Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 10: PUADlManager:Win32/DownloadSponsor, lässt sich nicht entfernen (https://www.trojaner-board.de/203305-windows-10-puadlmanager-win32-downloadsponsor-laesst-entfernen.html)

connor1 13.01.2022 15:41

Windows 10: PUADlManager:Win32/DownloadSponsor, lässt sich nicht entfernen
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
Ich habe Seit kurzen Probleme mit dem rechner. das machte sich am anfang lediglich bemerkbar dadurch das im taskmanager keine Netzwerkauslastung angezeigt hat.

-am 09.01 habe ich eine meldung von Windows Sicherheit bekommrn das eine Bedrohung gefunden wurde, die habe ich blockiert, eine direkte schnellprüfung im anschluss hat nichts gefunden, dann nochmal vollständig geprüft da wurde etwas gefunden.
Das habe ich unter Quarantiane gestellt.
-seit dem wurde nichts mehr gefunden weder mit defender offline noch mit mrt.

-ich wollte die Malware oder was das ist löschen und auch den Dateipfad einsehen das geht nicht. Das einsehen des Pfades ging nur über die Ereignisanzeige.

das ganze finde ich etwas seltsam und brauche hilfe um die den schmutz zu beseitigen,
so das ich demnächst auch ggf. eine sicherung der daten anfertigen kann. und ein sauberes system habe, bzw alles neu aufsetzen kann und die alten daten mitnehmen kann.


Dateipfad/e:

Pfad: file:_C:\Users\*****\Downloads\gimp-2.10.14-setup - CHIP-Installer.exe; file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

Pfad: file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe


bei beiden handelt es sich um: PUADlManager:Win32/DownloadSponsor
und dazu finde ich im netzt keine richtigen angaben.


meine Starke Vermutung bzgl. der Fehlenden Netzwerkauslastung, war das es an Ocam (download von Chip ) liegt Instaliert ca. anfang Oktober. 2021.
Immer nach dem Schließen von Ocam ist im Hintergrund ein fenster geöffnet und nach dem schließen von dem fenster, öffneten sich im browser tabs.
Ich habe versucht durch entziehen von berechtigungen usw. zu erreichen das dieses hintergundfesnter nicht mehr funktioniert. nun lässt die app sich nicht mehr deinstalliern.
(Muss natürlich nicht an Ocam liegen)



sollten noch log daten benötigt werden vom defender bitte kurz erwähnen wie das geht. Dann mach ich es.

MfG




bedauerlicherweise waren es zu viele Zeichen, ich habe entsprechen einen RAR datei erstellt

M-K-D-B 13.01.2022 16:00

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Zitat:

Pfad: file:_C:\Users\*****\Downloads\gimp-2.10.14-setup - CHIP-Installer.exe; file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

Pfad: file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe


bei beiden handelt es sich um: PUADlManager:Win32/DownloadSponsor
Und was genau verstehst du bei den Funden von Windows Defender nicht?

"PUA" bedeutet "Potentially Unwanted Application", was soviel wie "Potentiell Unerwünschte Software" bedeutet.

Wir warnen schon seit Jahren davor, Software bei Chip.de zu laden, bitte den folgenden Abschnitt lesen:


Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:
  • Chip.de
  • Softonic.de
  • sourceforge.net
  • openoffice.de
  • VLC.de
  • audacity.de
  • gimp24.de
  • jdownloader.org
  • computerbild.de
  • updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.


Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.



Bitte gib mir kurz eine Rückmeldung, sobald du alle Informationen gelesen und verstanden hast.
Sollen wir dein System auf weitere PUAs hin überprüfen?

connor1 13.01.2022 16:29

Zitat:

Zitat von M-K-D-B (Beitrag 1761392)

Und was genau verstehst du bei den Funden von Windows Defender nicht?

"PUA" bedeutet "Potentially Unwanted Application", was soviel wie "Potentiell Unerwünschte Software" bedeutet.

Bitte gib mir kurz eine Rückmeldung, sobald du alle Informationen gelesen und verstanden hast.
Sollen wir dein System auf weitere PUAs hin überprüfen?


mein verständnisproblem war nur das ich explizit nach PUADl gesucht habe, mir aber nur PUA agezeigt wurde

ja, lass uns weiter prüfen

M-K-D-B 13.01.2022 20:26

Zitat:

Zitat von connor1 (Beitrag 1761395)
ja, lass uns weiter prüfen

Dann beginnen wir mit den ersten beiden Schritten:



Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner

connor1 13.01.2022 21:20

MBMA.txt
Code:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 13.01.22
Scan-Zeit: 20:53
Protokolldatei: 8ca763b0-74aa-11ec-bbb4-28d244d53c31.json

-Softwaredaten-
Version: 4.5.0.152
Komponentenversion: 1.0.1538
Version des Aktualisierungspakets: 1.0.49757
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19044.1466)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-AA8OGT5\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 365019
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 2
Abgelaufene Zeit: 6 Min., 45 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 613, 463412, 1.0.49757, , ame, , ,
PUP.Optional.ChipDe, HKLM\SYSTEM\SETUP\FIRSTBOOT\SERVICES\chip1click, In Quarantäne, 613, 567244, 1.0.49757, , ame, , ,

