Windows 10: Unerwünschte Programme und Redirects in Firefox nach Installation eines Programmes
 

Hallo.

Vor ca. 2 Stunden habe ich versucht, einen Product Key für MathType zu bekommen und dabei wohl einen Trojaner installiert.

Nach dem Öffnen der heruntergeladenen zip-Datei wurden diverse Programme installiert (u.a. "Browzar") und der Windows Defender wie auch die Windows Sicherheit schlugen Alarm. Ich habe über die Systemsteuerung alle heute (05.07.21) installierten Programme gelöscht und einen vollständigen Security Scan gestartet. Dieser wurde unvollständig beendet und kurz darauf abgebrochen. Nach einem (sehr lange dauernden) Neustart habe ich nichts weiter unternommen als das FRST zu starten.

Hier die Dateien:

FRST.txt
Shortcuts und Addition mit nächstem Beitrag, da sonst zu lang.



Der PC ist privat, wird aber beruflich (Unterrichtsvorbereitung; ich bin Lehrer) genutzt.

Seit dem Neustart gibt es in Firefox in unregelmäßigen Intervallen Redirects zu dubiosen Seiten, die von uBlockOrigin blockiert werden.

Vielen Dank vorab für eure Hilfe!

BlackyDee

Addition.txt

Shortcut.txt

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Hallo Matthias.

Du hast mir schon mal geholfen, ich erinnere mich an dich - vielen Dank schonmal vorab!

Ich hoffe, du hast dieses zip-Archiv bereits gelöscht. Wenn nicht, jetzt löschen!



So viel Malware (Schadsoftware) auf einem Haufen habe ich schon lange nicht mehr gesehen... :( :wtf:
Die Bereinigung wird wahrscheinlich sehr aufwendig werden, prinzipiell ist es möglich.
Mehrere Windows-Dienste wurden zerschossen, eine Reparatur ist zwar theoretisch möglich, aber ob sie gelingt, kann ich dir nicht garantieren.

Wir können eine Bereinigung versuchen, aber das wird eine "Materialschlacht", die Malware bekommen wir in der Regel weg, ob wir Windows wieder auf die Beine bekommen... positives Ende nicht garantiert.

Eine saubere Neuinstallation erwähne ich hier ausdrücklich.


Deine Entscheidung, gib kurz Bescheid.

Archiv habe ich sofort gelöscht.

Das sind ja keine guten Nachrichten... Ich würde es trotzdem gerne mit einer Reperatur probieren - hilfst du mir dabei?

Na dann... auf ins Gefecht... könnte "lustig" werden. :D


Wir beginnen mit FRST der Wiederherstellungsumgebung:
Ausführen von Farbar Recovery Scan Tool (FRST) in der Wiederherstellungsumgebung

Danke dir!!!

Hier die FRST.txt

FRST Logfile:
--- --- ---

Sehr gut gemacht! :daumenhoc
Wir gehen nochmal in diese Umgebung, dieses Mal entfernen wir eine ganze Menge. :)




Im Anhang findest du die Datei fixlist.txt.
Speichere diese Datei direkt auf dem USB-Stick neben FRST64.


Starte den Rechner wieder in der Wiederherstellungsumgebung.
Starte wieder FRST.
Klicke nun auf den Button Reparieren.

FRST erstellt am Ende die Datei fixlog.txt auf dem USB-Stick.
Poste mir den Inhalt dieser Datei mit deiner nächsten Antwort.

Ich habe die Fixlist aktualisiert, bitte die neue Version verwenden!

Abermals danke.

Hier die Fixlog.txt

Das sieht sehr gut aus. :party:
Der größte der Teil der Malware sollte jetzt in Quarantäne sein. :)



Rechner normal starten und FRST erneut ausführen:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

"Sehr gut" stimmt mich vorsichtig optimistisch :party:

Wie befohlen die beiden Dateien.

FRST.txt


Addition.txt

Gut gemacht. :)



Es geht weiter mit der 2. Bereinigungswelle, aber alles im normalen Modus. :)

Firefox muss komplett entfernt (Schritt 1 und 2) und neu installiert werden (erst nach Schritt 2).





Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • Mozilla Firefox
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1079750378-375273517-115836012-1001\...\Run: [Prun] => C:\WINDOWS\PublicGaming\prun.exe <==== ACHTUNG
C:\WINDOWS\PublicGaming
HKU\S-1-5-21-1079750378-375273517-115836012-1001\...\Run: [WinFlow] => "C:\ProgramData\WinFlow.exe" <==== ACHTUNG
C:\ProgramData\WinFlow.exe
HKU\S-1-5-21-1079750378-375273517-115836012-1001\...\Run: [WinHost] => C:\Users\Dominik\AppData\Roaming\WinHost\WinHoster.exe <==== ACHTUNG
C:\Users\Dominik\AppData\Roaming\WinHost
HKU\S-1-5-21-1079750378-375273517-115836012-1001\...\Run: [SysHelper] => "C:\Users\Dominik\AppData\Local\98d691f1-4e4a-47be-97b3-0106698b1c44\E6AF.exe" --AutoStart <==== ACHTUNG
C:\Users\Dominik\AppData\Local\98d691f1-4e4a-47be-97b3-0106698b1c44
HKU\S-1-5-21-1079750378-375273517-115836012-1001\...\Run: [clp.exe] => C:\ProgramData\clp.exe <==== ACHTUNG
C:\ProgramData\clp.exe
HKU\S-1-5-21-1079750378-375273517-115836012-1001\...\Run: [DarkRain] => "C:\WINDOWS\rss\csrss.exe" <==== ACHTUNG
C:\WINDOWS\rss
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1079750378-375273517-115836012-1001\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
ProxyServer: [S-1-5-21-1079750378-375273517-115836012-1001] => 10.1.1.3:8080
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
C:\Users\AllUserName\AppData\Roaming\Mozilla
C:\Program Files\Mozilla Firefox
Setup (HKLM-x32\...\{9E0054AB-F957-4177-850E-3541960DBD53}) (Version: 19.2.0.7 - Ihr Firmenname) Hidden
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Keine Datei
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Keine Datei
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
AlternateDataStreams: C:\Users\Dominik\Lokale Einstellungen:05-07-2021 [91]
AlternateDataStreams: C:\Users\Dominik\AppData\Local:05-07-2021 [91]
AlternateDataStreams: C:\Users\Dominik\AppData\Local\Anwendungsdaten:05-07-2021 [91]
SearchScopes: HKU\S-1-5-21-1079750378-375273517-115836012-1001 -> DefaultScope {C4E4770C-A609-4755-A7B1-C284C748AF2C} URL =
SearchScopes: HKU\S-1-5-21-1079750378-375273517-115836012-1001 -> {C4E4770C-A609-4755-A7B1-C284C748AF2C} URL =
HKLM\...\StartupApproved\Run: => "snp2uvc"
HKLM\...\StartupApproved\Run32: => "Avira System Speedup User Starter"
HKLM\...\StartupApproved\Run32: => ""
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
powershell: Set-MpPreference -PUAProtection Enabled
powershell: Set-MpPreference -DisableScanningNetworkFiles 0
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 4
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Guten Morgen Matthias.

Viele Schritte zu tun, aber dank eurer hervorragend bebilderten Anleitungen ist das auch für einen Anfänger kein Problem!

Die Deinstallation meines geliebten Firefox war leider erfolgreich. Ich habe das Profil und die Bookmarks gesichert - kann ich diese nach Neuinstallation verwenden? Übrigens: Der freundliche Wurmzüchter, der mir diesen Schlamassel eingebrockt hat, hat gleichzeitig auch einen noch angeschlossenen Stick sowie eine externe Festplatte verschlüsselt und dazu eine freundliche readme dagelassen, in der er erklärt, dass er für läppische 980$ alles wieder entschlüsselt... Natürlich falle ich da nicht drauf rein und nutze ein Backup des Sticks sowie eine Formatierung bei der Externen.

Hier die Dateien:



Fixlog.txt


MBAM.txt


AdwCleaner

Bin auch Lehrer... ;)



Vielen Dank für die Rückmeldung. Es freut mich, dass die Anleitungen hilfreich sind.



Was genau hast du denn da ausgeführt? War das ein Crack für diese Software MathType? Ich hoffe, du nutzt so etwas nicht noch einmal.
Ja, wenn man Backups extern gesichert hat, kann man bei Ransomware ruhiger schlafen. :)


Sehr gut gemacht. Es wurde noch etwas gefunden und entfernt. :)



Die Bookmarks (Lesezeichen) kannst du wieder verwenden.
Das Profil ist beschädigt und mit Malware verseucht, das darfst du nicht mehr verwenden.

Firefox bitte neu herunterladen und installieren, Lesezeichen wieder importieren. Vorerst (wenn erwünscht) bitte nur uBlockOrigin installieren.


