Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner nach Audacity download, wie werde ich ihn wieder los? (https://www.trojaner-board.de/200864-trojaner-audacity-download-ihn-los.html)

Jacky19 22.01.2021 15:49
Trojaner nach Audacity download, wie werde ich ihn wieder los?
 
Hallo,

Ich habe wohl von einer falschen Website audacity gedownloadet. Seitdem sponn mein Chrome, zeigte mit Links von Izitio (oder sowas) und schloss immer wieder meine Ordner bei "Speichern unter" und "öffnen"..

Ich hatte Chrome bereits einmal deinstalliert und installiert und einen Tag ging das auch gut, bis am nächsten Tag wieder alles falsch war.

Darauf hin habe ich mir Malwarebytes und adwcleaner runtergeladen. Diese haben mir dann eben von einem Trojaner erzählt.
Kann mir jemand helfen den Los zu werden ?
Audacity ist bereits deinstalliert (seit heute). Eventuell hat sich das Problem auch von selbst gelöst ?
Ich bin mir sehr unsicher und möchte gerne wieder einen sauberen PC haben..

M-K-D-B 22.01.2021 16:45
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Die Logdateien von AdwCleaner und MBAM bitte nachreichen, keine neuen Suchläufe starten!



Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Jacky19 22.01.2021 16:57
Liste der Anhänge anzeigen (Anzahl: 2)
Hey ! Super danke für deine Hilfe :)

Ich schicke die Dateien mal in den Anhang.
ist das richtig so?

M-K-D-B 22.01.2021 17:10
Dann schauen wir mal, was wir auf deinem Rechner noch finden...

Poste die Logdateien von FRST (FRST.txt und Addition.txt) hier in diesem Thema, dann kann es losgehen. :)

Muss ich verstehen, wieso du ein zweites Thema aufgemacht hast? :D

Jacky19 22.01.2021 17:15
Liste der Anhänge anzeigen (Anzahl: 2)
Entschuldigung für das zweite Thema, ich dachte es wäre vielleicht unter der falschen Kategorie :p :o

Aber hier die Dateien noch von dem FRST

M-K-D-B 22.01.2021 17:16
Zitat:
Zitat von Jacky19 (Beitrag 1746847)
Entschuldigung für das zweite Thema, ich dachte es wäre vielleicht unter der falschen Kategorie :p :o
Wir verschieben ein Thema schon, wenn es falsch ist. ;)

Ich analysiere nun dein System und melde mich in Kürze wieder.

M-K-D-B 22.01.2021 17:27
Jep... dein Rechner ist auch infiziert...

WARNUNG VOR AUDACITY.DE !!!
Du hast dich bei der Installation der Software audacity mit Malware infiziert.
Bitte anschauen:
Warnung vor audacity.de - eine gemeine Falle !!!








Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
    • CPUID CPU-Z 1.76
    • AVG Protection
    • Adobe Flash Player 32
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CloseProcesses:
    Task: {6CBE271B-DB30-4E77-BA05-26E47CDA0D31} - System32\Tasks\Zertifikatverteilung Broker Bluetooth-Unterstützungsdienst => C:\Program Files (x86)\nodejs\node.exe -> "C:\ProgramData\Package Cache\{6958959E-4F50-4922-B660-8CCF7D6BC9B6}\{4219007C-A14F-4AD2-AAB0-C4AED980D00C}" <==== ACHTUNG
    Task: {7FCFEC19-E7F7-43D7-96B5-45B309E1BA5E} - System32\Tasks\Zwischenablage-Benutzerdienst_1c97a974Filefür => C:\Program Files (x86)\nodejs\node.exe -> C:\WINDOWS\Installer\{F24B2A95-94D8-4D40-A3CB-6D9CD30E8C11}\{F6742EF5-D3CF-461B-A24F-5F113EBD348F} <==== ACHTUNG
    AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
    AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
    C:\ProgramData\ntuser.pol
    C:\WINDOWS\system32\GroupPolicy\Machine
    C:\WINDOWS\system32\GroupPolicy\GPT.ini
    C:\WINDOWS\SysWOW64\GroupPolicy\Machine
    C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
    DeleteKey: HKLM\SOFTWARE\Policies\Google
    DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
    DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
    DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
    C:\Program Files (x86)\nodejs
    DeleteKey: HKLM\SOFTWARE\Node.js
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKU\.DEFAULT\Software\Node.js
    DeleteKey: HKCU\SOFTWARE\Node.js
    DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
    StartBatch:
    FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
    FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
    FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
    FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
    FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
    EndBatch:
    Task: {03E3F041-A2D2-438A-B75B-E468A3A885C6} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    S3 cpuz143; \??\C:\WINDOWS\temp\cpuz143\cpuz143_x64.sys [X]
    C:\Users\User\AppData\Local\OJEzAvwxyz
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
    Handler: wlpg - Kein CLSID Wert
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    Hosts:
    RemoveProxy:
    SystemRestore: On
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallationen
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Jacky19 22.01.2021 18:10
Liste der Anhänge anzeigen (Anzahl: 3)
So !
Ich bin zurück und habe alles von der Liste abgearbeitet :applaus:

