Wacatac.H!ml wurde von Windows Defender erkannt - FRST Logdateien anbei VIELEN DANK
 

Hallo zusammen,

der o.g. Trojaner hat sich leider bei mir eingenistet, weiß nicht ob der Windows Defender entfernen konnte.

Wie werde ich das Teil wieder los? VIELEN DANK :)

FRST Logfile:

FRST Additions Logfile:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Der Windows Defender zeigt doch sehr deutlich auf, was er bemängelt:
Keine Ahnung, was du dir da für einen "Dreck" auf dein System heruntergeladen hast bzw. herunterladen wolltest, lass die Finger davon... oder es könnte böse ausgehen.

Fazit:
Alle Downloads zu "Mindcage" löschen.
Ich hoffe, du hast in der Zwischenzeit keine Datei davon ausgeführt. :D


Das laufende System sieht gut aus, keine aktive Malware zu sehen, zumindest laut Stand von 09:16 Uhr.







Wir können gerne trotzdem mit MBAM und AdwCleaner mal drüberschauen.




Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hallo Matthias, dank dir schon mal für deine Hilfe. Hier die Log Dateien von MBAM und AdwCleaner:

MBAM:

AdwCleaner:

Wurde es vollständig entfernt?

Die Syncronisierung von Google Chrome verhindert, dass die Adware vollständig entfernt werden kann.




Schritt 1

• Starte Google Chrome.
• Klicke rechts oben im Profil auf Synchronisation ist aktiviert.
• Klicke anschließend auf Deaktivieren und bestätige nochmals mit Deaktivieren.
• Melde dich in deinem Google Dashboard an.
• Klicke auf Daten löschen und bestätige dies mit Ok. Mit diesem Schritt werden die Daten von den Google-Servern entfernt.
• Melde dich von deinem Google Konto ab.
• Schließe Google Chrome.
• Die Synchronisation musst du nun von jedem anderen Gerät (Computer, Laptop, Tablet, Smartphone, etc.), auf dem du Google Dienste nutzt, deaktivieren, ansonsten kommt die Infektion zurück.
• Erst wenn das alles erledigt ist, kannst du mit dem nächsten Schritt fortfahren.

Schritt 2

• Deinstalliere zuerst Backup and Sync from Google (sofern installiert) über Start > Einstellungen > Apps. und starte den Rechner neu auf.
• Deinstalliere Google Chrome über Start > Einstellungen > Apps.
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Installiere Google Chrome neu (falls benötigt). Vorerst keine Erweiterungen/Plugins installieren und nicht mit einem evtl. vorhandenen Konto verbinden/synchronisieren.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hier erneut die Ergebnisse von FRST:

Addition:

Gut gemacht. :daumenhoc



Aber, wieso lädst du dir schon wieder neues Zeug auf dein System? ;)
JDownloader ist bekannt dafür, dass man nicht immer saubere Dinge "angeboten" bekommt. Lass das doch bitte jetzt endlich mal sein!

Wir warnen nicht umsonst davor:
Eine kurze Information vorab:






Führe MBAM nochmal aus, es sollte kein Fund mehr erscheinen, wenn du Google richtig zurückgesetzt hast.


Es kommt ein Fix mit FRST (Entfernung verwaister Einträge und Kontrolle der Systemdateien) und dann SecurityCheck.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\Windows\system32\MusNotification.exe (Keine Datei)
CHR HKU\S-1-5-21-2445283974-426384473-1357328936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fjoaledfpmneenckfbpdfhkmimnjocfa]

startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

So, MBAM hat nichts mehr gefunden.

Hier der FRST Fix-Log:

SC - Log:

Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt):

• WinRAR 6.11
• JDownloader 2 <<< Warnung! Wird verdächtigt, PUP/Adware mitzuliefern; ich empfehle die Deinstallation

Die Downloadlinks findest du in der Logdatei von SecurityCheck.



Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:






Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

WinRar & JD2 <- Update erfolgt!

KpRm Logfile:

Ich danke dir vielmals für deine Hilfe und wünsche dir noch einen schönen Abend :)

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.