Win10 PUP.Optional.Legacy
 

Guten Abend zusammen,

seit einigen Tagen erscheint beim "Booten" von "Windows" ein Icon in der Taskleiste, was dem von "Firefox" aehnelt, doch ebend nicht identisch mit diesem ist.

Wenn ich versuche dieses "Fenster" zu oeffnen geschieht entweder nichts oder der Bildschirm oberseits der Taskleiste wird schwarz dargestellt.

Ich meine, dass, seitdem dieses Icon erscheint, meine Suchleiste nicht mehr richtig funktioniert. Gebe ich dort einen Begriff ein wird der Bereich, in dem eigentlich die Ergebnisse angezeigt werden sollen, weiß.

Auch funktionierte der "Firefox-Browser" nicht mehr seitdem (er ließ sich nicht oeffnen), eine Neuinstallation dessen loeste das Problem.


Die Bereinigung per "AdwCleaner" half nicht.

Die Logdatei vom "AdwCleaner" gibt folgendes Preis:

# -------------------------------
# Malwarebytes AdwCleaner 7.3.0.0
# -------------------------------
# Build: 04-04-2019
# Database: 2019-04-29.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 04-29-2019
# Duration: 00:00:08
# OS: Windows 10 Pro
# Scanned: 27335
# Detected: 2


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\dotomi.com
PUP.Optional.Legacy HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\dotomi.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [2213 octets] - [28/04/2019 14:54:02]
AdwCleaner[C00].txt - [2271 octets] - [28/04/2019 14:55:45]
AdwCleaner[S01].txt - [1500 octets] - [28/04/2019 15:09:51]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S02].txt ##########


Vielen Dank fuer Rat und Antwort

Mit freundlichem Gruß
Jinx

:hallo:




Wie sieht das Icon in der Taskleiste aus? Kannst du einen Screenshot davon posten?



Von welchem "Fenster" sprichst du hier? Ein FF-Fenster?



Meinst du die Suchleiste in FF oder die Windows Suchleiste?



Wie du ja selbst geschrieben hast, hat eine Neu-installation von Firefox das Problem gelöst.

Wobei sollen wir dir also noch helfen? :)

Guten Morgen!


So sieht das Virus-Icon aus
http://ibb.co/p2mwK8V

und so das eigentliche FF-Icon
http://ibb.co/kx5bJtY

(Bei mir wird keine Vorschau gezeigt - Rechtsklick -> Grafik anzeigen)

Ich meinte das viroese FF-Fenster


Gemeint war die Windows-Suchleiste (welche auch wieder zu funktionieren scheint, warum auch immer)

Firefox selber laeuft wieder, ja.. doch das Problem, das "beim Booten" von Windows dieser viroese Prozess startet, welcher scheinbar Fehlfunktionen im System hervorruft und was auch immer im Hintergrund noch so treibt, besteht weiter.

AdwCleaner elemninierte diesen nicht, die Logdatei gab einen Hinweis auf "Microsoft Edge"

"PUP.Optional.Legacy HKCU\Software\...\microsoft.microsoftedge_8wekyb3d8bbwe\..."

"8wekyb3d8bbwe" ist auch der Titel vom Fenster des viroesen FF-Icons (was angezeigt wird, wenn ich lange genug mit dem Cursor auf dieses zeige)


Wenn mir in dieser Sache noch geholfen werde koennte, waere ich dankbar :D
Am besten ohne das System neu aufzusetzen.

da habe ich Unfug von mir gegeben, glaube ich, muss ich nochmal genau drauf achten, wenn es das nächste mal erscheint..

Ok, danke für die Informationen.

Was genau wird in dem "FAKE" FF-Fenster angezeigt, das sich automatisch öffnet?





Dann beginnen wir so:


Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?







Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste mir die FRST.txt und die Addition.txt in deinem Thema (#-Symbol im Eingabefenster der Webseite anklicken).

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias!

Grade ergab sich die Moeglichkeit einen Screenshot zu machen

https://ibb.co/x1XS8V0

"Gort! Klaatu barada nikto!" Das ist der Titel der angzeigt wird, zeige ich dem Cursor auf auf das Icon; hervorheben kann ich kein Fenster.


--------------------------------------------------
"FRST.txt"

Hier der Inhalt der "Addition.txt"

Zuguterletzt die Logfiles vom Adw Cleaner, ein Avira-Scan fand nichts auffaelliges,

[28.4.]


-----------------------

[29.4.]

