TR/AD.FireHooker.BU
 

Hallo zusammen,

ich bin Neuling bei diesem Thema und befolge ausdrücklich euren Rat, nicht blind die selben Schritte zu befolgen, die ich schon in einem anderen Post gefunden habe.

Ich nutze bisher den kostenfreien Virenscanner von Avira und erhalte seit einiger Zeit einen Sicherheitshinweis mit Hinweis auf "TR/AD.FireHooke.BU". Avira gibt an, dass diese Datei in Quarantäne verschoben sei, nach jedem Windowsstart ploppt die Meldung allerdings erneut auf.

Bei einem anschließenden ausführlichen Scan gibt es dann keinen Hinweis mehr Ich habe daher über das Tool FRST die Dateien FRST.txt und Addition.txt erzeugt.

Vielen Dank schonmal vorab!!

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Bitte poste die beiden Logdateien von FRST, dann sehen wir weiter.

Hallo Matthias, Danke, dass du mir helfen willst. Die Datei war offenbar zu groß für den Upload, daher habe ich sie aufteilen müssen.

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Avira Security
  • Web Companion
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\ProgramData\Package Cache\{60406651-D8FF-403B-AEF1-D02A47B6DF66}
Task: {E51AE89D-81C4-4721-9A6A-366729339A8C} - System32\Tasks\Broker Fax NSI => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{60406651-D8FF-403B-AEF1-D02A47B6DF66}\{C41B0814-29D7-49D7-BFD3-1B8C2D4ACD69}" <==== ACHTUNG
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-4033890031-1030331758-904151539-1001\...\Run: [] => [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
FF Homepage: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
FF NewTab: Mozilla\Firefox\Profiles\1g9bnzyi.default-release -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
C:\Users\torst\AppData\Roaming\822f02e4-9e9a-4077-a765-71edfca16ad0
Folder: C:\Users\torst\AppData\Roaming\23023
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,

die Deinstallation hat ohne Probleme funktioniert und die gewünschten Dateien habe ich angefügt. Wie vorher schon musste ich die frst.txt aufteilen.

Danke und viele Grüße

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\Users\torst\AppData\Roaming\23023
HKU\S-1-5-21-4033890031-1030331758-904151539-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/?pc=COS2&ptag=D061720-AB5E7204335A1488EBDF&form=CONMHP&conlogo=CT3331977
SearchScopes: HKU\S-1-5-21-4033890031-1030331758-904151539-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?pc=COS2&ptag=D061720-N0700AB5E7204335A1488EBDF&form=CONBDF&conlogo=CT3331977&q={searchTerms}
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-4033890031-1030331758-904151539-1001\...\webcompanion.com -> hxxp://webcompanion.com
C:\WINDOWS\Installer\{276A8E0F-7CB7-4E6B-BCFF-85F1F4D432CB}
Task: {0EC8FB9A-90EE-42A8-92CD-83BDA43F6AC8} - System32\Tasks\ApplicationCompatibilityauf => C:\Program Files (x86)\nodejs\node.exe -> C:\WINDOWS\Installer\{276A8E0F-7CB7-4E6B-BCFF-85F1F4D432CB}\{4DE91BE9-BB56-469C-AFBF-70D5615531E8} <==== ACHTUNG
HKU\S-1-5-21-4033890031-1030331758-904151539-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
C:\Program Files (x86)\Lavasoft
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\user.js [2020-06-17]
FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\Extensions\abs@avira.com.xpi [2020-05-28]
FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\user.js [2020-11-01]
FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\Extensions\abs@avira.com.xpi [2020-10-25]
FF HKLM\...\Firefox\Extensions: [{697CC154-77AB-4BF2-9EA1-7623569D7468}] - C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}\{697CC154-77AB-4BF2-9EA1-7623569D7468}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}\{697CC154-77AB-4BF2-9EA1-7623569D7468}.xpi [2020-11-01]
FF HKLM-x32\...\Firefox\Extensions: [{697CC154-77AB-4BF2-9EA1-7623569D7468}] - C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}\{697CC154-77AB-4BF2-9EA1-7623569D7468}.xpi
C:\WINDOWS\Installer\{86D41F81-8E10-4A29-B0CC-0B3803CFE4DC}
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
C:\WINDOWS\system32\Tasks\Avira
C:\ProgramData\ntuser.pol
C:\Program Files (x86)\Avira
C:\ProgramData\Avira
C:\Users\AllUserName\AppData\Local\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Google\Chrome
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )

FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )

FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )

FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" echo "%%a" )

FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" echo "%%a" )
EndBatch:
powershell: Set-MpPreference -PUAProtection Enabled
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Hallo Matthias,

anbei die gewünschten Dateien.

Danke und beste Grüße

Du hast nur den letzten kleinen Teil der fixlog.txt gepostet. :)

Schicke mir bitte die gesamte fixlog mit deiner nächsten Antwort... du sollst den Fix nicht nochmal ausführen!

ups, sorry :stirn:

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\WINDOWS\Installer\{276A8E0F-7CB7-4E6B-BCFF-85F1F4D432CB}
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\user.js [2020-06-17]
FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\Extensions\abs@avira.com.xpi
FF user.js: detected! => C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\user.js
FF Extension: (Avira Browserschutz) - C:\Users\torst\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\Extensions\abs@avira.com.xpi [2020-10-25]
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von RogueKiller
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

Hallo Matthias,

hab´ leider was viel um die Ohren und daher kommt meine Rückmeldung etwas verspätet.

Vielen Dank vorab!:dankeschoen:

Danke für die Rückmeldung.
Wir habens ja fast schon geschafft. :)





Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\ProgramData\ntuser.pol
C:\WINDOWS\system32\GroupPolicy\Machine
C:\WINDOWS\system32\GroupPolicy\GPT.ini
C:\WINDOWS\SysWOW64\GroupPolicy\Machine
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
Task: {1D11F1F6-7DD0-4943-B261-57C6630621C6} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [667856 2020-10-29] (Mozilla Corporation -> Mozilla Foundation)
C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\prefs.js
FF NewTab: Mozilla\Firefox\Profiles\okjd3vff.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-06-17 04:45:52&bName=&bitmask=0600
FF Extension: (Avira Browserschutz) - C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\okjd3vff.default\Extensions\abs@avira.com.xpi [2020-05-28]
C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\prefs.js
C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\1g9bnzyi.default-release\user.js
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
EndBatch:
DeleteQuarantine:
Unlock: C:\FRST
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo,

anbei die Dateien.