Win10Pro-20H2: PuP Chrome Sync - Googlesuchen in Chrome geben dubiose Suchergebnisse
 

Hi
mir ist in meinem Chrome aufgefallen das die ersten 4 Suchergebnisse komische Seiten waren. Bei der Lösungssuche bin ich dann auf einiges gestoßen:

Kurz:

Defender:
Name: PUA:Win32/Presenoker
Name: Trojan:Script/Conteban.A!ml

MBAM:
PUP.Optional.Delta
PUP.Optional.DownloadProtect

Lang:
Detalierte Logfiles im Anhang als txt (folgend nur Auszüge)


habe Defender durchlaufen lassen Log (ist im addition.txt komplett einsehbar):
Treffer bei:
PUA:Win32/Presenoker (in NodeJS) erstmal nicht sehr ernst genommen .. leider
Name: Trojan:Script/Conteban.A!ml (im Tollen Updater -.-#)
Malwarebytes: einige Treffer (Logs der einzelnen scans angehängt)

um die Chrome Problematik zu lösen folgendes probiert:

• Chrome neu installiert
• versucht auch alle betreffenden Ordner zu löschen :kloppen:

-> darauf hin kamen keine neuen Treffer bei Malwarebytes

• Chrome wieder neu installiert ->immer noch nichts
• Sync zum Account an gemacht ->Sync läuft

->da kommen wieder Treffer (spätestens nach systemboot)

hier im Forum auf FRST64 gestoßen und einen Eintrag zu ähnlichem verhalten (chrome sync PuP) (kann den Link nicht einfügen)
Title: "PUP.Optional.Conduit kehrt nach löschund sofort wieder zurück"

hiervon auch versucht das Reperatur skript auszuführen bevor ich mich hier weiter eingelesen habe das es gar nciht so schlau ist das blind einfach mal in blau loszuballern.
daher der Post hier
ich hoffe ich habe soweit alle Punkte abgearbeitet und genüge den Ansprüchen (ist echt schon lange her das ich das letzte mal in einem Forum aktiv war) wenn noch was fehlt stehe ich gerne zur Verfügung:)
würde mich freuen wenn mir jemand das weitere vorgehen vorschlagen kann bin ein wenig ratlos aktuell


Vermutungen zum einfangen:
Ich habe vor 2 Wochen (6.12.)ein Video Projekt schneiden und bearbeiten wollen da es da zu Problemem zwischen Audiospur und Video kam
Audacity und handbrake installiert .. eines davon naiverweise von Chip
und versucht mein Premiere upzudaten ... dummerweise mit nem "patcher" der wohl eher nen crack oder keygen war wie sich herausstellte und kein update file..

war wirklich nicht mein Glanztag

Ich hoffe Ihr könnt mir weiter Helfen
Viele Grüße
Nerdnuss

Hi Cosinus,
ich dachte mir fast das das die erste Antwort wird ;)
als ich realisiert hatte das es nicht das gesuchte Update war habe ich das auch postwendend entfernt. (das RaR eben gestern nachdem es Defender noch im DL-Verzeichnis gefunden hat).
Der Rest meiner installierten Software ist bezahlt (von mir oder der Uni) oder Free
Viele grüße,
Nerdnuss

Ist das illegale Zeug weg und deinstalliert? Und damit meine ich v.a. Adobe?
Falls ja: neue FRST-Logs erstellen und posten.

Und beachte: Logs werden grundsätzlich nur in CODE-Tags und vollständig gepostet und nicht in den Anhang geklatscht oder mischmaschmäßig halbherzig/unvollständig in den Beitrag und zusätzlich als Anhang.

Hi wie oben beschrieben ja der
"Pfad: file:_C:\Users\Nerdn\Downloads\Adobe CC2020 patcher.rar"
ist Weg
die CC2015 is ne Lizenz von meiner Uni (sollte das in irgend einer anderen form ein Problem sein kann ich sie aber auch gerne vom System schmeißen)

hier die kompletten Logs:
FRST

FRST Logfile:
--- --- ---


Addition:
FRST Additions Logfile:
--- --- ---


dürften sich nicht groß geändert haben
Viele Grüße
Nerdnuss

Ich dachte ich hätte mich klar ausgedrückt. Da du nen Crack für Adobe drauf hast, ist die Adobe-Installation für mich illegal. Also muss die runter.

