Hallo zusammen,

ich habe mir einen Trojaner eingefangen, der mich die ganze Zeit zwingt avira runterzuladen.
Könnt ihr mir helfen?

VG
Jan

Zitat:

Zitat von Jay17

ich habe mir einen Trojaner eingefangen, der mich die ganze Zeit zwingt avira runterzuladen.
Könnt ihr mir helfen?

Ja, können wir.


Bitte lesen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
Nur mit den passenden Informationen (Logdateien von FRST) können wir helfen.

Vielen Dank für deine Mitarbeit!

Hallo liebes T-Board Team,

habe mir heute einen Trojaner eingefangen.

Im Anhang meine ersten Logfiles.

Danke euch

Ich habe deine beiden Themen zusammengeführt.


Du hast AdwCleaner und MBAM bereits ausgeführt.
Bitte die dazugehörigen Logdateien mit den Funden posten.

Bin später (Abends) nochmal online.


P. S.:
Und bitte nicht selbstständig irgendwelche Tools herunterladen und ausführen, siehe Regel #6.
Du machst es dadurch (wie ich in den Logdateien sehe) nämlich nicht unbedingt besser.

Danke.
Anbei das weitere Log-File.

Das sind beide meine Accounts..., da ich Probleme bei der Anmeldung hatte, hatte ich mir einen neuen gemacht.

Bitte nichts mehr von Chip.de herunterladen, damit fängt man sich nur Unerwünschte Software ein:

Zitat:

PUP.Optional.ChipDe, C:\USERS\J_SCH\DOWNLOADS\CORE TEMP _SRMHX.EXE, In Quarantäne, 583, 562568, 1.0.66091, , ame, , F5980F17F44DA870072C5CE396EB01BF, 2F9079DF89E96A997A910F9243173AC60BFE625501452152F8AB281778E5696B

Eine kurze Information vorab:

Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:

• Chip.de
• Softonic.de
• sourceforge.net
• openoffice.de
• VLC.de
• audacity.de
• gimp24.de
• jdownloader.org
• computerbild.de
• updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.

Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.

Wir beginnen mit einem FRST-Fix sowie AdwCleaner.



Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  SystemRestore: On 
  CreateRestorePoint:
  CloseProcesses:
  IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
  IE trusted site: HKU\S-1-5-21-2923060432-2841609682-106420150-1001\...\webcompanion.com -> hxxp://webcompanion.com
  ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Keine Datei
  S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X]
  C:\Program Files (x86)\Lavasoft
  C:\ProgramData\Application Data\Lavasoft
  C:\ProgramData\Lavasoft
  C:\Users\AllUserName\AppData\Local\Lavasoft
  C:\Users\AllUserName\AppData\Roaming\Lavasoft
  DeleteKey: HKCU\Software\Lavasoft
  DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
  DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3cb5cf63-5a00-4917-a73e-392d331e8c2b}
  HKLM\...\Run: [] => [X]
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-2923060432-2841609682-106420150-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9327536 2022-12-12] (Lavasoft Software Canada Inc. -> Lavasoft)
  HKU\S-1-5-21-2923060432-2841609682-106420150-1001\...\Run: [] => [X]
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\Windows\system32\MusNotification.exe (Keine Datei)
  Edge Notifications: Default -> hxxps://fastcaptcha.top
  2023-02-25 14:35 - 2023-02-25 14:35 - 000000000 ____D C:\ProgramData\SecuritySuite
  2023-02-25 14:37 - 2023-02-25 14:37 - 000000000 ____D C:\Users\j_sch\OneDrive\Documents\TotalAV
  2023-02-25 14:35 - 2023-02-25 14:35 - 057032312 _____ C:\Users\j_sch\Downloads\TotalAV_Setup.exe
  CMD: type "C:\Users\j_sch\Downloads\SearchReg.txt"
  
  startpowershell:
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  endpowershell:
  CMD: netsh winsock reset
  CMD: netsh int ip reset
  CMD: ipconfig /flushdns
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: netsh winhttp reset proxy
  CMD: Bitsadmin /Reset /Allusers
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
  CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
  Hosts:
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von AdwCleaner

Guten Morgen,

anbei die weiteren Logfiles

Gut gemacht.


Gibt es derzeit noch Probleme mit dem System?
Was ist mit deiner Anfangsbeschreibung, dass ständig Avira installiert werden soll? Wo kam das vor? Tritt das immer noch auf?



Abschließende Kontrolle mit EEK und SC.
Danach gibt es Tipps zum Absichern.





Schritt 1
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von EEK
• die Logdatei von SecurityCheck

anbei die Logfiles.

Danke

Vielen Dank dafür.

Den Fund von EEK kannst du entfernen lassen (sofern noch nicht geschehen).





Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt):

• AMD Software
• Discord
• Opera
• Edge

Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.







Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo,

anbei das Log.

Danke Euch.

Eine kleine Spende ist raus.

Schönen Sonntag euch.

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums.



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.