Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Win10, Avira, TR/Bagle.zip (https://www.trojaner-board.de/202593-win10-avira-tr-bagle-zip.html)

BeRealm 22.09.2021 17:32
Super das es mit dem Posten der Logs so gut geklappt hat. Es erscheint auf den ersten Blick nach Fach-Chinesisch aber das Lesen der Anleitung Schritt für Schritt führt hier im Forum immer ans Ziel.

Ich bin kein Profi daher sollte cosinus oder MKDB nochmal über Log´s schauen aber mir sind folgende Punkte aufgefallen:
-ExpressVPN scheint an deinem Rechner installiert zu sein. Schau dir dazu bitte dieses Video an. Über Sinn und Unsinn von VPN´s will ich gar nicht streiten aber wertvolle Tipps dazu gibt´s hier.
-Im Chrome befinden sich noch Avira Erweiterungen, bitte weg damit. Avira nistet sich in verschiedene Programme/Komponenten ein wie eine Zecke.
Zitat:
CHR Extension: (Avira Password Manager) - C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll [2021-09-17]
CHR Extension: (Avira Browserschutz) - C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2021-09-21]
-Du hast den VLC Plus Player installiert! Das ist eine schädliche Nachmache des originalen VLC Player. Unter Umständen werden deine Daten gesammelt und verkauft oder Werbung macht sich am PC breit. Bitte sofort deinstallieren und bleib bei sauberen Downloadquellen! Lies dir dazu bitte den Absatz Downloadquellen in dieser Anleitung vom Board gründlich durch.
Zitat:
VLC Plus Player (HKLM\...\VLC Plus Player) (Version: 3.0.12 - Aller Media e.K.) <==== ACHTUNG
Mach bitte noch vollständige Scan mit Malwarebytes und AdwCleaner. Die Log-Dateien beider Scans bitte auch wieder in Code-Tags einfügen wie zuvor mit FRST.

Bei Fragen oder Problemen melde dich bitte, bevor Missverständnisse oder ungewollte Aktionen auftreten.:daumenhoc

cosinus 22.09.2021 21:21
Danke für deine erste Expertise BeRealm, vllt finden wir da noch was.

schlawack 22.09.2021 23:41
Zitat:
Zitat von cosinus (Beitrag 1757178)
Danke für deine erste Expertise BeRealm, vllt finden wir da noch was.
cosinus, nix gegen BeRealm, aber die Idee mit Adwcleaner und Malwarebytes hatte ich vor BeRealm auch schon: https://www.trojaner-board.de/202593...ml#post1757100
Ich würde an der Stelle von Viktor Barth auch nochmal die Uninstall Tools von Avira und McAfee ausführen, idealerweise im Abgesicherten Modus ob die noch Reste von Avira bzw McAfee finden und löschen.

cosinus 23.09.2021 07:56
Danke für deine erste Expertise schlawack, vllt finden wir da noch was. :lach:

Viktor Barth 23.09.2021 14:44
Neue Logfiles
 
Hallo BeRealm,

danke für Deine Mail.
Ich habe den Rechner soweit gesäubert.
Avira, VLC-plus komplett entfernt.
Nach Neustart mit Malwarebytes und Adwcleaner gescannt.
Die Logfiles hier im Anschluss.

Noch eine Frage:
Warum erhalte ich hier im Portal und auf anderen Seiten auf einmal Werbung.
Hatte ich bisher nicht, und möchte ich auch künftig nicht.

v.G.

Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 23.09.21
Scan-Zeit: 15:18
Protokolldatei: c96e7596-1c70-11ec-a0dc-28cdc464727e.json

-Softwaredaten-
Version: 4.4.6.132
Komponentenversion: 1.0.1453
Version des Aktualisierungspakets: 1.0.45256
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19043.1237)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-2R3VNG7\vikto

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 768004
Erkannte Bedrohungen: 16
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 0 Min., 49 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 2
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Keine Aktion durch Benutzer, 502, 455286, , , , , ,
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Keine Aktion durch Benutzer, 502, 455286, , , , , ,

