Trojaner-Board - Windows 10: Firefox Sucherweiterung www1.online

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 10: Firefox Sucherweiterung www1.online (https://www.trojaner-board.de/196198-windows-10-firefox-sucherweiterung-www1-online.html)

Hier die Fixlog:
Danke schonmal für deine Hilfe und die Mühe

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14-08-2019

durchgeführt von Andi (21-08-2019 19:35:23) Run:1

Gestartet von C:\Users\Andi\Desktop

Geladene Profile: Andi (Verfügbare Profile: Andi)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

ASUS Aac_NBDT HAL (HKLM\...\{01D3B7AA-D078-4506-B460-60877FCDDBD6}) (Version: 2.2.12.0 - ASUSTek COMPUTER INC.) Hidden

ASUS Aac_NBDT HAL (HKLM-x32\...\{71667bbb-81ab-429c-aeb4-e43c31e8fe14}) (Version: 2.2.12.0 - ASUSTek COMPUTER INC.) Hidden

ASUS AURA Display Component (HKLM\...\{AFD1CF98-FE97-434C-A095-9F27C5BEA53C}) (Version: 1.1.19 - ASUSTek COMPUTER INC. ) Hidden

ASUS AURA Display Component (HKLM-x32\...\{36aa03d4-9606-4f04-bf3e-a70ebe6650f3}) (Version: 1.1.19 - ASUSTek COMPUTER INC. ) Hidden

ASUS AURA Extension Card HAL (HKLM\...\{2C39FF80-1BB2-42C5-A58D-DC90EFF048F6}) (Version: 1.0.9 - ASUSTeK COMPUTER INC.) Hidden

ASUS AURA Extension Card HAL (HKLM-x32\...\{2d85b111-aee4-468b-874b-a9272712f69b}) (Version: 1.0.9 - ASUSTeK COMPUTER INC.) Hidden

ASUS AURA Headset Component (HKLM\...\{A3C4120D-8096-4307-91A2-FFE37EBD5A3D}) (Version: 1.1.16 - ASUSTek COMPUTER INC.) Hidden

ASUS AURA Headset Component (HKLM-x32\...\{ac3dc320-7e5e-4f22-9572-4c2119fcdf85}) (Version: 1.1.16 - ASUSTek COMPUTER INC.) Hidden

ASUS AURA Motherboard HAL (HKLM\...\{D800D836-DE15-4B00-8273-521F022CD837}) (Version: 1.0.31 - ASUSTeK COMPUTER INC.) Hidden

ASUS AURA Motherboard HAL (HKLM-x32\...\{b31aaf98-0562-411d-a962-0c3d16a3527a}) (Version: 1.0.31 - ASUSTeK COMPUTER INC.) Hidden

ASUS AURA Odd Component (HKLM\...\{B5E322FB-C191-463E-BDDD-4F22290EDFDB}) (Version: 1.0.7 - ASUSTeK COMPUTER INC.) Hidden

ASUS AURA Odd Component (HKLM-x32\...\{a29279dc-f417-4442-8225-4db77f7d35b5}) (Version: 1.0.7 - ASUSTeK COMPUTER INC.) Hidden

ASUS AURA VGA Component (HKLM\...\{71BB96A6-EAC4-45AE-A17D-D3ED43FF1D14}) (Version: 0.0.1.7 - ASUSTek COMPUTER INC. ) Hidden

ASUS AURA VGA Component (HKLM-x32\...\{4f18ae01-4390-4b41-be3a-54ef4eacdd91}) (Version: 0.0.1.7 - ASUSTek COMPUTER INC. ) Hidden

ASUS GLCKIO2 Driver (HKLM-x32\...\{548dd834-70c5-4426-8065-fbeabdd2bb5d}) (Version: 1.0.10 - ASUSTeK Computer Inc.) Hidden

ASUS GLCKIO2 Driver (HKLM-x32\...\{5960FD0F-BB3B-49AF-B175-F77DC91E995A}) (Version: 1.0.10 - ASUSTeK Computer Inc.) Hidden

ASUS Keyboard HAL (HKLM\...\{0FA0CDEE-5DC8-421E-A97D-C74FA6E66FC3}) (Version: 1.0.27 - ASUSTek COMPUTER INC.) Hidden

ASUS Keyboard HAL (HKLM-x32\...\{210cdd08-c947-43a2-9378-bc288f651e41}) (Version: 1.0.27 - ASUSTek COMPUTER INC.) Hidden

