| |
| |||||||
Log-Analyse und Auswertung: Malwarebyte findet pup.optional.openofficedeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
29.11.2022, 18:31
| #1 |
 |  Malwarebyte findet pup.optional.openofficede Hallo zusammen, Leider habe ich OpenOffice von der "openoffice.de" Seite runtergeladen, statt der offizielen openoffice.org (die de-Seite kommt bei mir zuerst auf Google). Danach hat Malwarebytes insgesamt 7 Elemente in die Quarantäne geschoben. Danach habe Logs mit FRST erstellt und auch das Tool adwCleaner laufen lassen. AdwCleaner hat nichts gefunden ausser vorinstallierten Programmen, die habe ich aber nicht in Quarantäne geschoben. Leider kann ich meine Logfiles von FRST hier nicht hineinkopieren, ich vermute, sie sind zu groß. Deshalb hänge ich sie an. Falls es doch irgendwie geht, so wäre ich froh um Hilfe. Danke. EDIT: Ich habe das Logfile von Malwarebytes gefunden und es lässt sich kopieren: Code:
ATTFilter Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 29.11.22
Scan-Zeit: 16:42
Protokolldatei: 61455a94-6ffc-11ed-96c2-00ffc99db455.json
-Softwaredaten-
Version: 4.5.18.226
Komponentenversion: 1.0.1823
Version des Aktualisierungspakets: 1.0.62858
Lizenz: Kostenlos
-Systemdaten-
Betriebssystem: Windows 10 (Build 19044.2251)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-L75O52C\andre
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 321177
Erkannte Bedrohungen: 7
In die Quarantäne verschobene Bedrohungen: 7
Abgelaufene Zeit: 4 Min., 14 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)
Modul: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 2
PUP.Optional.OpenOfficeDE, HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\OpenOffice Updater, In Quarantäne, 5875, 628584, 1.0.62858, , ame, , ,
PUP.Optional.OpenOfficeDE, HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OpenOffice Updater, In Quarantäne, 5875, 531440, 1.0.62858, , ame, , ,
Registrierungswert: 1
PUP.Optional.OpenOfficeDE, HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|OPENOFFICE UPDATER, In Quarantäne, 5875, 531439, 1.0.62858, , ame, , ,
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 1
PUP.Optional.FakeOpenOffice, C:\USERS\ANDRE\APPDATA\ROAMING\OPENOFFICE UPDATER, In Quarantäne, 1396, 1100251, 1.0.62858, , ame, , ,
Datei: 3
PUP.Optional.OpenOfficeDE, C:\USERS\ANDRE\APPDATA\ROAMING\OPENOFFICE UPDATER\UPDATER.EXE, In Quarantäne, 5875, 531439, , , , , 165AD73A0A60AE4A1C0E83EE6C3FA590, 0C6E109E221B1834FDED33E5C63554B520D45EDBDFC82C73B16E91DF6AC81AC2
PUP.Optional.FakeOpenOffice, C:\Users\andre\AppData\Roaming\OpenOffice Updater\oo.ico, In Quarantäne, 1396, 1100251, , , , , 13A6E06560E33A07137079764675E9D2, CEB85A88CDD80F56E0F5EFE03810916A6590FF4A14CE54997A1BD11FCC7A2135
PUP.Optional.FakeOpenOffice, C:\Users\andre\AppData\Roaming\OpenOffice Updater\uninst.exe, In Quarantäne, 1396, 1100251, , , , , CFE7A9882519157734F97FFBD440F8CA, E0B6CB633507B3DD887875EC58B88E3D78B64446FA073862CC24A5B7C8CBB58E
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
WMI: 0
(keine bösartigen Elemente erkannt)
(end)
Geändert von Dukkha (29.11.2022 um 18:40 Uhr) |
|
29.11.2022, 21:36
| #2 |
| /// TB-Ausbilder   | Malwarebyte findet pup.optional.openofficede Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen. Da sind noch einige Reste von McAfee auf dem System. Lass mal das Uninstall-Tool drüberlaufen, du hast ja ESET. Dann ein FRST-Fix. Schritt 1 McAfee ist noch nicht vollständig entfernt. Downloade dir das McAfee Removal Tool auf deinen Desktop.
Schritt 2 WARNUNG AN ALLE MITLESER !!! Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
Bitte poste mit deiner nächsten Antwort:
|
|
29.11.2022, 23:37
| #3 |
| | Malwarebyte findet pup.optional.openofficede Hallo Matthias,
__________________Vielen Dank für deine Hilfe. Beim McAffe-Teil bekam ich allerdings eine Fehlermeldung: "incomple unistallation: some or all files may not have been removed successfully" Das Logfile ist riesig, ich weiß nicht, ob ich das posten soll. Das Fixlog-File: Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 26-11-2022
durchgeführt von andre (29-11-2022 23:07:45) Run:1
Gestartet von C:\Users\andre\Documents\Programme\FRST
Geladene Profile: andre
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
S4 ELANFPService; %SystemRoot%\System32\ELANFPService.exe [X]
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************
SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKLM\System\CurrentControlSet\Services\ELANFPService => erfolgreich entfernt
ELANFPService => Dienst erfolgreich entfernt
========= Powershell: =========
Set-MpPreference : Fehler beim Vorgang: 0x800106ba. Vorgang: Set-MpPreference. Ziel: DisableAutoExclusions.