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)



Adw Cleaner
Code:

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-13-2022
# Duration: 00:00:10
# OS:      Windows 10 Home
# Scanned:  32022
# Detected: 3


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.LenovoHotkeyManager  Folder  C:\Program Files\LENOVO\HOTKEY
Preinstalled.LenovoPowerManager  Folder  C:\Windows\SysWOW64\LENOVO\POWERMGR
Preinstalled.LenovoPowerManager  Folder  C:\Windows\System32\LENOVO\POWERMGR



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########


M-K-D-B 14.01.2022 15:21

Gut gemacht. :party:


Bitte FRST zur Kontrolle erneu ausführen:
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.

connor1 14.01.2022 21:06

Liste der Anhänge anzeigen (Anzahl: 1)
sind beide in der RAR

M-K-D-B 14.01.2022 22:17

Du verwendest zwei Adblocker gleichzeitig, dazu bitte beachten:
Zitat:

FF Extension: (uBlock Origin) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\f4rczgl2.default\Extensions\uBlock0@raymondhill.net.xpi [2022-01-13]

FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\f4rczgl2.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2021-11-24]
Die gleichzeitige Verwendung von "uBlock Origin" (uBO) und "Adblock Plus" (ABP) ist sinnfrei, weil uBO bereits mehr blockiert als ABP. Folglich kannst du ABP deinstallieren. :)

Das wäre wie wenn du zwei Schmutzfilter für das Regenwasser verwenden würdest und der 1. Filter (uBO) Schmutz bis zu einer Größe von 0,5 mm filtert, während der 2. Filter (ABP) Schmutz nur bis zu einer Größe von 0,8 mm filtert. ;)







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:

    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    Task: {09C1813C-EA23-45A2-9FEB-7BDDD890084F} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Keine Datei)
    Task: {7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe -autostart (Keine Datei)
    Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
    Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
    Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
    Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
    CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\AllUserName\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository
    CMD: Winmgmt /resetrepository
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: bcdedit.exe /set {bootmgr} displaybootmenu yes
    CMD: bcdedit.exe /set {default} recoveryenabled yes
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::

  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

connor1 14.01.2022 23:27

Danke, für den hinweis bzgl der Addblocker, ABP habe ich gleich entfernt.


Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10-01-2022 01
durchgeführt von ***** (14-01-2022 23:04:17) Run:1
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** & Administrator
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {09C1813C-EA23-45A2-9FEB-7BDDD890084F} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Keine Datei)
Task: {7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe -autostart (Keine Datei)
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\ProgramData\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\*****\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Default\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Public\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\TEMP.DESKTOP-AA8OGT5\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19350.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: bcdedit.exe /set {bootmgr} displaybootmenu yes
CMD: bcdedit.exe /set {default} recoveryenabled yes
Hosts:
RemoveProxy:
EmptyTemp:

*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09C1813C-EA23-45A2-9FEB-7BDDD890084F}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09C1813C-EA23-45A2-9FEB-7BDDD890084F}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Setup\EOSNotify => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7FD84C3A-AE65-44AF-A9BF-673E1E2AD8D1}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\DolbySelectorTask => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DolbySelectorTask" => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\BookReader_B171F20233094AC88D05A8EF7B9763E8 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => erfolgreich entfernt
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => erfolgreich entfernt
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => erfolgreich entfernt
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKU\S-1-5-21-1525069-697410214-457011714-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => nicht gefunden
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui => erfolgreich entfernt

========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset catalog =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.


========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.


========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).


========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{118DF058-4C30-4B66-B1DE-060DE22449D4} canceled.
{3EE1121A-2481-415F-8276-B33BD328063F} canceled.
{D7287FBD-5883-4F76-B428-0889631F8D9F} canceled.
3 out of 3 jobs canceled.

========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.

========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Fehler beim Zurcksetzen des WMI-Repositorys
Fehlercode:        0x8007041B
Einrichtung:        Win32
Beschreibung:        Ein Stoppzeichen wurde an einen Dienst gesendet, von dem andere Dienste abh„ngen.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========


========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========


========= bcdedit.exe /set {bootmgr} displaybootmenu yes =========

Der Vorgang wurde erfolgreich beendet.

========= Ende von CMD: =========


========= bcdedit.exe /set {default} recoveryenabled yes =========

Der Vorgang wurde erfolgreich beendet.

========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-1525069-697410214-457011714-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 38171016 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 37793681 B
Edge => 1471174 B
Firefox => 1123632622 B
Opera => 164190130 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 6986 B
systemprofile32 => 7426 B
LocalService => 11552 B
NetworkService => 1117294 B
***** => 58756722 B
Administrator => 59030889 B

RecycleBin => 0 B
EmptyTemp: => 1.4 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 23:08:00 ====


M-K-D-B 15.01.2022 10:38

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:



Schritt 1
  • Wir empfehlen die regelmäßige Verwendung (z. B. alle zwei Wochen) von AdwCleaner und MBAM. Sie stören den Betrieb deines Antivirenprogramms nicht.
  • Wenn du die Tools dennoch entfernen möchtest, geht das ganz einfach.
    • MBAM:
    • Über Start > Einstellungen > Apps kannst du das Programm deinstallieren.
    • AdwCleaner:
    • Starte AdwCleaner und klicke in der linken Menüleiste auf Einstellungen.
    • Scrolle ganz nach unten und klicke unter dem Menüpunkt AdwCleaner entfernen auf Entfernen.





