Win 10: "There is a Recommended Update for this PC"-Fenster öffnet sich.
 

Hallo Zusammen,

Ich habe nun seit einiger Zeit das Problem das sich ein Fenster öffnet das definitiv nicht von Windows ist.
https://www.bleepstatic.com/swr-guid...updatescam.png
Sieht in etwas so aus.

Habe einige stunden damit verbracht im Internet nach Lösungen zu suchen konnte mir aber nicht helfen, meistens ist die Meldung verschwunden nachdem der Defender von Windows den Trojaner unter Quarantäne gestellt hat.

Hatte jetzt seitdem ich mit Malewarebytes einmal gescannt habe Wochen lang keine Probleme mehr, nun ist aber das Fenster erneut erschienen und ich wende mich an euch.

Hier das FRST:

Und Addition:
Und der Bericht von Malewarebytes:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?





Das sieht nach Adware aus. Wir kümmern uns darum. :)





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
VirusTotal: C:\Users\MrMcFancyPants\AppData\Roaming\Mahotaho.exe
C:\Users\MrMcFancyPants\AppData\Roaming\Mahotaho.exe
VirusTotal: C:\Users\MrMcFancyPants\AppData\Roaming\Mahotaho
C:\Users\MrMcFancyPants\AppData\Roaming\Mahotaho
C:\ProgramData\kzavkdlg.txx
C:\ProgramData\mntemp
C:\ProgramData\1718209112
C:\ProgramData\cm-lock
VirusTotal: C:\Users\MrMcFancyPants\AppData\Roaming\Renemigec
C:\Users\MrMcFancyPants\AppData\Roaming\Renemigec
VirusTotal: C:\Users\MrMcFancyPants\AppData\Roaming\Fepetogo
C:\Users\MrMcFancyPants\AppData\Roaming\Fepetogo
VirusTotal: C:\Users\MrMcFancyPants\AppData\Roaming\Hates\copopon.exe
C:\Users\MrMcFancyPants\AppData\Roaming\Hates
VirusTotal: C:\Users\MrMcFancyPants\AppData\Roaming\Baheruh\synhelper.exe
Task: {05B9BFCE-4ABA-4A61-92E1-BF97C271D899} - System32\Tasks\{35DE4D8C-0378-BEF0-AAE6-7439118A2D01}\synhelper => C:\Users\MrMcFancyPants\AppData\Roaming\Baheruh\synhelper.exe () [Datei ist nicht signiert] <==== ACHTUNG
C:\Windows\System32\Tasks\{35DE4D8C-0378-BEF0-AAE6-7439118A2D01}
C:\Users\MrMcFancyPants\AppData\Roaming\Baheruh
Task: {F830562C-D388-4481-AF9A-07E1D438F186} - System32\Tasks\copopon\{77D714F6-3B75-497D-CEE7-62080B54254F} => C:\Users\MrMcFancyPants\AppData\Roaming\Hates\copopon.exe (Igor Pavlov) [Datei ist nicht signiert]
C:\Windows\System32\Tasks\copopon
CMD: dir "%ProgramFiles%"
CMD: dir "%ProgramFiles(x86)%"
CMD: dir "%ProgramData%"
CMD: dir "%Appdata%"
CMD: dir "%LocalAppdata%"
CMD: dir "%CommonProgramFiles(x86)%"
CMD: dir "%CommonProgramW6432%"
CMD: dir "%UserProfile%"
CMD: dir "C:\"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Fixlog:

Neuer FRST:

Und die neue Addition txt:

Sehr gut gemacht. :) :daumenhoc :daumenhoc

Wir entfernen noch letzte Reste und kontrollieren mit AdwCleaner/MBAM/FRST. :)






Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\Program Files (x86)\GUT723.tmp
C:\Users\MrMcFancyPants\AppData\Roaming\Mapuhepo
C:\Users\MrMcFancyPants\AppData\Local\OJEzAvwx2.tmp
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Bereinigen & Neu Starten.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Bereinigen & Neu Starten.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 3

• Starte MBAM.
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC, mit deinen Internet Browsern bzw. erscheint die Werbung immer noch?








Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die zwei neuen Logdateien von FRST,
• die Beantwortung der gestellten Fragen.

So ich hoffe ich hab jetzt alles was benötigt wurde:

Hier die Fixlog.txt:
hier die adware.txt:
die MBAM.txt:
hier das FRST.txt:

und das Adittion.txt:

Und was ist mit der Beantwortung der gestellten Frage? :wtf: :glaskugel:

Ich gehe jetzt einfach davon aus, dass du keine Probleme mehr mit der Werbung hast. ;)





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteKey: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\copopon
DeleteKey: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{35DE4D8C-0378-BEF0-AAE6-7439118A2D01}
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Der letzte fixlog:

das Problem bei der Adware ist das dass nicht regelmäßig auftrat sondern mal ne woche oder sogar n monat dazwischen lag bis das fenster wieder aufgetaucht ist, also abwarten :S

Ich sehe keine Adware mehr in den Logdateien, alles gut. :)
Außer du holst dir nochmal so einen Müll auf den PC... das ginge ja dann wieder auf deine Kappe. :D



Bitte noch den Lesestoff zu Gemüte führen und Rückmeldung geben, sobald alles erledigt ist. :)

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.