In C:\FRST\tmp000.ps1:9 Zeichen:1
+ Set-MpPreference -DisableAutoExclusions $true -Force
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (MSFT_MpPreference:root\Microsoft\...FT_MpPreference) [Set-MpPreference],
CimException
+ FullyQualifiedErrorId : HRESULT 0x800106ba,Set-MpPreference
========= Ende von Powershell: =========
========= netsh winsock reset =========
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
========= Ende von CMD: =========
========= netsh int ip reset =========
Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... Fehler
Zugriff verweigert
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.
========= Ende von CMD: =========
========= ipconfig /flushdns =========
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
========= Ende von CMD: =========
========= netsh advfirewall reset =========
OK.
========= Ende von CMD: =========
========= netsh advfirewall set allprofiles state ON =========
OK.
========= Ende von CMD: =========
========= netsh winhttp reset proxy =========
Aktuelle WinHTTP-Proxyeinstellungen:
DirectAccess (kein Proxyserver).
========= Ende von CMD: =========
========= Bitsadmin /Reset /Allusers =========
BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.
Unable to cancel {A9C3601F-7E1D-4F1E-92DB-8BE1DE4B9E1C}.
0 out of 1 jobs canceled.
========= Ende von CMD: =========
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.
========= Ende von CMD: =========
C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.
========= RemoveProxy: =========
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-2083777882-316327617-2844523563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
========= Ende von RemoveProxy: =========
=========== EmptyTemp: ==========
FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 508474178 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 16554308 B
Edge => 0 B
Firefox => 1279142896 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 254924 B
systemprofile32 => 254924 B
LocalService => 492904 B
NetworkService => 8473748 B
andre => 459746035 B
defaultuser100000 => 460583800 B
RecycleBin => 9912248 B
EmptyTemp: => 2.6 GB temporäre Dateien entfernt.
================================
Das System musste neu gestartet werden.
==== Ende von Fixlog 23:16:51 ====
|
|
30.11.2022, 20:48
| #4 |
| /// TB-Ausbilder | Malwarebyte findet pup.optional.openofficede Gut gemacht.  Schritt 1 Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei. |
|
02.12.2022, 11:13
| #5 |
| | Malwarebyte findet pup.optional.openofficede Danke nochmals für die Hilfe. Es scheint immer noch Rest von McAfee auf dem Rechner zu haben. Code:
ATTFilter SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 02.12.2022 11:07:10
Path starting: C:\Users\andre\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: andre
VersionXML: 10.29is-20.11.2022
___________________________________________________________________________
Windows 10(6.3.19044) (x64) Core Release: 2009 Lang: German(0407)
Installation date OS: 09.09.2021 08:38:58
LicenseStatus: Windows(R), Core edition The machine is permanently activated.
LicenseStatus: Office 16, Office16O365HomePremR_Grace edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
SystemDrive: C: FS: [NTFS] Capacity: [476.1 Gb] Used: [281.7 Gb] Free: [194.4 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
User Account Control enabled (Level 3)
Sicherheitscenter (wscsvc) - The service is running
Remoteregistrierung (RemoteRegistry) - The service has stopped
SSDP-Suche (SSDPSRV) - The service is running
Remotedesktopdienste (TermService) - The service has stopped
Windows-Remoteverwaltung (WS-Verwaltung) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
ESET Security (enabled and up to date)
---------------------------- [ Firewall_WMI ] -----------------------------
ESET Firewall (enabled)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.18.226 v.4.5.18.226 [+]
ESET Security v.16.0.22.0 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft 365 - de-de v.16.0.15726.20202
Microsoft 365 - en-us v.16.0.15726.20202
Microsoft 365 - fr-fr v.16.0.15726.20202
Microsoft 365 - it-it v.16.0.15726.20202
OpenOffice 4.1.13 v.4.113.9810
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.227.1030.0001
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.12.0 (8964) Warning! Download Update
---------------------------- [ ProxyAndVPNs ] -----------------------------
ExpressVPN v.7.12.1.4
-------------------------------- [ Media ] --------------------------------
Audacity 3.1.3 v.3.1.3 Warning! Download Update
VLC media player v.3.0.16 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 de) v.107.0
Microsoft Edge v.107.0.1418.62 [+]
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 de) v.102.5.0
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET Security\egui.exe v.10.30.8.0
C:\Program Files\ESET\ESET Security\eguiProxy.exe v.10.30.8.0
ESET Service (ekrn) - The service is running
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.30.8.0
ESET Firewall Helper (ekrnEpfw) - The service is running
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.30.8.0
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.4.0.0.1372
Malwarebytes Service (MBAMService) - The service is running
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.1159
McAfee Service Controller (mfemms) - The service has stopped
Microsoft Defender Antivirus-Dienst (WinDefend) - The service has stopped
Microsoft Defender Antivirus-Netzwerkinspektionsdienst (WdNisSvc) - The service has stopped
----------------------------- [ End of Log ] ------------------------------
|
|
02.12.2022, 17:58
| #6 |
| /// TB-Ausbilder | Malwarebyte findet pup.optional.openofficede Wir können versuchen, die Reste zu entfernen, wenn du das möchtest. Dazu bitte eine Kontrolle mit FRST. Schritt 1
|
|
| Themen zu Malwarebyte findet pup.optional.openofficede |
| ausser, elemente, erstell, erstellt, gefunde, google, hallo zusammen, kopieren, laufe, laufen, logfile, logfiles, malwarebytes, nichts, office, openoffice, programme, programmen, quarantäne, runtergeladen, seite, tool, vermute, vorinstallierte, zusammen |
Hybrid-Darstellung