Datei: 14
PUP.Optional.ChipDe, C:\USERS\VIKTO\DOWNLOADS\VLC MEDIA PLAYER (64 BIT) - INSTALLER _1AF0.EXE, Keine Aktion durch Benutzer, 636, 562568, 1.0.45256, , ame, , 4AD14F8F15E3A4C6575C4C15912087D9, D4635DD7665F14636ABBAA1BED97D381A5C82351AD7B5E93D36D25455F3FB48B
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , 91B2F7F866FF63AC9958286158FC25C9, 9367EAE05AB6CC5F9434572D20670E6A41535E6DE1A4A765051B2C4C018E4AB3
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002591.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , 61E2B4C20DDF9A04168207B93A17B54F, 0B7831957D95887DFF25920FCA504EEAB4E31EE61405F204045CEFF4D4D2C4D1
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002593.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , 94332380D4C1F718C2CFFAB0392F4C71, EA251918A101DE5F22698E2CB3EA72157139EBDA3E3AB3E1818D95F0494783EE
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002595.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , C73E70C6741D593B68AFF803DE4F30E8, 40115824B7E82C79F1B84493FFA8BE241BDCEAB064B410E1D72FAAF50ECBE171
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002596.log, Keine Aktion durch Benutzer, 502, 455286, , , , , B34EBAD53D6137F0CB66A79EC6B7F443, 0423E21CA78C7EBE6A0675172F38BFE035E1F9AD0DB3E1DA54EE9C651B4174D8
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002597.ldb, Keine Aktion durch Benutzer, 502, 455286, , , , , A865DD3518DC5649220EE13B2F748922, 559E0199075586120B07385AFD9F9B938B6E101E34D0FB441315CD7D306C6BC5
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Keine Aktion durch Benutzer, 502, 455286, , , , , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Keine Aktion durch Benutzer, 502, 455286, , , , , ,
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Keine Aktion durch Benutzer, 502, 455286, , , , , 20C2AA4D1DE097CAE690C5C54920F65F, 925CEB78833AAFDB9ED08BBD78386BE551A90A71133F6E0154FB9F1D062A6CE1
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Keine Aktion durch Benutzer, 502, 455286, , , , , A002B1B276E7188775895D27CF51416D, 31686954431547164A45F531F6DB836E32AF252343031F21C10A72E75B79E3B2
PUP.Optional.StartFenster, C:\Users\vikto\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Keine Aktion durch Benutzer, 502, 455286, , , , , DCEC838026B453427FCADE89C0396B4A, 8665344A44C46854D801DB3586AA18CF8182990286CB803204C6414671D11FE4
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 502, 455286, 1.0.45256, , ame, , 0BF2F7273BCE07193B91572AB9CB5A45, A44D3CED5509186DFE370BF7080A636046CB2D66D47C632A6F70F9CA391980FA
PUP.Optional.StartFenster, C:\USERS\VIKTO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 502, 455286, 1.0.45256, , ame, , 0BF2F7273BCE07193B91572AB9CB5A45, A44D3CED5509186DFE370BF7080A636046CB2D66D47C632A6F70F9CA391980FA

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Code:
# -------------------------------
# Malwarebytes AdwCleaner 8.3.0.0
# -------------------------------
# Build:    06-29-2021
# Database: 2021-09-09.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    09-23-2021
# Duration: 00:00:08
# OS:      Windows 10 Home
# Scanned:  31964
# Detected: 32


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy            HKLM\Software\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
PUP.Optional.Legacy            HKLM\Software\Classes\AppID\{BAB04997-93AD-4C13-805A-0409199700BB}
PUP.Optional.Legacy            HKLM\Software\Classes\CLSID\{947217BD-E967-400A-B14A-BA851A8EDCBB}
PUP.Optional.Legacy            HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved|{947217BD-E967-400A-B14A-BA851A8EDCBB}
PUP.Optional.Legacy            HKLM\Software\Wow6432Node\\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
PUP.Optional.Legacy            HKLM\Software\Wow6432Node\\Classes\AppID\{BAB04997-93AD-4C13-805A-0409199700BB}
PUP.Optional.VLCPlusPlayer.DE  HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Update Plus Player

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.StartFenster      Websuche

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPAudioSwitch  Folder  C:\Program Files (x86)\HP\HPAUDIOSWITCH
Preinstalled.HPAudioSwitch  Registry  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAF41A62-1C71-4CF6-B388-957F5888E2FC} 
Preinstalled.HPAudioSwitch  Registry  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch
Preinstalled.HPCleanFLC  Registry  HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher
Preinstalled.HPRegistrationService  Folder  C:\ProgramData\HP\HP REGISTRATION SERVICE
Preinstalled.HPSupportAssistant  Folder  C:\HP\SUPPORT
Preinstalled.HPSupportAssistant  Folder  C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant  Folder  C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant  Folder  C:\Users\vikto\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant  Registry  HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant  Registry  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant  Registry  HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant  Registry  HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSureConnect  Folder  C:\Program Files\HPCOMMRECOVERY
Preinstalled.HPSureConnect  Registry  HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Preinstalled.HPTouchpointAnalyticsClient  Folder  C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient  Registry  HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}
Preinstalled.WildTangentGamesBundle  Folder  C:\Program Files (x86)\WILDGAMES
Preinstalled.WildTangentGamesBundle  Folder  C:\Program Files (x86)\WILDTANGENT GAMES
Preinstalled.WildTangentGamesBundle  Folder  C:\Program Files (x86)\WILDTANGENT GAMES\SHORTCUTPROVIDER
Preinstalled.WildTangentGamesBundle  Folder  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WILDTANGENT GAMES
Preinstalled.WildTangentGamesBundle  Registry  HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangent wildgames Master Uninstall
Preinstalled.WildTangentGamesBundle  Registry  HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{80831F60-19D7-43B3-A60C-5CAF8C478DF6}
Preinstalled.WildTangentGamesBundle  Registry  HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{A39303AB-4898-4F12-BAA0-0B8630F86DB4}



