Trojaner-Board - Windows 10: Malwarebites Meldungen heute: Trojaner (?), blockierte Websites

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 10: Malwarebites Meldungen heute: Trojaner (?), blockierte Websites (https://www.trojaner-board.de/205095-windows-10-malwarebites-meldungen-heute-trojaner-blockierte-websites.html)

Danke für die anspruchsvolle Sonntagnachmittags-Fleißaufgabe... !

zu Schritt 1: Updates bzw. Deinstallationen sind erfolgt, bis auf eines:

Microsoft .NET Framework: konnte ich weder finden noch deinstallieren / updaten. Lt. Windows-Updateverlauf erfolgte das letzte - erfolgreiche - Update für
.NET Framework am 24.08.2022.
Nach einiger Suche konnte ich mir nur vorstellen, dass ein weiteres Update unter "2022-08 Kumulatives Update für Windows 10 Version 21H2 für x64-basierte Systeme (KB5016688)" versteckt ist und habe es runtergeladen. Hoffe, das war zumindest kein kontraproduktiver Fehler. Falls ich falsch lag, bitte um Hilfe, wie ich das Ding entweder aktualisiert bekomme oder - besser - runter vom Rechner.

Danke vorab!

Search.txt

Code:

Farbar Recovery Scan Tool (x64) Version: 30-08-2022

durchgeführt von bandida (11-09-2022 17:46:56)

Gestartet von C:\Users\bandida\Desktop\Downloads

Start-Modus: Normal
 

================== Datei-Suche: "SearchAll: Preispilot;{0D8E6567-7082-48DB-A305-293873AC8B39}" =============
 

Datei:

========
 

Ordner:

========

2012-12-19 17:01 - 2012-12-19 17:01 _____ C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}
 

Registry:

========
 

===================== Suchergebnis für "Preispilot" ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"Inno Setup: App Path"="C:\Users\bandida\AppData\Roaming\Mozilla\Firefox\Profiles\bczay6oq.default\extensions\extension@preispilot.com"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"InstallLocation"="C:\Users\bandida\AppData\Roaming\Mozilla\Firefox\Profiles\bczay6oq.default\extensions\extension@preispilot.com\"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"Inno Setup: Icon Group"="preispilot.com"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"DisplayName"="Preispilot für Firefox"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"DisplayIcon"="C:\Users\bandida\AppData\Roaming\Mozilla\Firefox\Profiles\bczay6oq.default\extensions\extension@preispilot.com\ciuvo_active.ico"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"Publisher"="Preispilot"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"URLInfoAbout"="hxxp://www.preispilot.com"
 
 

===================== Suchergebnis für "{0D8E6567-7082-48DB-A305-293873AC8B39}" ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"Inno Setup: App Path"="C:\Users\bandida\AppData\Roaming\Mozilla\Firefox\Profiles\bczay6oq.default\extensions\extension@preispilot.com"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"InstallLocation"="C:\Users\bandida\AppData\Roaming\Mozilla\Firefox\Profiles\bczay6oq.default\extensions\extension@preispilot.com\"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"Inno Setup: Icon Group"="preispilot.com"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"DisplayName"="Preispilot für Firefox"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"DisplayIcon"="C:\Users\bandida\AppData\Roaming\Mozilla\Firefox\Profiles\bczay6oq.default\extensions\extension@preispilot.com\ciuvo_active.ico"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"UninstallString"=""C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}\unins000.exe""
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"QuietUninstallString"=""C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}\unins000.exe" /SILENT"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"Publisher"="Preispilot"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1]

"URLInfoAbout"="hxxp://www.preispilot.com"
 
 

====== Ende von Suche ======

Das passt alles so.
Wir entfernen noch eben ein paar Reste einer unerwünschten Software.

Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: Unlock: C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39} Folder: C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39} C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39} Exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1 DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1 Reboot: End::
Starte nun FRST und klicke direkt auf den Button Reparieren.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

Wichtig:
- Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
  Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
- Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Danke - auch das ist geschafft.

Voilà:

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-08-2022

durchgeführt von bandida (11-09-2022 21:00:38) Run:2

Gestartet von C:\Users\bandida\Desktop\Downloads

Geladene Profile: UpdatusUser & bandida

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

Start::

Unlock: C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}

Folder: C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}

C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}

DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1

Reboot:

End::

*****************
 

"C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}" => wurde entsperrt
 

========================= Folder: C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39} ========================
 

2012-12-19 17:01 - 2012-12-19 17:01 - 000011237 ____A [1340C90FE775F5DC28549A0D701D9261] () C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}\unins000.dat

2012-12-19 17:01 - 2012-12-19 17:01 - 000779786 ____A [B2F57619F70B22403B0C353A4293B441] () [Datei ist nicht signiert] C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39}\unins000.exe
 

====== Ende von Folder: ======
 

C:\Program Files (x86)\InstallShield Installation Information\{0D8E6567-7082-48DB-A305-293873AC8B39} => erfolgreich verschoben

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0D8E6567-7082-48DB-A305-293873AC8B39}_is1 => erfolgreich entfernt
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 21:00:48 ====

Gut gemacht. :)
Bringt MBAM immer noch Meldungen von blockierten Websites?

Danke!
Nein, bisher nicht :-)

Abschließender Schritt
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Lieber Matthias,
mir bleibt nur nochmal von ganzem Herzen Danke zu sagen. Das war grandios.
.
Alles erledigt und keine weiteren Fragen.
Hier die Files:

Code:

# Run at 12.09.2022 20:03:14

# KpRm (Kernel-panik) version 2.9.3

# Website https://kernel-panik.me/tool/kprm/

# Run by bandida from C:\WINDOWS\system32

# Computer Name: BANDIDA-PC

# OS: Windows 10 X64 (19044) 

# Number of passes: 1
 

- Checked options -
 

    ~ Delete Tools

    ~ Delete Quarantines
 

- Delete Tools -
 
 

  ## AdwCleaner

     [OK] C:\Users\bandida\Desktop\Downloads\adwcleaner.exe deleted

     [OK] C:\AdwCleaner deleted
 

  ## ESET Online Scanner

     [OK] C:\Users\bandida\Desktop\ESET Online Scanner.lnk deleted

     [OK] C:\Users\bandida\Desktop\Downloads\ESETOnlineScanner_DEU.exe deleted
 

  ## FRST

     [OK] C:\Users\bandida\Desktop\Downloads\Addition.txt deleted

     [OK] C:\Users\bandida\Desktop\Downloads\Fixlog.txt deleted

     [OK] C:\Users\bandida\Desktop\Downloads\FRST.txt deleted

     [OK] C:\Users\bandida\Desktop\Downloads\FRST64(1).exe deleted

     [OK] C:\Users\bandida\Desktop\Downloads\FRST64.exe deleted

     [OK] C:\Users\bandida\Desktop\Downloads\Search.txt deleted

     [OK] C:\FRST deleted
 

  ## Malwarebytes (log)

     [OK] C:\Users\bandida\Desktop\MBAM.txt deleted
 

  ## SecurityCheck

     [OK] C:\Users\bandida\Desktop\Downloads\SecurityCheck.exe deleted
 

-- KPRM finished in 20.37s --

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.