ASUS MB Peripheral Products (HKLM\...\{BFED9861-7D96-4528-89F1-B090ABBF11A7}) (Version: 1.0.20 - ASUSTeK Computer Inc.) Hidden

ASUS MB Peripheral Products (HKLM-x32\...\{3e9b91eb-5bb0-4272-8670-f88d353eb68b}) (Version: 1.0.20 - ASUSTeK Computer Inc.) Hidden

ASUS Mouse HAL (HKLM\...\{1838F91B-D481-45AA-B92F-071C62D0A19A}) (Version: 1.0.24 - ASUSTek COMPUTER INC.) Hidden

ASUS Mouse HAL (HKLM-x32\...\{add3bacc-578f-4bf9-97e3-a0f0c3ae3323}) (Version: 1.0.24 - ASUSTek COMPUTER INC.) Hidden

ASUS MousePad HAL (HKLM\...\{723B40A4-5BF2-4DC6-834A-2ADF75F3CF7E}) (Version: 1.0.0.6 - ASUSTek COMPUTER INC.) Hidden

ASUS MousePad HAL (HKLM-x32\...\{cc37f609-4db9-4ce3-9e37-9cb1b432452e}) (Version: 1.0.0.6 - ASUSTek COMPUTER INC.) Hidden

emptytemp:

         

*****************
 

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{01D3B7AA-D078-4506-B460-60877FCDDBD6}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{71667bbb-81ab-429c-aeb4-e43c31e8fe14}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AFD1CF98-FE97-434C-A095-9F27C5BEA53C}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{36aa03d4-9606-4f04-bf3e-a70ebe6650f3}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2C39FF80-1BB2-42C5-A58D-DC90EFF048F6}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2d85b111-aee4-468b-874b-a9272712f69b}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A3C4120D-8096-4307-91A2-FFE37EBD5A3D}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ac3dc320-7e5e-4f22-9572-4c2119fcdf85}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D800D836-DE15-4B00-8273-521F022CD837}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{b31aaf98-0562-411d-a962-0c3d16a3527a}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B5E322FB-C191-463E-BDDD-4F22290EDFDB}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{a29279dc-f417-4442-8225-4db77f7d35b5}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{71BB96A6-EAC4-45AE-A17D-D3ED43FF1D14}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4f18ae01-4390-4b41-be3a-54ef4eacdd91}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{548dd834-70c5-4426-8065-fbeabdd2bb5d}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5960FD0F-BB3B-49AF-B175-F77DC91E995A}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0FA0CDEE-5DC8-421E-A97D-C74FA6E66FC3}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{210cdd08-c947-43a2-9378-bc288f651e41}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BFED9861-7D96-4528-89F1-B090ABBF11A7}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3e9b91eb-5bb0-4272-8670-f88d353eb68b}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1838F91B-D481-45AA-B92F-071C62D0A19A}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{add3bacc-578f-4bf9-97e3-a0f0c3ae3323}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{723B40A4-5BF2-4DC6-834A-2ADF75F3CF7E}\\SystemComponent" => erfolgreich entfernt

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{cc37f609-4db9-4ce3-9e37-9cb1b432452e}\\SystemComponent" => erfolgreich entfernt
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 7364608 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11659052 B

Java, Flash, Steam htmlcache => 382224496 B

Windows/system/drivers => 1590086 B

Edge => 1279171 B

Chrome => 0 B

Firefox => 444801408 B

Opera => 0 B
 

Temp, IE cache, history, cookies, recent:

Default => 0 B

Users => 0 B

ProgramData => 0 B

Public => 0 B

systemprofile => 0 B

systemprofile32 => 0 B

LocalService => 0 B

LocalService => 0 B

NetworkService => 6006 B

NetworkService => 0 B

Andi => 5354084 B
 

RecycleBin => 1205500878 B

EmptyTemp: => 1.9 GB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 19:36:00 ====

Kannst du jetzt über appwiz.cpl den restlichen ASUS-Krempel deinstallieren?

Jetzt tauchen die Asus-Apps auf.
Jede App zweimal *Achtung Laien-Umschreibung*
Einmal mit dem Symbol mit hellblauem Bildschirm und CD im Vordergrund und einmal das mit dem dunkelblauen Bildschirm und Ordner im Vordergrund.
Ich habe bei Bedarf einen Screenshot gemacht.
Die Apps mit hellblauem Bildschirmsymbol kann ich deinstallieren, bei denen mit dunkelblau ist der Deinstallieren-Button ausgegraut.

