Windows 10: PUA lässt sich nicht entfernen: PUADlManager:Win32/DownloadSponsor
 

Moin,
ich habe den großen Fehler gemacht und bei Chip etwas downgeloadet.
Seitdem bekomme ich die PUA nicht gelöscht und würde mich über Hilfe freuen.

Ich habe bereits den Malwarebytes und den ADWCleaner geladen und die PUA in die Quarantäne verschoben.

Betroffene Elemente: PUADlManager:Win32/DownloadSponsor

Erkannt:
file: G:\Users\*****\Desktop\PC\Internet Explorer 11 64 Bit - CHIP-Installer.exe
file: G:\Users\*****\Desktop\PC\Logitech Gaming Software - CHIP-Installer.exe

Unten einmal die Logdaten von Malwarebytes, ADWCleaner plus die FRST.txt und Addition.txt

Vielen Dank.

Hier noch die FRST und Addition.

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.




Hast du die Funde von AdwCleaner auch entfernen lassen?
Ich frage nur deshalb nach, weil du nur die Logdatei des Suchlaufs gepostet hast, nicht jedoch das Logdatei zur Bereinigung.

Addition

Oh, hier ist die Aktuelle.

Bitte Emsisoft zur Kontrolle ausführen.

Danach sehen wir weiter.



Schritt 1
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hier der Emsisoft Bericht:

Adobe Flash Player solltest du über Start > Einstellungen > Apps deinstallieren.
Darin klaffen zahlreiche Sicherheitslücken, es gibt keinen Support mehr dafür.



Wir entfernen verwaiste Einträge mit FRST und kontrollieren die Systemdateien.
Dies kann ein paar Minuten dauern.