Schritt 2
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Rechtsklicke auf FRST64 und wähle Umbenennen.
  • Benenne FRST64 in Uninstall um.
  • Starte Uninstall.
  • FRST und die dazugehörigen Dateien/Odner werden entfernt.
  • Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.






Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

connor1 15.01.2022 14:35

Zitat:

Wir empfehlen die regelmäßige Verwendung (z. B. alle zwei Wochen) von AdwCleaner und MBAM. Sie stören den Betrieb deines Antivirenprogramms nicht.
wenn ich auf win. sicherheit gehe steht dort Malwarebytes ist aktiviert. und das keine aktivitäten erforderlich sind.
Kann ich den Scanner von Windows verwenden und Trotzdem alle zwei wochen AdwCleaner und MBAM durchlaufen lassen, wenn ja wie?


Zitat:

Anleitung: Maßnahmen zur Absicherung des Rechners
ich würde aufjedenfall einen backup machen wie am anfang erwähnt, muss mich nur nochmal etwas genauer damt befassen.




was hat die PUA auf meinem PC eigentlich gemacht ?

eben hat sich nochmal defender firewall gemeldet während ich VLC mediaplayer benutzt habe und hat folgendes blockiert :
Name: VLC media player,
Herrausgeber:VideoLAN
Pfad: C:\program files\videolan\vlc\vlc.exe

sollte man sich da gedanken machen, oder ist alles ok?

M-K-D-B 15.01.2022 14:56

Zitat:

Zitat von connor1 (Beitrag 1761522)
wenn ich auf win. sicherheit gehe steht dort Malwarebytes ist aktiviert. und das keine aktivitäten erforderlich sind.
Kann ich den Scanner von Windows verwenden und Trotzdem alle zwei wochen AdwCleaner und MBAM durchlaufen lassen, wenn ja wie?

Du kannst MBAM ganz einfach wieder deaktivieren:
  • Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
  • Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
  • Windows Defender wird sich automatisch wieder aktivieren.
  • Du kannst nun Adwcleaner und MBAM zur regelmäßigen Kontrolle auf dem Computer belassen und verwenden. Sie stören den Windows Defender nicht.



Zitat:

Zitat von connor1 (Beitrag 1761522)
ich würde aufjedenfall einen backup machen wie am anfang erwähnt, muss mich nur nochmal etwas genauer damt befassen.

Das ist eine gute Idee. Regelmäßige Backups sind sehr wichtig. :daumenhoc




Zitat:

Zitat von connor1 (Beitrag 1761522)
was hat die PUA auf meinem PC eigentlich gemacht ?

Nichts schlimmes... das System verlangsamt und ggf. Werbung angezeigt.



Zitat:

Zitat von connor1 (Beitrag 1761522)
eben hat sich nochmal defender firewall gemeldet während ich VLC mediaplayer benutzt habe und hat folgendes blockiert :
Name: VLC media player,
Herrausgeber:VideoLAN
Pfad: C:\program files\videolan\vlc\vlc.exe

sollte man sich da gedanken machen, oder ist alles ok?

VLC ist ja legitim, also ist das Ok. Den Zugriff kannst du also zulassen.




Sonst ist alles ok? :)

connor1 15.01.2022 15:57

Zitat:

Starte MBAM und klicke rechts oben auf Einstellungen (Zahnradsymbol).
Wähle den Tab Konto aus und klicke auf Lizenz deaktivieren, bestätige die Nachfrage mit Ja.
Windows Defender wird sich automatisch wieder aktivieren.
habe ich gemacht und im schutzverlauf befinden sich immer noch die beiden PUA.
wenn ich drauf klicke werde ich gefragt ob ich möchte das durch diese App änderungen am gerät vorgenommen werden. (so wie am anfang)

M-K-D-B 15.01.2022 18:04

Zitat:

Zitat von connor1 (Beitrag 1761530)
habe ich gemacht und im schutzverlauf befinden sich immer noch die beiden PUA.
wenn ich drauf klicke werde ich gefragt ob ich möchte das durch diese App änderungen am gerät vorgenommen werden. (so wie am anfang)

Schutzverlauf heißt ja nur, dass dir dort angezeigt wird, "wann" der Windows Defender in der Vergangenheit "was auch immer" gefunden/blockiert/gelöscht hat.

Das heißt aber nicht, dass die PUA noch auf dem Gerät vorhanden ist. ;)

Jedes Sicherheitsprogramm listet dem Nutzer im Verlauf alle bisher gefundenen "schädlichen Elemente" auf.

:abklatsch:

M-K-D-B 16.01.2022 13:59

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131