Windows 10: TR/AD.FireHooker.BU
 

Hallo,

ich habe seit dem 30.09.2020 probleme mit dem FireHooker.
Er kommt immer wieder und wird von Avira in die Quarantäne geschoben.

Habe bis jetzt Malewarebytes laufen lassen und alles gefunden gelöscht/beheben lassen.
Am Sonntag habe ich Avira deinstalliert & neu installiert und Firefox zurückgesetzt & neu eingerichtet.

FRST im Anhang, da zu groß.

Addition:
Malewarebytes:
Von Avira habe ich kein Logfile, nur ein Bild von der Quarantäne. Falls gewünscht kann ich das noch hochladen.

Vielen Dank schon mal im Voraus

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Und suchst erst 5 Wochen später nach Hilfe? :wtf: :D




Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Du hast dich bei der Installation der Software audacity infiziert.
Bitte anschauen:
Warnung vor audacity.de !!!
Avira stört die Bereinigung und muss zuerst entfernt werden.






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Avira Security
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1986938198-1135125031-569320994-1001\...\Run: [] => [X]
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {0198CF95-4518-4329-BA02-70A9122F8E44} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {2BA20EF6-EEFB-4D81-865F-266DCF53A52F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {2E2EC4CD-435D-40D6-A9F9-CA05E49D26B8} - System32\Tasks\{CFE41E5E-1767-455A-A923-05EBF07C3CCA} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files\Andy\AndyUninstall.exe" -d "C:\Program Files\Andy"
Task: {2F5D06EB-28F2-435E-B930-D12E39B13550} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG
Task: {37D685F8-D200-4618-853E-2399E1909249} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
C:\ProgramData\Package Cache\{FA1A6034-CB55-4CDD-B746-379B762EA4E7}
Task: {499FD87D-B3F0-4D85-99D1-24F17362DB3D} - System32\Tasks\Windows-Remoteverwaltung Windows-Pushbenachrichtigungs-Benutzerdienst Logitech => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{FA1A6034-CB55-4CDD-B746-379B762EA4E7}\{CDB8E047-7B15-448B-8AF2-21CD22219728}" <==== ACHTUNG
Task: {4AF3B478-A56D-41A0-A998-DE45820252CF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {62E36690-8C16-42C3-BC43-8B6E9DC85950} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {6B8F0D94-F220-4EAE-B7BF-997766508166} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG
Task: {6C17EF3A-09D7-4A9C-8F82-065DB4076A11} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {7CE26BD1-4323-4BC6-9A48-A5952EF34E85} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Task: {8FBE8A49-6D7B-449D-89B4-3B318B33ECE8} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Task: {DD4BC1E5-EDCD-41BA-B5B2-1E714D801CF8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {E610DD79-9E5B-4357-BAEE-84270B47E237} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {E8BC914A-A4CF-4A47-A077-3D81076788BF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
FF HKLM\...\Firefox\Extensions: [{77D84E78-3B4C-4A66-8715-CEDA9EF583A9}] - C:\WINDOWS\Installer\{1B8FAF0D-E134-404C-B039-3A86A892771A}\{77D84E78-3B4C-4A66-8715-CEDA9EF583A9}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{77D84E78-3B4C-4A66-8715-CEDA9EF583A9}] - C:\WINDOWS\Installer\{1B8FAF0D-E134-404C-B039-3A86A892771A}\{77D84E78-3B4C-4A66-8715-CEDA9EF583A9}.xpi
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
C:\ProgramData\ntuser.pol
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
EndBatch:
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hi Matthias,

vielen Dank für die Hilfe (ja schäme mich auch, dass ich erst nach 5 Wochen nach Hilfe suche).

Avira Security ist deinstalliert

Habe audacity vor 6 Monaten installier, muss ich das deinstallieren?

FRST im Anhang

Fixlog:
Addition:

Gut gemacht! :)


Nein.






Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}
C:\Users\AllUserName\AppData\Local\Temp\*.tmp.node
IE trusted site: HKU\S-1-5-21-1986938198-1135125031-569320994-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKLM-x32\...\Run: [Avira SystrayStartTrigger] => "C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe"
S2 Avira.ServiceHost; "C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe" [X]
C:\Program Files (x86)\Avira
Task: {35579228-B2E6-43E1-B6FF-F72C8E366E73} - System32\Tasks\Windows-Audio-EndpunkterstellungWindows-AudioMobilfunkzeit => C:\Program Files (x86)\nodejs\node.exe -> C:\WINDOWS\Installer\{9E27487A-3654-40B7-9DE1-7C207FE76A8B}\{BFC9DABE-04EC-4788-9503-AE7490DCDFB8} <==== ACHTUNG
C:\WINDOWS\Installer\{9E27487A-3654-40B7-9DE1-7C207FE76A8B}
C:\Program Files (x86)\nodejs
C:\Users\Surio\AppData\Roaming\Mozilla\Firefox\Profiles\9kxhrmr9.default-1604251373139\user.js
FF Plugin: @videolan.org/vlc,version=2.1.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.1.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.1.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.1.5 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.2.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.2.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.10 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2020-06-04] (VideoLAN -> VideoLAN)
C:\ProgramData\ntuser.pol
C:\ProgramData\Avira
C:\Users\AllUserName\AppData\Local\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Google\Chrome
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
EndBatch:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Fixlog:
MBAM:
AdwCleaner:

Schritt 1
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von RogueKiller
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

FRST im Anhang

RogueKiller
Addition:

Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
ExportKey: HKLM\Software\MozillaPlugins
ExportKey: HKLM\SOFTWARE\WOW6432Node\MozillaPlugins
ExportKey: HKCU\SOFTWARE\MozillaPlugins
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlen Windows Updates.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update.
• Klicke auf Nach Updates suchen und lass bitte alle angezeigten Updates nacheinander installieren.
• Für Funktionsupdates bzw. Kumulative Updates musst du diese ggf. vorher auswählen und dann installieren.
• In der Regel muss dein Rechner dafür neu gestartet werden.
• Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Fixlog:
Windows Updates sind installiert.

Cleanup & Maßnahmen führe ich im Anschluss von diesem Post aus.

Im Anschluss noch drei Fragen, sollten diese nicht hierher gehören bitte ignorieren.

Bisher wurde der Firehooker von Avira erkannt... bin ich jetzt besser dran nur mit dem Windows Defender oder soll ich die kostenlose Version von Malewarebytes auf dem Rechner lassen?

Ist der Vivaldi Browser "schlecht" da er ja mit Chrome Erweiterungen arbeitet (soweit ich weiß)?

Sollte ich irgendwann eine Neuinstallation von Windows machen wollen/müssen, ich hatte mit Auslieferung des Rechners Windows 8.1 und bin über das kostenlose Upgrade auf Windows 10 umgestiegen, muss ich mir dann Windows 10 kaufen oder wo kann ich meinen Product Key von Windows 10 auslesen?

Vielen Dank Matthias, du warst mir eine riesige Hilfe!
:dankeschoen: :dankeschoen: :dankeschoen:

Du hast dich mit Malware von audacity.de infiziert. Halte dich zukünftig bitte davon fern. Ein YouTube-Video mit entsprechenden Hinweisen habe ich bereits gepostet.

Wenn du unsere Empfehlungen (Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners) umsetzt, hast du viel für deine Sicherheit getan.

Ich führe hier nur kurz 2 Beispiele - speziell für deine Infektion - an:
1.
Hättest du UBlock Origin als Erweiterung installiert gehabt (wie von uns empfohlen), hätte dich diese Erweiterung gar nicht auf diese schädliche Seite gelassen.

2.
Hättest du Windows Defender mit aktiviertem PUA-Schutz (wie von uns empfohlen) verwendet, hätte der Windows Defender die schädliche Installationsdatei nach dem Download sofort angemeckert und dir die Löschung empfohlen.

Avira hat weder die Installation der Malware verhindert, noch konnte Avira den Urspring der Malware lokalisieren, geschweige denn die Malware entfernen. Es hat lediglich eine temporäre Datei der Malware entdeckt, mehr aber auch nicht.



Nein, ist nicht schlecht. Mach dich mal schlau, ob es dafür UBlock Origin gibt.



Du musst Windows 10 nicht kaufen, das Upgrade von Windows 8.1 war kostenlos.




Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.