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-2813057920-4283692626-3176181711-1000_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Keine Datei
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2813057920-4283692626-3176181711-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-2813057920-4283692626-3176181711-1000\...\Run: [] => [X]
HKLM\Software\...\Authentication\Credential Providers: [{503739d0-4c5e-4cfd-b3ba-d881334f0df2}] ->
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {10DCDD40-D5BC-44D7-A982-A153E53655D0} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\APP Shop\AsrAPPShop.exe (Keine Datei)
Task: {18241C3C-3BA1-4B60-95B8-461C3EE5B492} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (Keine Datei)
Task: {30639365-9F2C-4012-980A-6A7F4CD9037E} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -PvrRecoveryTask (Keine Datei)
Task: {3C4EE2F4-DE77-4652-890A-3C5668AED308} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (Keine Datei)
Task: {4676977B-1834-4F9B-8953-75773C3D2189} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe -PvrSchedule (Keine Datei)
Task: {5946D3B2-5F21-4ADE-B3B5-0A1FD03CF497} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (Keine Datei)
Task: {6F8885EE-5D61-40DC-8F4D-60F335CE90B5} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (Keine Datei)
Task: {71D43197-4200-46F5-ACD0-C36C5B459E24} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (Keine Datei)
Task: {7790E8F3-78D8-4430-806F-6656CF2C60EC} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (Keine Datei)
Task: {7865B872-1366-4BC2-A64D-585B9354696D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (Keine Datei)
Task: {7E160CED-1CDA-4CD9-A22A-6FA7DA8E9A96} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_238_Plugin.exe -check plugin (Keine Datei)
Task: {7E322686-DA9C-431A-928F-2A7B8973C136} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (Keine Datei)
Task: {98771FDA-7792-4A7D-AE81-938CDEA004A6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (Keine Datei)
Task: {B079A7EB-2F75-45BC-91F1-A5388515046E} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (Keine Datei)
Task: {B5C6E776-E534-48C8-B55A-68E3B2BC048C} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe /RestartRecording (Keine Datei)
Task: {BACBE152-4CCB-4CE7-ADE1-C97F7BA32BF7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (Keine Datei)
Task: {C1A069C5-E4AF-489F-97D9-48FE10584BAB} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (Keine Datei)
Task: {CF6291E4-9D53-4FA5-810D-61084E70EBE4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -MediaCenterRecoveryTask (Keine Datei)
Task: {E3211083-5767-4E19-840B-15ACA5103E40} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe $(Arg0) (Keine Datei)
Task: {E3D28329-3CF4-44D6-A7E1-296BC18127D8} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (Keine Datei)
Task: {E6EF8B78-92FD-4B2C-BBB6-68EB456F1A3C} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -ObjectStoreRecoveryTask (Keine Datei)
Task: {EC21D89B-D31C-48DD-BD31-DB18C52263C3} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (Keine Datei)
Task: {FF7B624F-DDDB-4019-9FBF-AF39EB66ACE4} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (Keine Datei)
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
FF Notifications: Mozilla\Firefox\Profiles\u2u7qv5p.default -> hxxps://tomclancy-thedivision.ubisoft.com; hxxps://casino-de.888poker.com; hxxps://www.youtube.com; hxxps://mydivision.net; hxxps://web.whatsapp.com; hxxps://www.empfohlen.de; hxxps://webinterface.nitrado.net
FF HKLM\...\Firefox\Extensions: [{75148987-0f86-477f-963f-d0b98644cf08}] - C:\Program Files (x86)\NetRatingsNetSight\NetSight\meter1\FirefoxAddOns\{75148987-0f86-477f-963f-d0b98644cf08}.xpi => nicht gefunden
U3 idsvc; kein ImagePath
c:\Users\AllUserName\Desktop\PC\*CHIP-Installer*.exe
c:\Users\AllUserName\Desktop\*CHIP-Installer*.exe
c:\Users\AllUserName\Downloads\*CHIP-Installer*.exe
d:\Users\AllUserName\Desktop\PC\*CHIP-Installer*.exe
d:\Users\AllUserName\Desktop\*CHIP-Installer*.exe
d:\Users\AllUserName\Downloads\*CHIP-Installer*.exe
e:\Users\AllUserName\Desktop\PC\*CHIP-Installer*.exe
e:\Users\AllUserName\Desktop\*CHIP-Installer*.exe
e:\Users\AllUserName\Downloads\*CHIP-Installer*.exe
g:\Users\AllUserName\Desktop\PC\*CHIP-Installer*.exe
g:\Users\AllUserName\Desktop\*CHIP-Installer*.exe
g:\Users\AllUserName\Downloads\*CHIP-Installer*.exe
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Ich habe jetzt den Code in FRST kopiert und repariert, richtig?

Richtig. :abklatsch:




Schritt 1
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

SecurityCheck

Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt bzw. falls nicht mehr unterstützt):
Microsoft .NET Framework 4.7.2 v.4.7.03062 Warning! Download Update
TeamViewer v.15.5.6 Warning! Download Update
Microsoft Office Access database engine 2007 (English) v.12.0.4518.1031 Warning! This software is no longer supported.
WinRAR 5.60 (64-Bit) v.5.60.0 Warning! Download Update
Discord v.0.0.310 Warning! Download Update
Telegram Desktop version 2.4.7 v.2.4.7 Warning! Download Update
VLC media player v.3.0.12 Warning! Download Update
Adobe Acrobat v.22.003.20322 Warning! Download Update
^Please run Acrobat Reader DC and go Help - Check for updates...^
Adobe Acrobat Reader - Deutsch v.22.003.20322 Warning! Download Update
Driver Booster 3 for STEAM Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
Driver Booster for Steam Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.







Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Vielen Dank :)

Die Fehlermeldung ist aber noch in der Windows-Sicherheit :crazy:

Das klingt eher nach dem Verlauf von Windows Defender. Es wurde vermutlich in der Vergangenheit mal etwas gefunden.
Mach mal einen Screenshot vom gesamten Windows-Fenster mit dieser Meldung und lade ihn zur Ansicht hoch.

Windows-Sicherheit

Wie ich vermutete... das ist "nur" der Schutzverlauf vom Windows Defender, keine aktive Bedrohung. :)


Hier steht, wie du den Schutzverlauf löschen kannst.






Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.