Update:

Schritt 1

• Öffne den Ordner C:\FRST.
• Rechtsklicke auf den Unterordner Quarantine und wähle Senden an > Zip-komprimierter Ordner.
• Das Archiv Quarantine.zip wird erstellt.
• Besuche die Seite Submit a Malware Sample auf BleepingComputer.
• Klicke auf Durchsuchen.
• Wähle das erstellte Archiv C:\FRST\Quarantine.zip aus und klicke auf Öffnen.
• Schreibe in das untere, leere Textfeld for M-K-D-B hinein und klicke auf den darunter liegenden Button Daten absenden.
• Vielen Dank für deine Mitarbeit. Die hochgeladenen Dateien dienen zur Verbesserung der verwendeten Programme.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Ei gude, Kollege :-)



Auf jeden Fall!


Offenbar... Obwohl ich das gar nicht wollte! Ich will keine illegale Software auf meinem Rechner! Für ältere Versionen von Mathtype gibt es freie Schlüssel; ich war der offensichtlich irrigen Meinung, dieser sei einer...

Da kannste aber drauf wetten! "Zum Lernen gehört der Schmerz!" hat mir mal jemand gesagt - diesen Schmerz vergesse ich nicht so schnell, das kannste mir glauben!


Alles klar. Gibt es eine andere Möglichkeit, an die gespeicherten Zugangsdaten und Passwörter zu kommen?

Quarantine.zip ist erstellt und hochgeladen. Beim archivieren sagte 7zip (mit den Win-Bordmitteln ging es tatsächlich nicht), dass eine Datei mit "xBAD"-Endung nicht archiviert werden kann (kein Zugriffsrecht, glaub ich)...


FRST.txt


Addition.txt


FF würde ich gerne erst installieren, wenn ich irgendwie an die Zugangsdaten und Passwörter im verseuchten Profil käme...

Hier steht etwas darüber, wo die Passwörter gespeichert sind. :)




Ich habe in der internen Uploadliste keine Quarantine.zip gefunden.
Wie groß ist denn das .zip Archiv? Bitte kurz nachschauen und mir Bescheid geben. Dann das .zip Archiv löschen.
Wir versuchen es später noch einmal, wir werden den Ordner mit FRST entsperren.




Wir überprüfen die Windows-Systemedateien (Schritt 1), dies kann einige Minuten dauern, bitte gedulde dich.
Mit Schritt 3 suchen wir nach fehlenden Systemdateien.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
Unlock: C:\FRST\Quarantine
Unlock: C:\Program Files (x86)\Microsoft WSE
Folder: C:\Program Files (x86)\Microsoft WSE
CMD: sfc /scannow
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Öffne den Ordner C:\FRST.
• Rechtsklicke auf den Unterordner Quarantine und wähle Senden an > Zip-komprimierter Ordner.
• Das Archiv Quarantine.zip wird erstellt.
• Besuche die Seite Submit a Malware Sample auf BleepingComputer.
• Klicke auf Durchsuchen.
• Wähle das erstellte Archiv C:\FRST\Quarantine.zip aus und klicke auf Öffnen.
• Schreibe in das untere, leere Textfeld for M-K-D-B hinein und klicke auf den darunter liegenden Button Daten absenden.
• Vielen Dank für deine Mitarbeit. Die hochgeladenen Dateien dienen zur Verbesserung der verwendeten Programme.

Sollte die Datei zu groß sein, bitte bei VirusTotal hochladen:

Lade die Datei C:\FRST\Quarantine.zip bei VirusTotal hoch.
Klicke auf Choose File, wähle das .zip Archiv aus und klicke auf Confirm upload.
Die Datei wird hochgeladen und analysiert.
Am Ende der Analyse kopierst du mir bitte die Internetadresse dieser Seite (z. B. https://www.virustotal.com/gui/file/<<<zufällige Nummern>>>/detection) in deine nächste Antwort.





Schritt 3

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  NisSrv.exe;MsMpEng.exe

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 4

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• eine Rückmeldung bezüglich des Hochladens des .zip Archivs
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Muchas Gracias! Mir ist eingefallen, dass beim Backup meines infizierten Sticks auch eine Sicherung des Profils dabei sein müsste... Da schau ich später mal nach.



Das Archiv hat geschmeidige 5.6 GB (!!!)... Auf Virustotal klappt es also auch nicht...



Hier die Dateien:



Fixlog.txt


search.txt

FRST.txt


Addition.txt wegen der maximalen Größe als Anhang.