Win10: TR/AD.FireHooker.BU Problem
 

Liebes Trojaner-Board-Forum,
Wie in dem Titel schon angezeigt habe ich ebenfalls ein TR/AD.FireHooker.BU-Problem. Nach einer Recherche hier im Forum, habe ich natürlich schon Avira deinstalliert.

Ich hatte mir ebenfalls vor einiger Zeit Audacity heruntergeladen. Dieses Programm aber direkt wieder deinstalliert, da ich es doch nicht brauchte. Soweit ich mich erinnere, trat dieses TR/AD-Problem seitdem erst auf. Ich kann den genauen Zusammenhang aber nicht nachvollziehen, da mir einfach auch die Fachkenntnis fehlt.

Nachdem ich die TR/AD.FireHooker.BU-Dateien aus dem C:\Temp-Ordner mit Avira gelöscht habe, tritt das Problem immer wieder nach jedem Neustart auf.

Ich hoffe sehr, dass mir hier geholfen werden kann um mein Problem zu lösen.

Liebe Grüße
Max

Hier der FRST.txt File

Und hier die Addition.txt Datei:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Du führst AdwCleaner und MBAM aus, erwähnst dies aber mit keinem einzigen Wort. Warum? :)
Wenn du diese Tools schon ausführst, wieso fügst du dann nicht gleich die Logdateien mit an? ;)

Du sollest diese Tools jetzt NICHT nochmal ausführen, ich würde nur gerne die alten Logdateien (vor dem FRST-Suchlauf) sehen... damit ich dir optimal helfen kann.







Schritt 1
Google Chrome ist infiziert und muss komplett entfernen werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Google Chrome
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\WINDOWS\Installer\{201B26A9-E69A-499A-8905-D5A5132F5C8F}
Task: {C11F1039-2A16-4C4A-B8DE-93145F11851C} - System32\Tasks\CommonLog(AppXSVC) => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> C:\WINDOWS\Installer\{201B26A9-E69A-499A-8905-D5A5132F5C8F}\{9787AE0F-06B3-460C-B74C-2F96BB8A2ECA} <==== ACHTUNG
C:\ProgramData\Package Cache\{4329C095-967A-4D88-8DB7-F1718DDED44D}
Task: {FAF8D4AA-78EC-4DBF-8F8B-9C9ABBF5CC0D} - System32\Tasks\Jugendschutz Common Peer => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{4329C095-967A-4D88-8DB7-F1718DDED44D}\{D1524FE4-1D0E-437F-9ED4-194AC7E6F715}" <==== ACHTUNG
HKLM-x32\...\Run: [] => [X]
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-4193931567-47633541-4247037096-1001\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {110EF82F-A475-4FDB-BC89-0C6B0560E1D6} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
FF user.js: detected! => C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\jxojn13g.default\user.js [2018-04-04]
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
CMD: type "C:\ProgramData\ntuser.pol"
C:\ProgramData\ntuser.pol
AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
HKU\S-1-5-21-4193931567-47633541-4247037096-1001\...\ChromeHTML: ->  <==== ACHTUNG
C:\WINDOWS\system32\Tasks\Avira
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdateien von AdwCleaner und MBAM bevor FRST ausgeführt wurde
• eine Rückmeldung bezüglich der Deinstallation
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,
vielen leiben Dank, dass Du dich meinem Problem annimmst.

Zu den Logdateien von AdwCleaner und MBAM vor der Ausführung von FRST:
Ja stimmt, ich habe die beiden Programme angewendet und daraufhin auch eine Entfernung durchgeführt. Ich habe die beiden Programme danach aber wieder deinstalliert. Deshalb kann ich leider nicht mehr auf Logdateien zugreifen und sie Dir zeigen. Entschuldige bitte meinen Dilettantismus. Und ich hätte es erwähnen müssen, entschuldige bitte!