Ich konnte die 2 von 3 Programme erfolgreich deinstallieren. AVG Protection ließ sich im Vorfeld gar nicht deinstallieren und auch als ich auf "Ändern" drückte, sprach er von fehlerhaftem Dateipfad :wtf:

Ansonsten wie angeordnet die .txt dateien :D

Vielen Dank für die Hilfe bis hier hin !

M-K-D-B 22.01.2021 20:28
Gut gemacht! :daumenhoc
Und genau so machen wir jetzt weiter.






Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\AVG
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von EEK
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Jacky19 22.01.2021 21:45
Liste der Anhänge anzeigen (Anzahl: 4)
So, alles ausgeführt ! :)

M-K-D-B 22.01.2021 21:49
Zitat:
C:\Users\User\Downloads\Adobe\Adobe After Effects CC 2017 v14.0.1 + Crack 64Bits\Crack\amtemu.v0.9.2.exe
Cracks, Keygens und andere illegale Software - so kommt Malware (Schadsoftware) auf den PC

Bitte lesen => Cracks, Keygens und andere illegale Software

Es geht weiter wenn du alles Illegale entfernt hast.

Bei wiederholten Crack/Keygen Verstößen behalte ich es mir vor, den Support einzustellen, d.h. Hilfe nur noch bei der Datensicherung und Neuinstallation des Betriebssystems.

Jacky19 22.01.2021 22:02
Oh ! Ich habe die Datei nun entfernt..
Ich hoffe es befindet sich nicht noch so etwas auf dem PC..
Reicht es wenn ich den Ordner lösche und bei den Programmen deinstalliere?
Dann wäre es jetzt entfernt.
Tut mir leid, ich kenne mich da einfach überhaupt nicht aus..

M-K-D-B 22.01.2021 22:06
Illegale Software ist wirklich ein häufiger Weg, wie Malware auf die Rechner kommt.
Du solltest die Finger davon lassen. :)





Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    C:\Users\AllUserName\Downloads\audacity2-4-2.exe
    C:\Users\AllUserName\Downloads\Adobe
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.
Zitat:
Platform: Windows 10 Pro Version 1909
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle das Funktionsupdates aus, downloade und installiere es.
  • Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
    Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Jacky19 23.01.2021 09:56
Liste der Anhänge anzeigen (Anzahl: 1)
Super vielen lieben Dank bis hier hin?

Ist mein PC jetzt wieder sicher und frei von jeder Art Gefahr?
War es denn ansich etwas sehr schlimmes?

In Zukunft werde ich stark darauf achten was ich mir runter laden :D

Das Cleanup führe ich jetzt durch und Windows defend ist auf dem neusten Stand
:daumenhoch:

Ein Feedback hinterlasse ich auch gleich, sowie eine kleine Spende für die tolle Hilfe, dass ich mich an meinem PC wieder wohlfühlen kann.

M-K-D-B 23.01.2021 10:16
Laut Logdateien ist dein Rechner wieder sauber. :)

Was genau die Malware, die du von audacity.de geladen hast, anstellt, kann ich dir nicht sagen.
Alle bisher bekannten Hinweise deuten aber eher darauf hin, dass es sich um Adware / PUP handelt.





Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131