Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Adware Virus ? (https://www.trojaner-board.de/206037-adware-virus.html)

Xraa 30.01.2023 16:51
Adware Virus ?
 
Liste der Anhänge anzeigen (Anzahl: 4)
Hallo liebes Board, alle Jahre wieder grüßt der Marder im PC:headbang:
Ich werde derzeit bei meinem Browser nach dem ich etwas in Google eingebe sofort zu Bing weitergeleitet. Ich hab bereits vor ein paar Tagen mein Antimaleware Bytes durchlaufen lassen und auch etwas gefunden, in Quarantäne gestellt und sofort gelöscht. Die Berichte schicke ich mit rein.

Dazu noch ein frisches FRST + Addition.

Danke schon mal vorab für die Hilfe. :)

M-K-D-B 30.01.2023 21:06
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Systems helfen.



Wir helfen gerne, aber nicht bei illegaler Software:
Zitat:
Malware.AI.4094218615, G:\$RECYCLE.BIN\S-1-5-21-1626158099-3054840128-3983119954-1001\$RWO984A\ADOBE INDESIGN 2021\RESOURCES\CEP\HSF\HSF_4.0.2_B.EXE, In Quarantäne, 1000000, -200748681, 1.0.65012, 4852A27ED0DCD59EF408D177, dds, 02141776, F5708B7D88D5245EA39854F3FA41D421, 24784EB68006793350C5CE713884125F8E441E1369245A7B370027E16F4D530E
RiskWare.Tool.CK, G:\BEHALTEN\SFT\PROGRAMME2\PPLSQCKTME.ZIP, In Quarantäne, 6720, 133409, 1.0.65012, F8DE63D974899F6BFBF4D149, dds, 02141776, 9D260033F9624006101FDA9E5C018D73, 3DF72687B4CF6DE9E6A5950C5AB918FCF9D9CD6F4B0B44F95DFCA97940ED17B8
Bitte lesen:
Cracks, Keygens und andere illegale Software

Xraa 30.01.2023 22:43
Hey, das besagte Programm war auf einer externen Festplatte, die ich mal an diesen PC hier angeschlossen habe. Ich habe das Programm weder auf meinem PC, noch habe ich es heruntergeladen. Ich habe noch mal drüber geschaut und nichts gefunden

Lieben Gruß

M-K-D-B 31.01.2023 15:02
Lassen wir mal ESET laufen.



Schritt 1
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Xraa 31.01.2023 21:55
Liste der Anhänge anzeigen (Anzahl: 1)
Sieht so als als würde nichts gefunden, der Wechsel mit der Suchmaschine ist aber immer noch irgendwie im Browser:confused:

M-K-D-B 01.02.2023 16:00
Ich habe nicht gesagt, dass das Problem mit ESET behoben sein wird. ;)

Du solltest besser auf deine Downloadquellen achten, du hast dir unerwünschte Software auf dein System geholt. :)



Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:
  • Chip.de
  • Softonic.de
  • sourceforge.net
  • openoffice.de
  • VLC.de
  • audacity.de
  • gimp24.de
  • jdownloader.org
  • computerbild.de
  • updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
    • VLC Plus Player
    • VLC Plus Player Updater
  • Starte den Rechner im Anschluss neu.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallationen
  • die Logdatei von AdwCleaner

Xraa 01.02.2023 18:57
Liste der Anhänge anzeigen (Anzahl: 1)
Oh, okay. Ich wollte eigentlich nur den VLC Media Player, aber da ist was schiefgelaufen. Ist nun deinstalliert und Log ist mit dabei. :)

M-K-D-B 01.02.2023 19:42
Zitat:
Zitat von Xraa (Beitrag 1771503)
Oh, okay. Ich wollte eigentlich nur den VLC Media Player, aber da ist was schiefgelaufen.
Mir ist schon klar, was du wolltest. :daumenhoc
Den VLC Player lädt man sich aber über die offizielle Herstellerseite: videolan.org

Nicht immer ist das erste Sucheregebnis von Google das Richtige. :D



FRST zur Kontrolle bitte.
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.

Xraa 01.02.2023 20:12
Liste der Anhänge anzeigen (Anzahl: 2)
Vielen Dank! :)

M-K-D-B 01.02.2023 20:58
Wir entfernen verwaiste Einträge mit FRST und kontrollieren die Systemdateien.
Dies kann ein paar Minuten dauern, bitte gedulde dich.
Anschließend bitte noch SecurityCheck ausführen.








Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    VirusTotal: C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\n4a6pcvh.default-release\Extensions\{8b47571c-5a80-4b96-8784-794227c94e22}.xpi
    C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\n4a6pcvh.default-release\Extensions\{8b47571c-5a80-4b96-8784-794227c94e22}.xpi
    Task: {074DA1B5-25E9-4907-BBF5-78EC5AC4B8AD} - System32\Tasks\MicrosoftEdgeShadowStackRollbackTask => C:\Program Files (x86)\Microsoft\Edge\Application\108.0.1462.54\Installer\setup.exe --handle-crash="$(ProcessPath)" (Keine Datei)
    Task: {09A71551-E2CD-4553-AFD9-AD2D1305169A} - System32\Tasks\Microsoft Office 15 Sync Maintenance for MIOGA-Unbekannt Mioga => C:\Program Files\Microsoft Office\Office15\MsoSync.exe (Keine Datei)
    Task: {3187BD49-B39A-47C4-84C3-1D8ED683EA17} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Keine Datei)
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Keine Datei)
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    C:\Users\AllUserName\AppData\Local\VLC Plus Player Updater
    startpowershell:
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
    endpowershell:
    CMD: netsh winsock reset
    CMD: netsh int ip reset
    CMD: ipconfig /flushdns
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
    CMD: sfc /scannow
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von SecurityCheck

Xraa 02.02.2023 07:39
Liste der Anhänge anzeigen (Anzahl: 2)
Guten Morgen, beides done. :)

M-K-D-B 02.02.2023 15:05
Gut gemacht. :daumenhoc


Findet die Weiterleitung aktuell immer noch in Firefox statt?




Hattest du diese Erweiterung bewusst installiert gehabt?
FF Extension: (Audio Player App) - C:\Users\Unbekannt\AppData\Roaming\Mozilla\Firefox\Profiles\n4a6pcvh.default-release\Extensions\{8b47571c-5a80-4b96-8784-794227c94e22}.xpi [2023-01-27]
Falls ja, was kannst du mir dazu sagen? Ich finde nämlich nichts passendes dazu.



Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt; Bonjour würde ich deinstallieren, wenn nicht benötigt):

Microsoft 365 Apps for Enterprise - de-de v.16.0.15831.20252 Warning! Download Update

Discord v.1.0.9004 Warning! Download Update

Bonjour v.3.0.0.10 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.


Die Downloadlinks findest du auch in der Logdatei von SecurityCheck.

Xraa 02.02.2023 20:32
Also die Weiterleitung kommt zum Glück schon nicht mehr, danke schon mal dafür. Die Erweiterung sagt mir aber tatsächlich gar nichts und ich habe in der Leiste auch keine Erweiterung drinne außer AdBlock Plus.

M-K-D-B 02.02.2023 21:29
Danke für die Rückmeldung.
Dann befinden wir uns jetzt auf der Zielgeraden.




Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Xraa 04.02.2023 11:03
Liste der Anhänge anzeigen (Anzahl: 1)
Alles durch und vielen Dank für die Hilfe! :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:26 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19