Zu Schritt 1:

Die Deinstallation von Chrome (samt der Browserdaten) war erfolgreich. Zumindest ist in der Programmliste in der Systemsteuerung nichts mehr von Chrome zu sehen

Zu Schritt 2:

Hier die Logdatei des FRST-Fix (Fixlog.txt):

Zu Schritt 3:

Hier die neue Logdatei von FRST (FRST.txt):

Und dann noch die neue Addition (Addition.txt):

Gut gemacht! :abklatsch:








Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
Task: {990840B6-1D29-4796-8B6E-5633AB46887E} - System32\Tasks\Avast SecureLine => C:\Program Files\AVAST Software\SecureLine\SecureLine.exe [3438680 2016-05-28] (AVAST Software a.s. -> AVAST Software)
C:\Program Files\AVAST Software
Task: {EEB0AE22-C07E-4EE2-A2C6-3571DF23C078} - System32\Tasks\IcarusAvastVpnUpgrade => C:\Program Files\AVAST Software\SecureLine\setup\avast_vpn_online_setup.exe -> /silent /ShowVpnGui=0 /RestartUpdaterTaskName=IcarusAvastVpnUpgrade /RestartUpdaterAppExe="C:\Program Files\AVAST Software\SecureLine\setup\avast_vpn_online_setup.exe"
FF Extension: (Avira Browser Safety) - C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\jxojn13g.default\Extensions\abs@avira.com.xpi [2016-01-25] []
FF HKLM\...\Firefox\Extensions: [{BDF85547-0910-4103-8907-F395DB718E57}] - C:\WINDOWS\Installer\{8050788F-2062-4FAE-B6FC-DD08311FD443}\{BDF85547-0910-4103-8907-F395DB718E57}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{8050788F-2062-4FAE-B6FC-DD08311FD443}\{BDF85547-0910-4103-8907-F395DB718E57}.xpi [2020-10-29]
FF HKLM-x32\...\Firefox\Extensions: [{BDF85547-0910-4103-8907-F395DB718E57}] - C:\WINDOWS\Installer\{8050788F-2062-4FAE-B6FC-DD08311FD443}\{BDF85547-0910-4103-8907-F395DB718E57}.xpi
C:\WINDOWS\Installer\{8050788F-2062-4FAE-B6FC-DD08311FD443}
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
CHR HKLM-x32\...\Chrome\Extension: [ohgndokldibnndfnjnagojmheejlengn]
C:\Users\AllUserName\AppData\Local\Google\Chrome
C:\Program Files (x86)\Avira
C:\ProgramData\Avira
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Guten Morgen Matthias,

Ich habe da mal weitergemacht...;)

Zu Schritt 1:

Die fixlog.txt Datei vom FRST:

Zu Schritt 2:

Hier die Logdatei von MBAM (MBAM.txt):

Zu Schritt 3:

Und die Logdatei von AdwCleaner (AdwCleaner[C01]):

Schritt 1
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von RogueKiller
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Guten Abend Matthias,

vielen Dank, dass Du dir sogar den Samstag um Ohren schlägst und mir hilfst :)

Zu Schritt 1:

Die Logdatei von RogueKiller:

Zu Schritt 2:

Dir Logdatei der FRST-Untersuchung (FRST.txt):

Und die Addition.txt

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
Task: {CF7AB312-FCC9-49A0-BF86-31456D25A88F} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1741416 2020-09-22] (Avast Software s.r.o. -> Avast Software)
C:\Windows\System32\Tasks\Avast Software
C:\Program Files\Common Files\AVAST Software
C:\Users\AllUserName\Desktop\as_DAB2.tmp.txt
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlen Windows Updates.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update.
• Klicke auf Nach Updates suchen und lass bitte alle angezeigten Updates nacheinander installieren.
• Für Funktionsupdates bzw. Kumulative Updates musst du diese ggf. vorher auswählen und dann installieren.
• In der Regel muss dein Rechner dafür neu gestartet werden.
• Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias,

vielen vielen Dank! Die Updates sind installiert. Ich bin mir jetzt nicht sicher, ob du nochmal die Fixlist haben möchtes, poste Sie aber trotzdem nochmal:

Vielen Dank und ich wünsche einen schönen Restsonntag ;) eine Spende lasse ich selbstverständlich auch da!

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.