Ausnahme sind einige Anwendungen bei denen bei der Deinstallation die Fehlermeldung "Diese App wurde aus Sicherheitsgründen blockiert - Ein Administrator hat die Ausführung dieser App blockiert. Weitere Informationen erhalten Sie vom Administrator. C:\Windows\Installer\a0c16xx" xx = unterschiedliche Kombination aus Ziffern und Buchstaben für die verschiedenen Apps.
Eigentlich bin ich Administrator auf dem PC und auch der einzige angelegte Benutzer.

Es betrifft folgende Asus Apps:
ASUS AURA Display Component
ASUS AURO Extension CARD HAL
ASUS AURA Motherboard HAL
ASUS AURA VGA Component
ASUS MB Periphal Products
ASUS Mouse HAL
ASUS MousePad HAL

Von den deinstallierten Asus Anwendung ist das Symbol mit dunkelblauem Bildschirm ebenfalls noch da.
Ich start mal neu um zu sehen ob sich dadurch etwas ändert.

Sorry für die laienhafte Beschreibung. Ich hoffe du verstehst was ich meine.

Update: Sowohl die Fehlermeldung bei der Deinstallation als auch die zusätzlichen Apps mit ausgegrautem Button für die bereits deinstallierten Apps sind nach neustart noch da.
Soll ich versuchen den jeweiligen Pfad, also C:\Windows\Installer\a0c16xx über Eingabeaufforderung (Administrator) zu starten?

Drück mal bitte Windows-Taste+R. Das Feld Ausführen unten links sollte sich öffnen. Tipp dort ein appwiz.cpl und drücke dann ENTER.

Meinst du dieses Fenster zur Deinstallation? Das ist das klassische "Programme und Funktionen" also nicht das Windows10-Deinstallationsmenü.

Nein ich war über das klassische Windows10-Deinstallationsmenü drin.
Ergebnis ist aber identisch. Einige Anwendungen lassen sich nicht deinstallieren (kein Button vorhanden) und bei einigen kommt die Fehlermeldung.

Soll ich versuchen den jeweiligen Pfad, also C:\Windows\Installer\a0c16xx über Eingabeaufforderung (Administrator) zu starten?
Oder per "net user administrator /active:yes" nach verstecktem Administratorkonto suchen? Beides das Ergebnis einer kurze Google-Recherche, aber will nicht blind drauf losprobieren.

Dann lässt sicht nicht alles deinstallieren :killpc: das ist der Grund warum ich GRUNDSÄTZLICH jeden neuen PC plattmache und neu installiere mit normale Windows10-ISO.

ASUS ist jetzt aber auch nicht das Problem schlechthin.

Kontrollscans mit Malwarebytes + ESET Online Scanner bitte.

So, der ESET-Scan hat etwas gedauert.
Ich habe zuerst Malwarebytes ausgeführt, dann ESET.

Malwarebytes-Log:

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 21.08.19

Scan-Zeit: 20:22

Protokolldatei: 93e226e6-c440-11e9-b48f-e0d55ee2e85c.json
 

-Softwaredaten-

Version: 3.8.3.2965

Komponentenversion: 1.0.613

Version des Aktualisierungspakets: 1.0.12125

Lizenz: Testversion
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 18362.295)

CPU: x64

Dateisystem: NTFS

Benutzer: DESKTOP-1JCCLFI\Andi
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 282116

Erkannte Bedrohungen: 0

In die Quarantäne verschobene Bedrohungen: 0

Abgelaufene Zeit: 0 Min., 31 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 0

(keine bösartigen Elemente erkannt)
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

ESET-Log:

Code:

20:25:06 # product=EOS

# version=8

# esetonlinescanner_deu.exe=3.1.10.0

# country="Germany"

# lang=1031

20:25:58 Updating

20:25:58 Update Init

20:26:00 Update Download

20:31:51 esets_scanner_update returned -1 esets_gle=12

20:31:51 Update Finalize

20:31:51 Call m_esets_charon_send

20:31:51 Call m_esets_charon_destroy

20:31:52 Retrying Update

20:31:52 Updating

20:31:52 Update Init

20:31:58 Update Download

20:33:00 esets_scanner_reload returned 0

20:33:00 g_uiModuleBuild: 42498

20:33:00 Update Finalize

20:33:00 Call m_esets_charon_send

20:33:00 Call m_esets_charon_destroy

20:33:01 Updated modules version: 42498

20:33:10 Call m_esets_charon_setup_create

20:33:10 Call m_esets_charon_create

20:33:10 m_esets_charon_create OK

20:33:10 Call m_esets_charon_start_send_thread

20:33:10 Call m_esets_charon_setup_set

20:33:10 m_esets_charon_setup_set OK

20:33:10 Scanner engine: 42498

22:00:32 # product=EOS

# version=8

# flags=0

# av=0

# fw=7

# admin=1

# esetonlinescanner_deu.exe=3.1.10.0

# EOSSerial=10ca0d2257c7394cb4454b6751a3245a

# engine=42498

# end=finished

# bannerClicked=0

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# sfx_checked=true

# utc_time=2019-08-21 20:00:32

# local_time=2019-08-21 22:00:32 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=10.0.18362 NT 

# compatibility_mode_1=''

# compatibility_mode=5893 16776573 100 88 6396 13450595 0 0

# scanned=546286

# found=1

# cleaned=1

# scan_time=4746

# scan_type=2

# flow=2019-08-21 20:25:11|scr|eula|2019-08-21 20:25:12|promo|eis|2019-08-21 20:25:15|scr|welcome|2019-08-21 20:25:20|scr|consents|2019-08-21 20:25:40|scr|scan_type|2019-08-21 20:25:47|scr|pua|2019-08-21 20:25:58|scr|updating|2019-08-21 20:33:01|scr|scanning|2019-08-21 21:52:08|scr|all_cleaned|2019-08-21 22:00:18|scr|periodic_offer|2019-08-21 22:00:25|scr|upsell|2019-08-21 22:00:30|scr|thanks

# periodic=0,0

# stats_enabled=1

sh=D61C353F06BB9F4A99738361C8135C93D3DE83F9 ft=1 fh=00000000000d5604 vn="Variante von Win32/HackTool.Crack.CS potenziell unsichere Anwendung (Gesäubert durch Löschen)" ac=C fn="D:\Spiele\ISOs\Age of Mythologie (Extended Edition)\Age of Mythologie (Extended Edition) Update 1.8.2722\Crack\steam_api.dll"

22:00:33 Call m_esets_charon_send

22:00:33 Call m_esets_charon_destroy

Ah ich sehe gerade was da gefunden/zurecht gelöscht wurde.
Der gesamte Ordner ist entfernt..

Gut. Wenn dein Firefox noch spinnen sollte, müsste man den mal resetten. Machen wir aber nur wenns sein muss. Oder wilst du das auch so?

Also ich denke nicht, dass dieser Crack Ursache des Problems war.
Das ist noch ein Überbleibsel einer LAN-Party letztes Jahr und damit weit bevor das Symptom das erste mal aufgetreten ist.
Ich hatte damals wohl vergessen das runterzuschmeißen.

Ich habe gerade nochmal getestet und Google-Suchen über die Taskbar in Firefox werden immer noch über www1.online umgeleitet.
Also irgendwas scheint immer noch drin zu sein.

Cracks sehen wir hier wirklich sehr ungern. Aber das Teil wurde in der Tat nur in irgendeinem Datenverzeichnis gefunden.

Zurecht ja, wie gesagt war es nur eine Dateileiche und nicht aktiv in Benutzung. Und ich habe den gesamten Ordner gelöscht.
Daher würde ich mich freuen wenn wir morgen weitermachen können, da das Problem in Firefox wie oben geschrieben nach wie vor auftritt.
Ich lasse jetzt über Nacht einen weiteren ESET-Scan als Kontrolle laufen.
Danke für deine Hilfe.

Bitte den Firefox komplett neu installieren:

1. aktuelles Firefox-Setup runterladen
2. Firefox deinstallieren
3. den Ordner C:\Programme\Mozilla Firefox manuell löschen falls noch vorhanden
4. Firefox neu installieren über die in (1) runtergeladene Setupdatei
5. Anschließend nochmal ein neues Profil erstellen:
http://support.mozilla.com/de/kb/Profile%20verwalten
Sichere - falls wichtig - vorher wichtige Lesezeichen, gespeicherte Passwörter etc.

So, jetzt geht es endlich weiter.
Ich habe Firefox neuinstalliert, ein neues Profil angelegt und das alte gelöscht.

Soll ich testen, ob noch über www1.online umgeleitet wird?

Ja genau das sollst du tun

Ich habe gestern Abend dann noch getestet, nachdem AdwCleaner nichts mehr gefunden hat und es erfolgt keine Umleitung über www1.online mehr, wenn ich über die Taskleiste suche. Das Symptom ist somit weg.

Soll ich nochmal irgendwelche Kontrollscans zum Abschluss machen?

Achja, ich habe den Rest der Asus-Bloatware gestern Abend noch deinstalliert bekommen.

Danke schonmal für deine gute und schnelle Hilfe bei meinem Problem.