Trojaner-Board - Win10: Trojaner gemeldet - Avira: "TR/AD.FireHooker.BU"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Win10: Trojaner gemeldet - Avira: "TR/AD.FireHooker.BU" (https://www.trojaner-board.de/200029-win10-trojaner-gemeldet-avira-tr-ad-firehooker-bu.html)

Das mit den Deinstallationen passt soweit. :)

Schritt 1

Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: VirusTotal: C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}\{F1B70EE6-8974-4EA5-9E0B-A44E2F4AC716} C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648} AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB} HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG HKU\S-1-5-21-2791600654-35821671-3764932078-1001\...\Run: [] => [X] FF Extension: (Avira Browser Safety) - C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\Extensions\abs@avira.com [2016-11-09] [] C:\Users\Marie-Claire\AppData\Local\Avira C:\Program Files (x86)\Avira Reboot: End::
Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Bitte poste mit deiner nächsten Antwort:

die Logdatei des FRST-Fix (fixlog.txt)
die Logdatei von RogueKiller

Win10: Trojaner gemeldet - Avira: "TR/AD.FireHooker.BU"

Guten Abend Matthias,

Respekt, dass hier an einem Feiertag samstagabends geantwortet wird, alle Achtung!

Wir haben das zunächst die Reparatur durchgeführt und anschließend nach Installation des Programms RougeKiller den Standard-Scan durchlaufen lassen. Es gab 2 Ereignisse, die auf den ersten Blick so aussehen, als wäre es etwas anderes.

Hier der Inhalt der fixlog.txt

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2020

durchgeführt von Marie-Claire (04-10-2020 00:11:18) Run:2

Gestartet von C:\Users\Marie-Claire\Downloads

Geladene Profile: Marie-Claire

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

VirusTotal: C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}\{F1B70EE6-8974-4EA5-9E0B-A44E2F4AC716}

C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}

AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}

HKLM\...\Run: [] => [X]

HKLM-x32\...\Run: [] => [X]

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG

HKU\S-1-5-21-2791600654-35821671-3764932078-1001\...\Run: [] => [X]

FF Extension: (Avira Browser Safety) - C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\Extensions\abs@avira.com [2016-11-09] []

C:\Users\Marie-Claire\AppData\Local\Avira

C:\Program Files (x86)\Avira

Reboot:
 

*****************
 

VirusTotal: C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648}\{F1B70EE6-8974-4EA5-9E0B-A44E2F4AC716} => https://www.virustotal.com/gui/file/f3cddbbe6afcd2d3ffe76876449c398497121a8b1d27b99a0475857d3fc31670/detection/f-f3cddbbe6afcd2d3ffe76876449c398497121a8b1d27b99a0475857d3fc31670-1601763080

C:\ProgramData\Package Cache\{C389E1D9-A35B-4A30-9A02-16B403075648} => erfolgreich verschoben

"AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}" => erfolgreich entfernt

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => erfolgreich entfernt

"HKU\S-1-5-21-2791600654-35821671-3764932078-1001\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt

C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\Extensions\abs@avira.com => erfolgreich verschoben

C:\Users\Marie-Claire\AppData\Local\Avira => erfolgreich verschoben

C:\Program Files (x86)\Avira => erfolgreich verschoben
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 00:12:14 ====

Und hier der Inhalt der RogueKiller.txt.

Code:

RogueKiller Anti-Malware V14.7.3.0 (x64) [Sep 15 2020] (Free) von Adlice Software

Mail : https://adlice.com/contact/

Website : https://adlice.com/download/roguekiller/

Betriebssystem : Windows 10 (10.0.19041) 64 bits

Gestartet in : Normaler Modus

Benutzer : Marie-Claire [Administrator]

Gestartet von : C:\Users\Marie-Claire\Desktop\RogueKiller_portable64.exe

Signaturen : 20201001_073512, Treiber : Geladen

Modus : Standard-Scan, Scannen -- Datum : 2020/10/04 00:26:39 (Dauer : 00:25:10)
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> XX - Software

  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-2791600654-35821671-3764932078-1001\Software\OCS -- N/A -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> Firefox Config

  [PUM.Proxy (Potenziell bösartig)] network.proxy.type (C:\Users\Marie-Claire\AppData\Roaming\Mozilla\Firefox\Profiles\hkzhnb68.default\prefs.js) -- 2 -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Die Funde von RogueKiller kannst du ignorieren, das sind Fehlalarme.

Schritt 1

Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: DeleteQuarantine: Unlock: C:\FRST Reboot: End::
Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Win10: Trojaner gemeldet - Avira: "TR/AD.FireHooker.BU"

Hallo Matthias,

vielen lieben Dank für die Hilfe, es hat alles geklappt :dankeschoen:

Wir haben jetzt die alle Virenscanner gemäß deiner Anleitung runtergeschmissen und den WindowsDefender korrekt eingestellt. Updates aller Programme haben wir auch durchgeführt.

Das CleanerUp lief sauber durch, hat aber natürlich auch die fixlist.txt gelöscht und wir haben die vorher nicht verschoben, weshalb ich die jetzt nicht mehr posten kann.

Spende ist raus und offizielles Lob folgt natürlich! Vielen Dank!

Eine Frage hätte ich zum Abschluss noch:
Eigentlich ist die Malware nach Deinstallation des AntiVir nie wieder gefunden worden. Zumindest haben die anderen Virenprogramme nie eine Meldung erzeugt. War das jetzt ein Problem mit AntiVir? Den Logs konnte ich leider nicht sehr viel entnehmen.

Schönes Restwochenende noch,
Moritz

Zitat:

Eigentlich ist die Malware nach Deinstallation des AntiVir nie wieder gefunden worden. Zumindest haben die anderen Virenprogramme nie eine Meldung erzeugt. War das jetzt ein Problem mit AntiVir? Den Logs konnte ich leider nicht sehr viel entnehmen.

Wir haben die Malware mit FRST entfernt, weil Avira nicht in der Lage war, die Malware aufzuspüren... geschweige denn zu entfernen. FRST ist Avira bei weitem überlegen.
Das was Avira hier entdeckt hat, war lediglich eine temporäre Datei der Malware... den Ursprung/Kern hat es nicht entdeckt.
Wir lassen Avira vor einer Bereinigung entfernen, weil es sehr häufig stört.

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.