Windows 10: TR/AD.Firehooker.BU
 

Guten Morgen,
ich bekomme regelmäßig von Avira die Nachricht, dass eine Datei die mit dem oben stehenden Gefahrennamen in Quarantäne verschoben wurde.

Kann ich das irgendwie beheben?

Hier das FRST Logfile:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Bitte noch die Logdatei Addition.txt nachreichen, dann können wir beginnen.

Danke für die flotte Antwort.

Hier ist der Addition Text:

Du hast dir die Malware (Schadsoftware) bei der Installation von Audacity eingefangen und solltest zukünftig besser auf deine Downloadquellen achten!







Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Avira Security
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\ProgramData\Package Cache\{4C037FEE-BC2C-402C-B307-704AFB509B81}
Task: {E4438EE3-EAC4-4D96-A2F1-A155C6FA361D} - System32\Tasks\Enhanced Peer Enhanced => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{4C037FEE-BC2C-402C-B307-704AFB509B81}\{B19968F4-F066-4624-B875-D524C978DF13}" <==== ACHTUNG
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-2976232552-1714715164-3228336995-1001\...\Run: [] => [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Danke noch einmal für die flotten Antworten:

1) Deinstallation war erfolgreich.

2) Hier der Fixlog
3) Der neuerstellte FRST.txt

Hier noch der neu erstellte Addition.txt

Gut gemacht! :daumenhoc





Schritt 1
Google Chrome ist mit Malware infiziert und muss komplett entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Google Chrome
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\Windows\Installer\{BB81166F-E58C-424D-BC06-087814C9D193}
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {149573DB-FF4D-4BE0-9751-25690D7B394D} - System32\Tasks\Windows-AudioMobilfunkzeit(AxInstSV) => C:\Program Files (x86)\nodejs\node.exe -> C:\Windows\Installer\{BB81166F-E58C-424D-BC06-087814C9D193}\{05DFED38-B278-4465-A2DB-ADC1542CFC71} <==== ACHTUNG
FF HKLM\...\Firefox\Extensions: [{CD7F54F0-2F52-4225-B2D6-98B5B6A60A10}] - C:\Windows\Installer\{334C9D3D-DE5D-4342-BB24-7C4E066D1ECF}\{CD7F54F0-2F52-4225-B2D6-98B5B6A60A10}.xpi
FF Extension: ( ) - C:\Windows\Installer\{334C9D3D-DE5D-4342-BB24-7C4E066D1ECF}\{CD7F54F0-2F52-4225-B2D6-98B5B6A60A10}.xpi [2020-10-30]
FF HKLM-x32\...\Firefox\Extensions: [{CD7F54F0-2F52-4225-B2D6-98B5B6A60A10}] - C:\Windows\Installer\{334C9D3D-DE5D-4342-BB24-7C4E066D1ECF}\{CD7F54F0-2F52-4225-B2D6-98B5B6A60A10}.xpi
C:\Windows\Installer\{334C9D3D-DE5D-4342-BB24-7C4E066D1ECF}
C:\Program Files (x86)\nodejs
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 mhyprot2; \??\C:\Users\Tobia\AppData\Local\Temp\mhyprot2.sys [X] <==== ACHTUNG
CMD: type "C:\ProgramData\ntuser.pol"
C:\ProgramData\ntuser.pol
C:\Program Files (x86)\Avira
C:\ProgramData\Avira
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hier meine Antwort.

1) Deinstallation war erfolgreich.

2) Der Fixlog
3) Neuerstellter FRST.txt

Neuerstellter Addition.txt

Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner

1) Der Log vom MABM:
2) Log von AdwCleaner:

Schritt 1
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von RogueKiller
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

1) Log des RogueKiller laufs:
2) Log des FRST:

Addition.txt:

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlen Windows Updates.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update.
• Klicke auf Nach Updates suchen und lass bitte alle angezeigten Updates nacheinander installieren.
• Für Funktionsupdates bzw. Kumulative Updates musst du diese ggf. vorher auswählen und dann installieren.
• In der Regel muss dein Rechner dafür neu gestartet werden.
• Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Auch hier noch einmal ganz lieben Dank für die Hilfe.

Werde mir die Hinweise die ihr gegeben habt zu Herzen nehmen. Danke für die Hilfe.

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.