Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows 10: updatepush.com auf Desktop

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 21.05.2021, 16:44   #1
thilo123
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Hallo zusammen,

nachdem ich den JDownloader installiert habe, fand ich ein eine Verknüpfung namens updatepush.com auf meinem Desktop. Instinktiv doppelklickte ich darauf. Es passierte nichts weiter.

Eine kurze Recherche bei Google führte mich zu folgendem Beitrag: https://www.trojaner-board.de/201289-windows-10-updatepush-com-desktop-entdeckt.html

Ich folgte den ersten 2 Schritten von M-K-D-B (MBAM und AdwCleaner) und bemerkte erst danach, dass ich noch keinen Scan mit FRST gemacht hatte. Den habe ich dann im Anschluss durchgeführt.

Im Anhang die entsprechenden Logfiles.
Bin dankbar für jede Antwort.
Angehängte Dateien
Dateityp: txt Addition.txt (54,2 KB, 17x aufgerufen)
Dateityp: txt AdwCleaner[C00] 21.05.2021.txt (1,9 KB, 16x aufgerufen)
Dateityp: txt FRST.txt (46,9 KB, 15x aufgerufen)
Dateityp: txt Malwarebytes Bericht 21.05.2021.txt (7,0 KB, 22x aufgerufen)
Dateityp: txt Shortcut.txt (71,3 KB, 13x aufgerufen)

Alt 21.05.2021, 19:10   #2
M-K-D-B
/// TB-Ausbilder
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________

__________________

Alt 21.05.2021, 19:25   #3
M-K-D-B
/// TB-Ausbilder
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Von welcher Seite hast du dir denn den JDownloader heruntergeladen?







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CloseProcesses:
    SystemRestore: On 
    CreateRestorePoint:
    Task: {1DC0FD98-FA83-4BC1-81B2-4E0E5CBBE2AA} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
    Task: {3329CFE7-1228-4180-AE0C-878571CE3212} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
    Task: {3901CB05-4498-4E8F-9BF0-8D505E7869F5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
    Task: {73ED1FDF-0898-4E06-B284-20C3AC6236E0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
    Task: {7A7BE997-E1EF-4DB8-9857-43091B970CDE} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Keine Datei <==== ACHTUNG
    Task: {93E3C87E-5EAD-4DFB-918D-14D1476D2CC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
    Task: {94286D17-FDD4-4B36-A86F-613CBBE47AF7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
    Task: {9669ABF7-4C92-4E35-B5AD-A266754224D1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
    Task: {A9AB6628-4254-4F4C-BA61-8DD5749167CA} - \GenericSettingsHandler\Windows-Credentials\RetrySyncTask_for_S-1-5-21-4054671327-2543571006-1576451837-1001 -> Keine Datei <==== ACHTUNG
    Task: {B2E5936B-B7A2-40D0-BA77-508A2655CEB9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
    Task: {B9A4C49B-DB5B-431C-B1F1-3DD61ABEB28B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei <==== ACHTUNG
    Task: {D7AEA85C-5B5D-4ED9-987E-02F15BE7F6BE} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    Task: {F4BB6A64-9C04-4F6F-B0DE-A09751D5ABC6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
    Task: {FF8E421A-EE23-4556-8C30-F9C5B82F3DAD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
    Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
    Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
    Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
    Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
    S3 vpnva; \SystemRoot\System32\drivers\vpnva64-6.sys [X]
    CustomCLSID: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Roman\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Roman\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Roman\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Roman\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Roman\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Keine Datei
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
    AlternateDataStreams: C:\ProgramData\TEMP:054203E4 [150]
    SearchScopes: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001 -> DefaultScope {1ED36D51-B752-449B-8BBC-60FA0E42005B} URL = 
    SearchScopes: HKU\S-1-5-21-4054671327-2543571006-1576451837-1001 -> {1ED36D51-B752-449B-8BBC-60FA0E42005B} URL =
    C:\ProgramData\ntuser.pol
    C:\WINDOWS\system32\GroupPolicy\Machine
    C:\WINDOWS\system32\GroupPolicy\GPT.ini
    C:\WINDOWS\SysWOW64\GroupPolicy\Machine
    C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
    DeleteKey: HKLM\SOFTWARE\Policies\Google
    DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
    DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
    DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
    C:\Users\AllUserName\AppData\Roaming\npm
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
    C:\Program Files (x86)\nodejs
    DeleteKey: HKLM\SOFTWARE\Node.js
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKU\.DEFAULT\Software\Node.js
    DeleteKey: HKCU\SOFTWARE\Node.js
    DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
    CMD: dir "%windir%\installer\*.xpi" /S
    CMD: dir "%windir%\installer\c*rx" /S
    CMD: dir "%windir%\installer\x*ml" /S
    CMD: dir "%windir%\installer\{*-*-*-*-*}" /S
    CMD: dir "%ProgramData%\Package Cache\{*-*-*-*-*}" /S
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    ATTFilter
    SearchAll: startfenster;Web Companion;WebCompanion;VLC Updater
             
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
__________________
__________________

Geändert von M-K-D-B (21.05.2021 um 19:31 Uhr)

Alt 21.05.2021, 21:36   #4
thilo123
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Hallo Matthias,

vielen Dank schonmal!

Den JDownloader habe ich von jdownloader.org runtergeladen...