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

cosinus 23.09.2021 15:43
Den gnazn Müll von Junkware hast du im Prinzip alles selbst installiert. Siehe auch VLC Plus Player - das passiert wenn man einfach von irgendwo lädt und nicht von der Orginalseite des Videolan-Projekts.

Downloadquellen

Lade keine Software von Chip.de, Softonic.de, sourceforge.net, openoffice.de, VLC.de, audacity.de, gimp24.de oder updatestar.com.
Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software (Potentially unwanted programs, kurz PUP) oder Adware installiert.
Auf manchen Seiten wird direkt PUP / Adware zum Download angeboten.

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software direkt beim jeweiligen Hersteller / Entwickler.

schlawack 23.09.2021 16:02
Zitat:
Noch eine Frage:
Warum erhalte ich hier im Portal und auf anderen Seiten auf einmal Werbung.
Hatte ich bisher nicht, und möchte ich auch künftig nicht.
Falls du es noch nicht getan hast, installiere mal für deine Browser uBlock Origin: https://www.google.com/search?client=firefox-b-d&q=uBlock+Origin und gib dann Bitte Rückmeldung ob es mit uBlock Origin dann mit Werbung in den Browsern vorbei ist.

BeRealm 23.09.2021 17:51
Hallo Viktor,

Wie man in den Log´s sehen kann hast du einiges PUP (=potenziell unerwünschte Programme) am Computer. Das kommt vorallem durch unseriöse Webseiten und deren Geschäftsmodelle. Um Geld zu kassieren, wird auf deinem Rechner, durch den Download auf deren Seiten wird Werbung mit in deinen PC geschleust:pfui:

Chrome ist ein stabiler und kommerzieller Browser von Google. Leider werden durch Chrome auch Daten (Surfverhalten, Klicks, etc.) gesammelt. Ich will dir nichts auf´s Auge drücken und die Meinungen gehen, wie immer im Leben, teilweise auseinander. Wenn du mehr darüber wissen willst kannst du hier viele Informationen erhalten. Bei Fragen dazu stehe ich gerne zur Verfügung.

Lösch bitte noch die Datei im Downloadbereich:
Zitat:
PUP.Optional.ChipDe, C:\USERS\VIKTO\DOWNLOADS\VLC MEDIA PLAYER (64 BIT) - INSTALLER _1AF0.EXE, Keine Aktion durch Benutzer, 636, 562568, 1.0.45256, , ame, , 4AD14F8F15E3A4C6575C4C15912087D9, D4635DD7665F14636ABBAA1BED97D381A5C82351AD7B5E93D36D25455F3FB48B
Zurück zum Problem mit der Werbung:
-Deinstallier Chrome bitte vollständig, da scheint auch PUP übrig geblieben zu sein.
-Bei Bedarf kannst du Chrome wieder installieren
-Im Firefox/Chrome bitte uBlock Origin (bitte auf die genaue Bezeichnung achten. Auch hier gibt´s wieder unseriöse Trittbrettfahrer) aus dem jeweiligen Add-on store. (Wie mein Vorredner auch vorgeschlagen hat:daumenhoc)

Als seriöse Downloadquelle kannst du Heise Download nutzen, wenn du dich später mit chocolatey beschäftigen willst.

Solltest du noch Probleme haben, dann beschreib es bitte so genau wie möglich und in welchem Programm und auf welchen Webseiten du es hast.

schlawack 23.09.2021 21:09
uBlock Origin gibt es auch für den Edge Chromium Browser(hab das da auch installiert): https://www.deskmodder.de/blog/2019/06/04/ublock-origin-fuer-den-microsoft-edge-chromium-herunterladen/

Viktor Barth 23.09.2021 21:34
uBlock
 
Zitat:
Zitat von schlawack (Beitrag 1757218)
Falls du es noch nicht getan hast, installiere mal für deine Browser uBlock Origin: https://www.google.com/search?client=firefox-b-d&q=uBlock+Origin und gib dann Bitte Rückmeldung ob es mit uBlock Origin dann mit Werbung in den Browsern vorbei ist.
Habe ich raufgespielt.
Scheint erstmal zu wirken.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:10 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131