Windows 10: Trojan:Win32/Ludicrouz.P
 

Hallo zusammen,

der Windows Defender findet "Trojan:Win32/Ludicrouz.P" in einem Programm, dass bereits seit 2 Monaten in der offiziellen Testversion reibungslos läuft: Articulate 360.

Hier sind meine FRST logs:

FRST.txt 1/2:

Vielen Dank im Voraus

FRST.txt 2/2
 

FRST.txt 2/2:

Addtition.txt 1/2
 

Addtition.txt 1/2:

Addtition.txt 2/2
 

Additions.txt 2/2:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

- Diagnose -

• Bei dem Fund von Windows Defender handelt es sich höchstwahrscheinlich um einen Fehlalarm. Wir kontrollieren das aber später noch.
• Leider muss ich feststellen, dass du unseriöse Downloadquellen nutzt. Dabei hast du dir unerwünschte Software (PUP) und Adware auf den PC geholt. Das werden wir entfernen.
  Hier solltest du zukünftig darauf achten, von welcher Seite du Software herunterlädst. :pfui: Mehr dazu am Ende, wenn wir mit allem durch sind.
• Dein Systemlaufwerk ist fast voll (nur noch 3% frei). Du solltest nach der Bereinigung hier private Daten auf einem anderen Laufwerk auslagern, so dass wieder mehr Speicherplatz zur Verfügung steht. Es ist auch zu überlegen, nicht mehr benötigte Software zu deinstallieren und/oder eine größere SSD anzuschaffen. Daher ist bei dir auch die Systemwiederherstellung deaktiviert, was aus Sicherheitsgründen nicht zu empfehlen ist. Auch bei der Installation von größeren Updates könnte es zu Problemen kommen.

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • CPUID CPU-Z 1.80
  • OpenOffice Updater
  • Websuche (Chrome)
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 4

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

mbam.txt
 

Vielen Dank für die schnelle Antwort!

Die 3 empfohlenen Deinstallationen habe ich durchgeführt.

Hier kommen die Logs:

mbam.txt:

Adwcleaner:

FRST.txt 1/2:

FRST.txt 2/2
 

FRST.txt 2/2:

Addition 1/2
 

Addition.txt 1/2

Addtition.txt 2/2
 

Addition.txt 2/2:

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Beschränkung ? <==== ACHTUNG
Task: {1BC0E975-488B-4B90-8285-8E63B5977005} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
SearchScopes: HKLM -> DefaultScope {1BCC2F36-782A-458D-8DD2-7201A863EB2A} URL =
FF Extension: (Avira Browser Safety) - C:\Users\Dr Mornje Pansen\AppData\Roaming\Mozilla\Firefox\Profiles\xBx5vKdp.default\Extensions\abs@avira.com [2016-10-05] []
FF Extension: (Avira Password Manager) - C:\Users\Dr Mornje Pansen\AppData\Roaming\Mozilla\Firefox\Profiles\xBx5vKdp.default\Extensions\passwordmanager@avira.com [2019-10-17]
AlternateDataStreams: C:\ProgramData:57994283451C3A27 [1]
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\Users\All Users:57994283451C3A27 [1]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:57994283451C3A27 [1]
AlternateDataStreams: C:\ProgramData\Application Data:57994283451C3A27 [1]
AlternateDataStreams: C:\Users\Dr Mornje Pansen\AppData\Local\Temp:$DATA​ [16]
AlternateDataStreams: C:\Users\Public\AppData:CSM [478]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
Unlock: C:\WINDOWS\SysWOW64\clauth1.dll
Unlock: C:\WINDOWS\SysWOW64\clauth2.dll
Unlock: C:\WINDOWS\SysWOW64\nsprs.dll
Unlock: C:\WINDOWS\SysWOW64\serauth1.dll
Unlock: C:\WINDOWS\SysWOW64\serauth2.dll
Unlock: C:\WINDOWS\SysWOW64\ssprs.dll
File: C:\WINDOWS\SysWOW64\clauth1.dll
File: C:\WINDOWS\SysWOW64\clauth2.dll
File: C:\WINDOWS\SysWOW64\nsprs.dll
File: C:\WINDOWS\SysWOW64\serauth1.dll
File: C:\WINDOWS\SysWOW64\serauth2.dll
File: C:\WINDOWS\SysWOW64\ssprs.dll
VirusTotal: C:\Program Files (x86)\Articulate\360\Desktop Application\Articulate 360 Desktop App.exe
powershell: Set-MpPreference -PUAProtection Enabled
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

fixlog
 

Die Reparatur hat leider all meine geöffneten Chrometabs entfernt. Hier wäre eine kurze Warnung vorab super gewesen. Ich konnte leider nicht alles wiederherstellen.

fixlog.txt:

FRST.txt 1/2:

FRST.txt 2/2
 

FRST.txt 2/2

Addition.txt 1/2
 

Addition.txt 1/2: