Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virusbefall Win10: TR/AD.FireHooker.BU

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Thema geschlossen
Alt 09.10.2020, 19:45   #1
Nabito95
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Guten Abend,
ich bekomme nun seit mehreren Tagen angezeigt, dass mein Computer vom Virus "TR/AD.FireHooker.BU" befallen ist. Nun versuche ich hier dieses Problem gelöst zu bekommen. Es wäre super, wenn mich jemand von dem Virus befreien könnte.

Anbei die Log-Dateien als .ZIP, da beide Dateien zu groß zum Posten sind.

Vielen Dank.
Angehängte Dateien
Dateityp: zip FRST_Log_Dateien_Nabito95.zip (77,2 KB, 30x aufgerufen)

Alt 09.10.2020, 20:06   #2
M-K-D-B
/// TB-Ausbilder
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________


Alt 09.10.2020, 20:23   #3
M-K-D-B
/// TB-Ausbilder
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
    • CPUID CPU-Z
    • Yahoo Search Set
    • Sämtliche Software von Avira
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.




Schritt 2
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CloseProcesses:
    CMD: type "C:\Windows\System32\Tasks\NetGroup Benutzerdienst IP"
    Task: {3E89F0D3-F434-4260-9C96-9D0166D35AFD} - System32\Tasks\NetGroup Benutzerdienst IP => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
    C:\Program Files (x86)\nodejs
    DeleteKey: HKLM\SOFTWARE\Node.js
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKU\.DEFAULT\Software\Node.js
    DeleteKey: HKCU\SOFTWARE\Node.js
    DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
    CHR StartupUrls: Default -> "hxxp://www.trovigo.com/?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SPD827F2A0-EA43-4F24-9A8B-529A7C817DEC&SSPV=","hxxp://search.conduit.com/?ctid=CT3318522&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SPD827F2A0-EA43-4F24-9A8B-529A7C817DEC&SSPV=","hxxp://www.trovigo.com/?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SPD827F2A0-EA43-4F24-9A8B-529A7C817DEC&SSPV=","hxxp://www.sweet-page.com/?type=hppp&ts=1401099680&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401185841&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401282798&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401301728&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401365419&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401450402&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401537528&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401640827&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401714084&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401797494&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401883523&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1401974106&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402043026&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402145571&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402242603&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402314092&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402366070&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402488220&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402509554&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402561892&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402662156&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402745155&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402852550&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1402925659&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403010100&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403091633&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403185782&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403280263&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403354214&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403429756&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403445437&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403462761&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403522831&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403619871&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403694583&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403792878&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403872839&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1403982212&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404045043&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404129599&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404220371&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404292030&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404326422&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404454567&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404479389&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404561706&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404648187&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404741255&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404823782&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404908638&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.sweet-page.com/?type=hppp&ts=1404992979&from=wld&uid=SAMSUNGXHD502HI_S1VZJ90S236016","hxxp://www.google.com/"
    CHR NewTab: Default ->  Active:"chrome-extension://ehhkfhegcenpfoanmgfpfhnmdmflkbgk/index.html"
    C:\WINDOWS\system32\Tasks\Avira
    C:\WINDOWS\system32\Tasks\AVAST Software
    C:\Users\Lars\AppData\Roaming\npm
    C:\ProgramData\Avira
    C:\Program Files (x86)\Avira
    C:\Users\Lars\AppData\Roaming\Avira
    C:\Users\Lars\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startfenster-Replace
    AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
    Hosts:
    RemoveProxy:
    SystemRestore: On
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallationen
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
__________________

Alt 09.10.2020, 20:46   #4
Nabito95
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Vielen Dank für die schnelle Rückmeldung.
Die angegebenen Programme wurden deinstalliert (Avira Programme sollten schon bereits vor dem Scan entfernt worden sein).