Anbei die Logdateien.
Angehängte Dateien
Dateityp: txt Addition.txt (55,2 KB, 14x aufgerufen)
Dateityp: txt Fixlog.txt (29,4 KB, 54x aufgerufen)
Dateityp: txt FRST.txt (49,7 KB, 15x aufgerufen)
Dateityp: txt Search.txt (5,7 KB, 13x aufgerufen)

Alt 22.05.2021, 09:18   #5
M-K-D-B
/// TB-Ausbilder
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Gut gemacht, vielen Dank für die Logdateien.




Zitat:
Zitat von thilo123 Beitrag anzeigen
Den JDownloader habe ich von jdownloader.org runtergeladen...
Laut VirusTotal ist das Installationspaket mit Adware "gespickt", siehe hier.



Wir führen eine Kontrolle der Systemdateien durch und überprüfen mit einem weiteren Tool nochmal alles.
Schritt 1 kann etwas dauern, bitte gedulde dich.







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CMD: sfc /scannow
    CMD: dism /online /cleanup-image /restorehealth
    CMD: sfc /scannow
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von RogueKiller


Alt 23.05.2021, 07:59   #6
thilo123
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Moin,

hatte gestern bei dem Scan mit FRST meine externe Platte nicht dran, welche zuvor immer angeschlossen war. Ändert das was am Vorgehen?

Habe den Scan und das Entfernen mit RogueKiller dann dennoch durchgeführt.

Anbei die Logdateien.
Angehängte Dateien
Dateityp: txt as_EA55.tmp.txt (1,3 KB, 51x aufgerufen)
Dateityp: txt Fixlog_23-05-2021 08.27.14.txt (32,1 KB, 54x aufgerufen)

Alt 23.05.2021, 08:16   #7
M-K-D-B
/// TB-Ausbilder
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Zitat:
Zitat von thilo123 Beitrag anzeigen
hatte gestern bei dem Scan mit FRST meine externe Platte nicht dran, welche zuvor immer angeschlossen war. Ändert das was am Vorgehen?
Nein, das ändert nichts.







Schritt 1
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 21H1.
Zitat:
Platform: Windows 10 Home Version 2004
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle das Funktionsupdates aus, downloade und installiere es.
  • Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
    Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 26.05.2021, 09:50   #8
M-K-D-B
/// TB-Ausbilder
 
Windows 10: updatepush.com auf Desktop - Standard

Windows 10: updatepush.com auf Desktop



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Windows 10: updatepush.com auf Desktop
adwcleaner, anhang, anschluss, antwort, beitrag, dankbar, desktop, doppelklick, folge, führte, google, hallo zusammen, https, installier, installiert, kurze, loader, mbam, namens, nichts, scan, schritte, verknüpfung, windows, zusammen



Ähnliche Themen: Windows 10: updatepush.com auf Desktop


  1. Windows 10: Malwarebytes Premiun blockiert node.exe und updatepush.com
    Log-Analyse und Auswertung - 20.04.2021 (26)
  2. Icon updatepush.com auf dem Desktop
    Log-Analyse und Auswertung - 15.03.2021 (11)
  3. Windows 10: updatepush.com auf Desktop entdeckt
    Log-Analyse und Auswertung - 03.03.2021 (6)
  4. Windows 10: Download Audadcity.de --> node.js und updatepush.com auf dem PC
    Log-Analyse und Auswertung - 04.02.2021 (18)
  5. Win10 updatepush via "Audacity" eingefangen
    Log-Analyse und Auswertung - 03.02.2021 (12)
  6. Windows 10: updatepush.com auf dem Desktop & Trojaner (mynodejs) von MBAM erkannt
    Log-Analyse und Auswertung - 21.01.2021 (20)
  7. Trojaner updatepush.com nach Audacity Installation; System nach automatischer Bereinigung sauber?
    Log-Analyse und Auswertung - 18.01.2021 (11)
  8. C.\Windows\system32\config\systemprofile\Desktop ist nicht verfügbar und sihost.exe - Systemwarnung: Unknown Hard Error nach Windows Update
    Alles rund um Windows - 17.05.2018 (2)
  9. Zynga Games Verlinkung auf Desktop läßt sich nicht löschen ChinAD gefunden, falscher Desktop,
    Log-Analyse und Auswertung - 31.03.2017 (13)
  10. Windows 7 - Verknüpfungen auf dem Desktop verschwinden
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (25)
  11. Ordner ohne Namen auf Desktop, in dem sich Desktop befindet.
    Plagegeister aller Art und deren Bekämpfung - 27.05.2012 (0)
  12. Verknüpfungen von Desktop gelöscht/ Desktop schwarz und keinen Zugriff auf Dateien
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (1)
  13. GEMA-Trojaner: zwar wohl entfernt (c't Desinfect), aber desktop.ini fehlerhaft: leerer Desktop...
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (2)
  14. Windows Recovery & Desktop Rettung
    Plagegeister aller Art und deren Bekämpfung - 17.05.2011 (4)
  15. Probleme mit Windows - Desktop
    Alles rund um Windows - 22.09.2009 (1)
  16. Windows desktop filmen
    Alles rund um Windows - 03.09.2009 (4)
  17. Desktop Warning Spyware keine Kontrolle mehr über Desktop Einstellungen uvw...
    Plagegeister aller Art und deren Bekämpfung - 04.09.2008 (5)

Zum Thema Windows 10: updatepush.com auf Desktop - Hallo zusammen, nachdem ich den JDownloader installiert habe, fand ich ein eine Verknüpfung namens updatepush.com auf meinem Desktop. Instinktiv doppelklickte ich darauf. Es passierte nichts weiter. Eine kurze Recherche bei - Windows 10: updatepush.com auf Desktop...
Archiv
Du betrachtest: Windows 10: updatepush.com auf Desktop auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.