Windows 10: PUADlManager:Win32/DownloadSponsor, lässt sich nicht entfernen

M-K-D-B · 13.01.2022, 16:00

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Pfad: file:_C:\Users\*****\Downloads\gimp-2.10.14-setup - CHIP-Installer.exe; file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

Pfad: file:_C:\Users\*****\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

bei beiden handelt es sich um: PUADlManager:Win32/DownloadSponsor

Und was genau verstehst du bei den Funden von Windows Defender nicht?

"PUA" bedeutet "Potentially Unwanted Application", was soviel wie "Potentiell Unerwünschte Software" bedeutet.

Wir warnen schon seit Jahren davor, Software bei Chip.de zu laden, bitte den folgenden Abschnitt lesen:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

Chip.de
Softonic.de
sourceforge.net
openoffice.de
VLC.de
audacity.de
gimp24.de
jdownloader.org
computerbild.de
updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Bitte gib mir kurz eine Rückmeldung, sobald du alle Informationen gelesen und verstanden hast.
Sollen wir dein System auf weitere PUAs hin überprüfen?

connor1 · 13.01.2022, 16:29

Zitat:

Zitat von M-K-D-B

Und was genau verstehst du bei den Funden von Windows Defender nicht?

"PUA" bedeutet "Potentially Unwanted Application", was soviel wie "Potentiell Unerwünschte Software" bedeutet.

Bitte gib mir kurz eine Rückmeldung, sobald du alle Informationen gelesen und verstanden hast.
Sollen wir dein System auf weitere PUAs hin überprüfen?

mein verständnisproblem war nur das ich explizit nach PUADl gesucht habe, mir aber nur PUA agezeigt wurde

ja, lass uns weiter prüfen

M-K-D-B · 13.01.2022, 20:26

Zitat:

Zitat von connor1

ja, lass uns weiter prüfen

Dann beginnen wir mit den ersten beiden Schritten:

Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Bitte poste mit deiner nächsten Antwort:

die Logdatei von MBAM
die Logdatei von AdwCleaner

connor1 · 13.01.2022, 21:20

MBMA.txt

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 13.01.22
Scan-Zeit: 20:53
Protokolldatei: 8ca763b0-74aa-11ec-bbb4-28d244d53c31.json

-Softwaredaten-
Version: 4.5.0.152
Komponentenversion: 1.0.1538
Version des Aktualisierungspakets: 1.0.49757
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19044.1466)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-AA8OGT5\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 365019
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 2
Abgelaufene Zeit: 6 Min., 45 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.ChipDe, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\chip 1-click download service, In Quarantäne, 613, 463412, 1.0.49757, , ame, , , 
PUP.Optional.ChipDe, HKLM\SYSTEM\SETUP\FIRSTBOOT\SERVICES\chip1click, In Quarantäne, 613, 567244, 1.0.49757, , ame, , , 

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Adw Cleaner

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-13-2022
# Duration: 00:00:10
# OS:       Windows 10 Home
# Scanned:  32022
# Detected: 3


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.LenovoHotkeyManager   Folder   C:\Program Files\LENOVO\HOTKEY 
Preinstalled.LenovoPowerManager   Folder   C:\Windows\SysWOW64\LENOVO\POWERMGR 
Preinstalled.LenovoPowerManager   Folder   C:\Windows\System32\LENOVO\POWERMGR 



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

M-K-D-B · 14.01.2022, 15:21

Gut gemacht.

Bitte FRST zur Kontrolle erneu ausführen:

Starte FRST erneut und klicke auf Untersuchen.
FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

14.01.2022, 15:21	#5
M-K-D-B /// TB-Ausbilder	Windows 10: PUADlManager:Win32/DownloadSponsor, lässt sich nicht entfernen Gut gemacht. Bitte FRST zur Kontrolle erneu ausführen: Starte FRST erneut und klicke auf Untersuchen. FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt). Poste mir beide Logdateien mit deiner nächsten Antwort.

Windows 10: PUADlManager:Win32/DownloadSponsor, lässt sich nicht entfernen

Log-Analyse und Auswertung: Windows 10: PUADlManager:Win32/DownloadSponsor, lässt sich nicht entfernen