Blockiermeldung durch Antivirusprogramm von clickbiz.org
 

Hallo an die Community.
Seit Ende letzten Jahres taucht beim Surfen im Internet immer wieder das Popup-Fenster mit der Meldung auf, dass mein Antivirusprogramm Avast mich vor einer Bedrohung schützt und eine Verbindung zu cllckbiz.org trennt. Das genannte Antivirusprogramm und das Programm CCleaner habe ich immer wieder durchlaufen lassen, welches nichts fand.

Die Bedrohungsmeldung habe ich zur Hilfe der Anlage beigefügt.

Es wäre nett, wenn mir jemand mit diesem Problem helfen könnte, da die diese Meldung inklusive penetrantischer Geräuschmeldung beim Surfen mehrmals stündlich auftaucht.

Vielen Dank schonmal

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.




Bitte lesen:
CCleaner wird nicht mehr empfohlen







Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • App Explorer
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.



Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Danke für die schnelle Meldung.
Schritt 1 (App Explorer) wurde erfolgreich deinstalliert.

Schritt 2: MBAM installiert, durchgeführt und 53 Fälle in Quarantäne verschoben. Die Logdatei ist im Anhang.

Schritt 3 AdwCleaner durchlaufen gelassen. Logdatei:

# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build: 08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 04-01-2023
# Duration: 00:00:02
# OS: Windows 10 (Build 19045.2728)
# Cleaned: 20
# Failed: 0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted C:\Program Files (x86)\Chromium
Deleted C:\Users\Public\Documents\Downloaded Installers
Deleted C:\Users\king_\AppData\Local\slimware utilities inc
Deleted C:\Users\king_\AppData\Roaming\DESKTOPICONAMAZON
Deleted C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

Deleted C:\Users\king_\AppData\Roaming\Mozilla\Firefox\Profiles\wpqf1uoc.default-release\invalidprefs.js
Deleted C:\Windows\System32\Tasks_Migrated\App Explorer

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

Deleted C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WildTangent Games\BlackJack+.lnk

***** [ Tasks ] *****

Deleted C:\Windows\System32\Tasks\DRIVER BOOSTER SCHEDULER

***** [ Registry ] *****

Deleted HKCU\Software\csastats
Deleted HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A5001D15-0517-4560-9A15-6EEC5100B1DC}
Deleted HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scheduler
Deleted HKLM\Software\Classes\Installer\Features\A38C15B2D5649AE4C9CDE19DE50DA96C
Deleted HKLM\Software\Classes\Installer\Products\A38C15B2D5649AE4C9CDE19DE50DA96C
Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A38C15B2D5649AE4C9CDE19DE50DA96C
Deleted HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted HKLM\Software\Wow6432Node\IObit\RealTimeProtector

***** [ Chromium (and derivatives) ] *****

Deleted Touch VPN – Kostenloses VPN und kostenloser Proxy - bihmplhobchoageeokmgbdihknkjbknd

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

Deleted Amazon Assistant for Firefox - abb-acer@amazon.com

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [7952 octets] - [01/04/2023 22:32:46]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Entschuldige. Hier die Logdatei von MBAM

Vielen Dank für die Logdateien. :daumenhoc


Bitte zur Kontrolle FRST ausführen, dann geht es weiter.




Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hier die beiden neuen logdatein :)

Vielen Dank. :)



Bitte achte besser auf deine Downloadquellen und halte dich von dubioser Software fern (andernfalls infizierst du dein System erneut):


Eine kurze Information vorab:





Wir nutzen nun FRST zur Bereinigung. Dies wird einige Minuten dauern.
Anschließend kontrollieren wir mit ESET.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-359495094-2024670768-2274059689-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer17win10.msn.com/?pc=ACTE
SearchScopes: HKLM -> DefaultScope {83E58341-C23D-4FAA-AAF3-AA6420033B1B} URL =
SearchScopes: HKLM-x32 -> DefaultScope {83E58341-C23D-4FAA-AAF3-AA6420033B1B} URL =
HKU\S-1-5-21-359495094-2024670768-2274059689-1001\...\Run: [GalaxyClient] => [X]
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
FF user.js: detected! => C:\Users\king_\AppData\Roaming\Mozilla\Firefox\Profiles\wpqf1uoc.default-release\user.js [2023-01-09]
FF user.js: detected! => C:\Users\king_\AppData\Roaming\Mozilla\Firefox\Profiles\u851r464.default\user.js [2023-01-09]
CHR DefaultSearchURL: Default -> hxxps://db.pokemongohub.net/images/icons/192.png
S3 BraveElevationService1d926d1b84156a; "C:\Program Files\BraveSoftware\Brave-Browser\Application\111.1.49.132\elevation_service.exe" [X]
S2 igfxCUIService2.0.0.0; %SystemRoot%\System32\DriverStore\FileRepository\cui_dch.inf_amd64_767e7683f9ad126c\igfxCUIService.exe [X]
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]

startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von ESET

hier die beiden Dateien

Gut gemacht. :)

Wie läuft Chrome? Meckert Avast noch?



Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Leider erscheint die Bedrohungsmeldung weiterhin. Auch nochmal im Anhang zu sehen.

Vielen Dank für die Infos.

Die Meldung von Avast kommt nur, wenn der Browser geöffnet ist?



Bitte eine Kontrolle mit FRST ausführen.


Schritt 1

• Starte FRST erneut.
• Setze einen Haken vor Shortcut.txt und klicke auf Untersuchen.
• FRST erstellt nun drei Logdateien (FRST.txt, Addition.txt und Shortcut.txt).
• Poste mir alle Logdateien mit deiner nächsten Antwort.

Edit:
Ich bin die nächsten Tage nicht da, cosinus übernimmt dann für mich.

Vielen Dank, dass du dich der Problematik annimmst Matthias.
Die Meldung kommt scheinbar nur, wenn der Chrome-Browser geöffnet ist. Bei z.B. Mozilla ist dies nicht der Fall.

Ich würde dir dringend raten, den Chrome-Browser zu deinstallieren und künftig nur noch Firefox zu verwenden. Als Ausweichbrowser haben Windows 10 und 11 bereits den Microsoft Edge dabei und das ist ein chromebasierter Browser. Wozu brauchst du daher noch noch die Extrawurst Chrome von Google?

Danke für den Tipp. Da der Browser für meine Zwecke sehr gut eingerichtet ist, stellt sich mir die Frage, ob es noch eine weitere Lösungsmöglichkeit gibt?
Danke und VG

Nicht wenn der Browser komplett verhunzt ist. Dann wirst du ihn komplett deinstallieren und neu installieren müssen. Wobei sich mir aber die Frage stellt was ihr Leute da draußen an dieser Google-Wanze Chrome so toll findet?

Bist du denn bereit, dich von anderem unnötigen oder alten Schrott zu trennen? Also das hier:

Acer Configuration Manager
Avast Free Antivirus
Brave
Care Center Service
Driver Booster 10
WinRAR 5.71 (64-Bit)

Eine Trennung davon ist kein Problem. Ist ja teils vorinstallierte Software. Außer die Antivirussoftware, was gäbe es denn da für Alternativen?

Noch nie gehört, dass Windows schon seit Version 8 einen Virenscanner eingebaut hat?
Und ist dir auch bewusst, dass Virenscanner sehr oft nutzlos bzw. überbewertet sind?

Das löschen wäre kein Problem. Ist ja teils vorinstallierte Software. Aber was gibt es denn für Alternativen zu Avast?

Hast du meinen Beitrag nicht gelesen?

Ne, tatsächlich ist er nicht auf die zweite Seite gesprungen.
Aber wie du sagst, sind sie oft überbewertet. Als Absicherung mMn doch vlt. nutzbar. Doch was hat das dann noch mit der Software wie Winrar oder Brave zu tun?
Um nicht weiter auf meine Unwissenheit reduziert zu werden, bevorzuge ich eher den sachlichen Austausch.

Ja, dafür fokussierst du dich aber nur auf den Virenscanner. Siehe deine Rückfragen. Deinstalliere den Avast-Schrott, stell sicher dass der Windows Defender läuft und lerne wie man Sicherheit selbst richtig herstellt. Die kommt nämlich nicht, in dem man einen Virenscanner installiert und sonst alles andere ignoriert.



Nochmal: bitte alle Beiträge lesen. Es wurde erwähnt warum du das deinstallieren sollst:

Aus meiner Sicht ist Brave komplett überflüssig. Du hast bereits in Windows Microsoft Edge integriert. Dann nutzt du Google Chrome. Und dann noch wozu bitte einen dritten Browser? Wie viele Browser braucht man?

WinRAR ist vllt nicht komplett überflüssig aber steinalt.

Ich bin zurück vom Kurzurlaub. ;)

Da das Problem nur mit Google Chrome besteht, habe ich eine Frage:
Wurde Google Chrome bereits vollständig (inklusive Browserdaten löschen) deinstalliert und anschließend neu installiert, um zu überprüfen, ob sich das Problem damit beheben lässt?

Es ist durchaus möglich, dass in den Einstellungen von Chrome noch Reste von Adware vorhanden sind, die kein Tool entdeckt.




Schritt 1

• Deinstalliere Google Chrome über Start > Einstellungen > Apps.
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Installiere Google Chrome neu (falls benötigt).
• Vorerst keine Erweiterungen/Plugins installieren und nicht mit einem evtl. vorhandenen Konto verbinden/synchronisieren.
• Berichte, ob Avast nun immer noch eine Meldung bringt.

Hi M-K-D-B.
Nach Deinstallation und und ohne verbinden des Chrome-Profils meckert Avast nicht.
Danke soweit^^

Danke für die Rückmeldung. :daumenhoc

Dann betrachte ich dein Thema als geklärt und beendet.

Zur Not musst du halt die Syncronisationsdaten im Google Dashboard löschen/zurücksetzen, wenn du nach dem Anmelden im Profil wieder Probleme hast.
Dann weißt du halt, wo das Problem liegt.






Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Vielen Dank nochmal für die geniale Unterstützung!

Und warum willst du diesen Avast-Unsinn behalten?

Gerne. :abklatsch:



Vermutlich weil er mit Avast zufrieden ist. ;)
Er weiß ja, dass wir davon nicht begeistert sind, aber so ist es halt. :)






Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.