reseller verkaufen dir halt nur irgendwelche Keys. Aber keine Lizenz. Es gab schon einige, die dichtmachen mussten:

PC Fritz --> https://de.wikipedia.org/wiki/Pcfritz.de_Onlinestore
Lizengo --> https://www.pcspezialist.de/blog/2023/01/20/lizengo/

best-software.de macht auch keinen guten Eindruck. Telefonnummer mit deutscher Vorwahl aber Sitz in Irland --> https://best-software.de/impressum

Zitat:

Grangegorman Court
2C Grangegorman Lower
Dublin 7 | D07 PW9N
Irland

Tel.: 05063 902 999 7
E-Mail: shop@best-software.de

Zitat:

Auf dem Noetebook war doch kein Enterprise drauf sondern Windows 11 Home Edition.

Was bitte willst du mit so einer Version?! Auf dicke Hose machen?
Ich wiederhole mich: eine ENTERPRISE-Edition ist nicht für private Endanwender gedacht, es ist auch nicht besser oder schöner, sondern nur eine bestimmte Form der Lizenzierung, die nur für Großbuden Sinn macht!

Als Privatanwender reicht HOME aus, selbst PRO in den allermeisten Fällen übertrieben.

Ich bin der letzt der auf dicke Hose machen will hahahahh und bin auch nicht hier um meine Enterprise Version vorzustellen, sondern dass mir geholfen wird.

MFG

Mag ja alles sein. Aber idR lehnen wir eine Bereinigung bei solchen Versionen ab. Weil entweder eine illegal aktiviertes Windows im Spiel ist oder es sich um einen Großbuden-PC handelt. Eventuell sogar ein gestohlener

Es bleibt bei der Empfehlung von M-K-D-B: Mach eine saubere Neuinstallation mit Windows 10 (HOME).