Anbei die Log-Dateien.
Angehängte Dateien
Dateityp: zip Log_Dateien2_Nabito95.zip (79,9 KB, 28x aufgerufen)

Alt 09.10.2020, 20:57   #5
M-K-D-B
/// TB-Ausbilder
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Schritt 1
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    C:\ProgramData\Package Cache\{CD096B81-5BFC-4575-A582-C756DDEF06A7}
    CMD: type "C:\Windows\System32\Tasks\ActiveX-Installer(AxInstSV)AVCTP-Dienst"
    Task: {A2242651-856F-4FCD-BD7E-1FCDFB78EA96} - System32\Tasks\ActiveX-Installer(AxInstSV)AVCTP-Dienst => C:\Program Files (x86)\nodejs\node.exe <==== ACHTUNG
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-1434175282-2877166796-1715742309-1000\...\Run: [] => [X]
    GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
    CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    Task: {072F0F3F-F2A8-4670-8623-02B42106C04D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
    Task: {128870F1-86AC-4FD7-8D82-78173B69E7D1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
    Task: {253EDB96-F158-4D63-B36B-C35310B1885D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
    Task: {2883C24E-BCB3-47B5-8620-A38C5B6F92B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
    Task: {2EC4C864-F750-429F-99B5-7334068E2FBD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
    Task: {3415EEBC-DF5C-49B9-9245-D2B5DB9B2196} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG
    Task: {7149A811-3543-4D45-B05E-8246ECB70B19} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Keine Datei <==== ACHTUNG
    Task: {730C894D-A073-442E-B88E-FB6792E1F587} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    Task: {9411FDC0-28C4-4919-9475-9FC6063860AC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
    Task: {AD817A1B-89C0-4A70-BE6D-E0DF32B5C3C8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
    Task: {E0CEB65B-1AD0-47CA-91D8-452A5B497564} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
    Task: {ED3EF13D-2176-4025-82E2-E1F84A207748} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG
    Task: {F4E65215-5892-46E2-BFB8-63EB9C7A4917} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
    C:\Program Files (x86)\nodejs
    Folder: C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo
    Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]
    FF HKLM\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi
    FF Extension: ( ) - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi [2020-10-09]
    FF HKLM-x32\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi
    C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}
    Folder: C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb
    C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb
    C:\ProgramData\ntuser.pol
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    ATTFilter
    SearchAll: gameccgmdhnpgcfkcppabiengeodgaoo;badphekeihghaiffknalgfamacoedncb
             
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)


Alt 09.10.2020, 21:21   #6
Nabito95
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Anbei die Log Dateien.
Ich habe jedoch nun ein Problem mit Chrome. Nichts in Chrome lädt, weder eine Seite noch z.B. die Einstellungen von den Erweiterung (in Chrome, oben rechts im Menü). Außerdem kommen so kleine Chrome Popups nach dem Pc Hochfahren bzw. Neustarten von Chrome (-> siehe Screenshots im Anhang.) Woran kann dies liegen?
(Diese Nachricht wurde nun über Firefox versendet)

Edit 09.10.20 - 22:38 Uhr: Das Chrome Problem hat sich erledigt. Mit Hilfe dieser Anleitung konnte ich es beheben: https://www.chromestory.com/2020/05/fix-status_invalid_image_hash/
Angehängte Dateien
Dateityp: zip Log_Dateien3_Nabito95.zip (109,1 KB, 31x aufgerufen)

Geändert von Nabito95 (09.10.2020 um 21:40 Uhr)

Alt 10.10.2020, 11:41   #7
M-K-D-B
/// TB-Ausbilder
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Das hast du sehr gut gemacht. Es sieht schon viel besser aus.







Schritt 1
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
    C:\WINDOWS\Installer\{6F973290-883D-4F44-AD46-581FDAF9C7A6}
    C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}
    C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}
    C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo
    DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
    DeleteValue: HKEY_USERS\S-1-5-21-1434175282-2877166796-1715742309-1000\SOFTWARE\Microsoft\Edge\PreferenceMACs\Default\extensions.settings|gameccgmdhnpgcfkcppabiengeodgaoo
    Task: {52A27E56-CDD9-4889-864B-D2ADBDF7F00B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
    CMD: type "C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\0i8o70yq.default-1570372082711\user.js"
    S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
    S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
    S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
    S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
    S3 AppObserver; \??\C:\Program Files (x86)\NetRatingsNetSight\NetSight\meter1\appobserver64.sys [X]
    U3 idsvc; kein ImagePath
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Keine Datei
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 4
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Alt 10.10.2020, 13:17   #8
Nabito95
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Alles wie beschrieben ausgeführt.
Anbei wieder die Log Dateien.
Angehängte Dateien
Dateityp: zip Log_Dateien4_Nabito95.zip (81,7 KB, 36x aufgerufen)

Alt 10.10.2020, 13:53   #9
M-K-D-B
/// TB-Ausbilder
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Schritt 1
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    FF user.js: detected! => C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\0i8o70yq.default-1570372082711\user.js [2020-10-08]
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.






Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 10.10.2020, 14:09   #10
Nabito95
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Vielen lieben Dank für die schnelle Lösung meines Problems.
Mit Hilfe der beschriebenen Schritte konnte ich es leicht beheben.
Noch ein schönes Wochenende.

Anbei die letzte Fix Log Datei:

Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-10-2020
durchgeführt von Lars (10-10-2020 14:58:41) Run:4
Gestartet von C:\Users\Lars\Desktop
Geladene Profile: Lars
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
FF user.js: detected! => C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\0i8o70yq.default-1570372082711\user.js [2020-10-08]
DeleteQuarantine:
Unlock: C:\FRST
Reboot:

*****************

HKLM\SOFTWARE\Policies\Google => erfolgreich entfernt
C:\Users\Lars\AppData\Roaming\Mozilla\Firefox\Profiles\0i8o70yq.default-1570372082711\user.js => erfolgreich verschoben
"C:\FRST\Quarantine" => erfolgreich entfernt
"C:\FRST" => wurde entsperrt


Das System musste neu gestartet werden.

==== Ende von Fixlog 14:59:01 ====
         

Alt 10.10.2020, 14:11   #11
M-K-D-B
/// TB-Ausbilder
 
Virusbefall Win10: TR/AD.FireHooker.BU - Standard

Virusbefall Win10: TR/AD.FireHooker.BU



Ebenso schönes Wochenende.



Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Virusbefall Win10: TR/AD.FireHooker.BU
abend, angezeigt, befallen, befreien, compu, computer, gelöst, guten, mehrere, mehreren, poste, posten, problem, problem gelöst, super, tagen, tr/ad.firehooker.bu, versuche, virus, virusbefall, win, win10



Ähnliche Themen: Virusbefall Win10: TR/AD.FireHooker.BU


  1. nodejs-Malware: FireHooker/DownloadProtect
    Diskussionsforum - 20.04.2023 (123)
  2. Win 10 TR/AD.FireHooker.BU
    Log-Analyse und Auswertung - 14.10.2020 (36)
  3. und wieder TR/AD Firehooker.BU
    Log-Analyse und Auswertung - 12.10.2020 (11)
  4. Vielen Danke für die Entfernung von TR/AD.FireHooker.BU
    Lob, Kritik und Wünsche - 09.10.2020 (1)
  5. Win10: Avira findet Trojaner (TR/AD.FireHooker.BU) und weitere Funde von Malwarybytes und Roguekiller
    Plagegeister aller Art und deren Bekämpfung - 06.10.2020 (28)
  6. Win 10: TR/AD Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  7. TR/AD.Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  8. Win10: Trojaner gemeldet - Avira: "TR/AD.FireHooker.BU"
    Log-Analyse und Auswertung - 04.10.2020 (19)
  9. Win10: Trojaner (Avira: "TR/AD.FireHooker.BU"). Mutmaßlich durch manipulierte audacity.exe. Node.js relevant.
    Log-Analyse und Auswertung - 04.10.2020 (18)
  10. TR/AD.FireHooker.B
    Log-Analyse und Auswertung - 30.05.2019 (32)
  11. Hilfe für Trojan.Win32.FireHooker.a
    Plagegeister aller Art und deren Bekämpfung - 27.04.2016 (5)
  12. FireHooker im System32 ordner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2016 (12)
  13. Windows 8.1 Trojan.Win32.Firehooker.a
    Log-Analyse und Auswertung - 07.03.2016 (15)
  14. Trojaner Firehooker 18.25 eingefangen
    Log-Analyse und Auswertung - 17.12.2015 (17)
  15. TR/FireHooker.1825 und DownloadProtect
    Log-Analyse und Auswertung - 08.12.2015 (6)
  16. TR/FireHooker.1825 von AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.12.2015 (14)
  17. Trojan.Win32.FireHooker.a gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.11.2015 (16)

Zum Thema Virusbefall Win10: TR/AD.FireHooker.BU - Guten Abend, ich bekomme nun seit mehreren Tagen angezeigt, dass mein Computer vom Virus "TR/AD.FireHooker.BU" befallen ist. Nun versuche ich hier dieses Problem gelöst zu bekommen. Es wäre super, wenn - Virusbefall Win10: TR/AD.FireHooker.BU...
Archiv
Du betrachtest: Virusbefall Win10: TR/AD.FireHooker.BU auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.