Ich dachte ich auch

ich will hier aber auch nicht deshalb diskutieren daher nochmal der Log nach der Deinstallation sämtlicher Adobe Programme


FRST Logfile:
--- --- ---


Viele Grüße, Nerdnuss

Noch so ein Ding. Du führst adwCleaner aus, sagst da aber kein Wort. Poste alle davon bereits erstellten Logs.

Sorry der is mir wohl untergegangen war an dem Tag ein wenig irrational
und habe ihn später nicht mehr genutzt

habe 3 Scans/Cleans davon als Log

Scan1 13.12. 18:10
Clean 1:
Scan2: 18:13 (ohne befund)
Clean dazu:
Scan3 18:49
Clean dazu:

Scripting/Repair mit FRST64

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {B5EF206E-DD86-47B4-9196-1CD9073FD8CC} - System32\Tasks\AnwendungsidentitätAnwendungsinformationenSmartlocker-Filtertreiber => C:\Program Files (x86)\nodejs\node.exe -> C:\Windows\Installer\{D05DF5CC-9EB6-442B-9E1C-CA796D7B92B0}\{7C160BB1-9E07-4AF2-BCA2-BC49E53E00BC} <==== ACHTUNG
Task: {E151EA22-8A48-4274-A381-2C03C8330261} - System32\Tasks\App-Vorbereitung Offlinedateien Microsoft => C:\Program Files (x86)\nodejs\node.exe -> "C:\ProgramData\Package Cache\{382D83FB-180B-46F7-9C95-4D0BCFC46EE4}\{E9A44970-242C-4678-8B6C-E60E0790B6CF}" <==== ACHTUNG
C:\ProgramData\Package Cache\{382D83FB-180B-46F7-9C95-4D0BCFC46EE4}
C:\Windows\Installer\{D05DF5CC-9EB6-442B-9E1C-CA796D7B92B0}
C:\ProgramData\NTUSER.pol
C:\Program Files (x86)\nodejs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
cmd: netsh advfirewall reset
emptytemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

FixLog:

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

http://www.trojaner-board.de/picture...&pictureid=611

Hier die neuen FRST Logs:

FRST Logfile:
--- --- ---


Addition:
FRST Additions Logfile:
--- --- ---


Mittlerweile hat sich auch Malwarebytes mal wieder gemeldet und 3 files in Quarantäne gepackt
Log: (Chrome ohne account/sync war kurz offen)

Und eben weil Chrome ständig die vermeintlich entfernte Sch.... wieder in dein lokales Profil auf den rechner reinsynct, muss er komplett runter. Hab ich das schonmal erwähnt, dass ich diesen Browser einfach nicht mag?

Guten Morgen Cosinus,
gibt es denn Wege den Google Account zu reinigen davon?
(habe Chrome erstmal wieder gelöscht inklusive jeglicher Google/Chrome Ordner die ich unter Programme & Appdata finden konnte)
Interessieren würde mich auch woher Chrome das "synced", da aktuell kein Account hinterlegt ist von dem er die persönlichen Daten/Plugins was auch immer das im Endeffekt ist herziehen könnte.
Chrome zu löschen klingt da aber noch nicht nach ner Lösung eher nach ner Symptombekämpfung.
Die Datenschutzfrage ist bei Chrome und generell bei Google ja so ne frage das stimmt.
Viele Grüße,
Nerdnuss

Anbei neue FRST Logs

FRST Logfile:
--- --- ---


FRST Additions Logfile:
--- --- ---

und der letzte MBAM Log (ohne befund)

Das Problem lautet Chrome. Generell ist Chrome ein Problem siehe Lesestoff. Ich versteh auch nicht wirklich warum sich alle wie Fliegen auf diesen Browser stürzen.


Kontrollscans mit MBAM und RK

Wir sind fast fertig. Jetzt ist es an der Zeit für Kontrollscans mit

• Malwarebytes
• RogueKiller

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

Vermutlich weil er bequem ist und gut läuft
die Google Dienste greifen halt gut in einander

RogueKiller Läuft gerade der Scan er hat aber schon was gefunden
und beim der Aussage "Chrome als generelles Problem" macht man es sich zu leicht
vielleicht synced/scanned er viel ja (ist ja bei den anderen google Diensten iwe z.B. Gmail nicht anders) aber ich habe ihn lange vorher ohne Befall genutzt und der Zustand sollte doch wieder herzustellen sein (so meine Hoffnung)

Aber erstmal die resultate
RogueKiller1:
Rogue2:
MBAM:

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Die Diskussionsbeiträge danach wurden von mir in diesem Thread ausgelagert, damit sich auch andere daran beteiligen können.