Ich sehe die Malware (ich nenne sie mal "Fake-FF"). :D


Wir kümmern uns darum. :)





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3363160967-3790298136-1888779505-1001\...\Run: [firefox] => C:\Program Files (x86)\Common Files\Giant\update.exe [910296 2010-03-31] (Mozilla Corporation -> Mozilla Corporation) <==== ACHTUNG
C:\Program Files (x86)\Common Files\Giant
Task: {CE220C2D-F995-47D2-980A-266F25633D2F} - \CCleanerSkipUAC -> Keine Datei <==== ACHTUNG
FF ProfilePath: C:\Users\Hypokeimenon\AppData\Roaming\AMozilla\AFirefox\Profiles\3lysflrn.default [2019-04-30] <==== ACHTUNG
C:\Users\Hypokeimenon\AppData\Roaming\AMozilla
C:\Users\Hypokeimenon\AppData\Local\AMozilla
C:\Users\Hypokeimenon\AppData\Roaming\ff2
C:\Users\Hypokeimenon\AppData\Roaming\Output
C:\Windows\nsreg.dat
C:\Users\Hypokeimenon\AppData\Roaming\pinnacle-setup.exe
VirusTotal: C:\Windows\SysWOW64\zlib.dll
VirusTotal: C:\Users\Hypokeimenon\Downloads\Gopher.exe
Folder: C:\Program Files (x86)\InstallShield Installation Information
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Scheinbar war deine Operation erfolgreich!


[Fixlog.txt]

[FRST.txt]

[Addition.txt]

Vielen Dank schonmal fuer deine Hilfe! :)

Weißt du welches Ziel oder welche Funktion die Malware hatte?


---


Gruß aus Nordrhein-Westfalen!

Ich bin gerade am recherchieren diesbezüglich. :)




In der Zwischenzeit geht es für dich so weiter:




Schritt 1
Erkennungstechnisch halte ich nicht mehr viel von Spybot, das solltest du deinstallieren:

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • Spybot - Search & Destroy
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware (MBAM) auf deinen Desktop (Bebilderte Anleitung).

• Installiere das Programm in den vorgegebenen Pfad.
• Starte MBAM.
• Klicke im Anschluss auf Jetzt Scannen, um den Suchlauf zu starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Bitte poste mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der Deinstallationen,
• die Logdatei von MBAM.

1) Die Deinstallation von Spybot war erfolgreich.

2) [MBAM.txt]

Hinweis: Der Suchlauf mit ESET kann länger ( >> 2 Stunden) dauern.





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\Program Files (x86)\InstallShield Installation Information
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte ESET Online Scanner auf deinen Desktop (Bebilderte Anleitung).

• Starte die Installationsdatei.
• Klicke auf Erste Schritte und akzeptiere die Nutzungsbedingungen.
• Klicke wiederrum auf Erste Schritte, wähle die empfohlenen Einstellungen aus und klicke auf Weiter.
• Wähle einen Vollständigen Scan aus, aktiviere die Erkennung von potentiell unerwünschten Anwendungen und klicke auf Prüfung starten.
• Zuerst werden die notwendigen Module und Signaturen heruntergeladen, anschließend startet der Suchlauf automatisch.
• Klicke am Ende des Suchlaufs zuerst auf Weiter. Im Scan-Bericht werden gegebenenfalls die gefundenen Elemente aufgelistet, klicke hier auf Scan-Log speichern und speichere das Ergebnis als eset.txt auf deinen Desktop ab, damit wir notfalls an die Ergebnisse noch kommen.
• Klicke immer auf Weiter und beende ESET mit Ohne Feedback schließen.
• Öffne die ausführliche Logdatei über die Tastenkombination WIN+R (Ausführen), kopiere ins Textfeld folgendes hinein und klick dann auf OK.
  
  Code:

  ---

  notepad "%tmp%\log.txt"

  ---

• Du solltest nun eine geöffnete Textdatei mit dem ausführlichen ESET-Log sehen - alles markieren mit STRG+A und hier in CODE-Tags posten.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC oder mit deinen Internet Browsern? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von ESET,
• die beiden neuen Logdateien von FRST,
• die Beantwortung der gestellten Fragen.

[fixlog.txt, 2.5.]


[eset.txt]


[log.txt]


[frst.txt, 3.5.]


[addition.txt]


Es gibt keine Probleme mehr, vielen Dank für den grandiosen Support!
Dein Aufwand wird mit einer kleinen Spende gewuerdigt. :)

---

Mit freundlichem Gruß
Joel

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

[fixlog.txt]
Es bestehen keine Fragen mehr.
Danke euch.

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.