In zwei verschiedenen Etherpads war plötzlich von alleine das Wort "sterben" eingefügt
 

Hallo an alle,
ich bin Aktivistin und als solche in diversen Chatgruppen aktiv. Innerhalb der letzten Woche habe ich an zwei Etherpads mitgemacht. Eines von riseup.net und das andere war systemli.org.Beide Chat-Gruppen sind völlig unabhängig voneinander, ich bin das einzige Bindeglied. Bei beiden pads war aufeinmal das Wort "sterben" einfach so ohne Zusammenhang mitten im Text eingefügt. Niemand kann nachvollziehen, wo es herkommt. Bei systemli nur einmal, bei riseup sogar mehrere Male.
Kann das wirklich Zufall sein? Ausgerechnet "sterben" und das in zwei verschiedenen pads? Gibt es eine Malware, die so etwas kann?
Hintergrund: Ich bin als bekannte Aktivistin gegen Rechts auch sonst Drohungen ausgesetzt.

Ich hatte gestern zuerst Malwarebites runtergeladen und einen check machen lassen. Dort wurden mehrere PUP gefunden, die ich in Quarantäne schob. Leider habe ich Malwarebites schon wieder deinsatlliert und deshalb keinen Zugriff mehr auf den Bericht.
Heute habe ich Microsoft Windows-Tool zum Entfernen bösartiger Software über viele Stunden laufen lassen, aber hierzu kann ich auch keinen Bericht auf dem Laptop finden.
Nach euren angaben habe ich auch FRST laufen lassen,siehe unten. Ganz lieben Dank im Voraus!

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Schade... das war ein Fehler. Ohne Logateien kann man nur sehr eingeschränkt analysieren und helfen.


Stattdessen wird der nächste Müll installiert:
;)



Wir kümmern uns darum. :)






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • Web Companion
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von AdwCleaner
• die Logdatei von MBAM

Hallo Matthias, vielen Dank für deine Hilfe! Web Companion habe ich deinstalliert, ich mache jetzt nach deinen Anweidungen weiter.

Gut gemacht.
Als nächtes Kontrolle mit FRST.



Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Du hast zweimal die FRST.txt gepostet, es fehlt die Addition.txt. ;)

Sorry

Danke für die Logdatei.

Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {9C303386-399C-4415-BBF5-17C2159216BE} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
FF NewTab: Mozilla\Firefox\Profiles\ma013eh1.default -> hxxps//myfiresearch.com/homepage?hp=1&bitmask=9996&pId=CH180901FF&iDate=2020-05-13 02:52:40&bName=
CHR HomePage: Default -> hxxps//webstart-page.com/?s=acer&m=home&brw=ch
CHR StartupUrls: Default -> "hxxps//webstart-page.com/?s=acer&m=start&brw=ch"
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
S2 IntelSSTSvc; "C:\WINDOWS\system32\IntelSSTAPO\ParameterService\ParameterService.exe" [X]
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
SearchScopes: HKU\S-1-5-21-2519009427-3691308270-3308470228-1001 -> {A08B00F0-E1AC-4551-AB18-F76DF0360A36} URL =
BHO: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:/Program Files (x86)/Internet Explorer/Citavi Picker/x64/SwissAcademic.Citavi.IEPicker.DLL => Keine Datei
BHO-x32: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:/Program Files (x86)/Internet Explorer/Citavi Picker/SwissAcademic.Citavi.IEPicker.DLL => Keine Datei
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Wir haben etwas PUP und Adware entfernt, mehr war da nicht. :)





Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\ProgramData\Application Data\Lavasoft
DeleteKey: HKCU\Software\Lavasoft
DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alles erledigt, ganz, ganz lieben Dank. Hab sogar schon gespendet:)
Eine Frage hätte ich aber noch: Dass beide Etherpads verändert waren muss doch manipuliert worden sein, oder? Das kann doch kein Zufall sein. Oder lag es dann definitiv nicht an mir?
Liebe Grüße

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)
Wir sind froh, dass wir helfen konnten :abklatsch:

Das mit der "Manipulation" ist eine gute Frage, leider kann ich sie dir auch nicht zu 100% beantworten. Aufflällig ist es allemal.
Die PUP/Adware, die wir entfernt haben, ist allerdings nicht für sowas bekannt.

Sonst ist keine Malware in den Logdateien zu erkennen. :daumenhoc




Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.