Chrome von Organisation verwalet, itzito & zapmeta Ergebnisse, Edge schließt sich nach 10 sek.
 

Liebe Helfer bei Trojanerboard.

ich habe seit nun zwei Monaten das Problem, dass mein Browser angeblich von meiner Organisation verwaltet wird, mir bei jeder Suchanfrage Ergebnisse von izito und zapmeta angezeigt werden und ich eine Erweiterung im Chrome habe, die ich nicht löschen oder deaktivieren kann: Zu dieser Liefert Chrome folgende Infos:
"Beschreibung
Version
2.4.9
Größe
< 1 MB
Berechtigungen
Alle Ihre Daten auf von Ihnen besuchten Websites lesen und ändern
Browserverlauf auf all Ihren angemeldeten Geräten lesen und ändern
Benachrichtigungen einblenden
Ihre Lesezeichen lesen und ändern
Downloads verwalten
Apps, Erweiterungen und Designs verwalten
Mit zusammenarbeitenden nativen Anwendungen kommunizieren
Datenschutzeinstellungen ändern
Websitezugriff
Diese Erweiterung ermöglicht keinen zusätzlichen Websitezugriff.
Im Inkognitomodus zulassen
Achtung: Google Chrome kann nicht verhindern, dass Ihr Browser-Verlauf von Erweiterungen aufgezeichnet wird. Schalten Sie diese Option aus, um die Erweiterung im Inkognitomodus zu deaktivieren.
Zugriff auf Datei-URLs zulassen
Quelle
Nicht aus dem Chrome Web Store"
Wenn ich Chrome lösche (incl Appdata) und neu installiere, dann erhalte ich oben rechts im Chrome Fenster die Meldung, das eine fremde App Plugins installieren will (Acrobat, Avast), mit Fehlermeldung, bei der ich "Aus Chrome entfernen" anklicken kann.
Und das geschieht, noch ehe ich bei Google angemeldet bin und die Synchronisierung in Chrome aktiviert habe.
Schließt sich der Edge Browser ca. 10 Sekunden nach dessen Öffnen eigenständig. Vielleicht hängt das miteinander zusammen.

Natürlich liegt der Verdacht nahe , dass ich mir eine Malware auf den PC gezogen habe.
Ich habe bisher
- den Windows Defender scannen lassen (dieser hat zunächst PUP erkannt, aber zuletzt nicht mehr)
- RogueKiller scannen lassen ( auch hier eine Schadsoftware angezeigt bekommen und gelöscht, jedoch immer noch das selbe Problem)
- JRT laufen lassen, kein Befund.

Ich hatte bereits mal herumgestöbert und diverse Policies in der Registry gelöscht und Chrome neu installiert. Danach war anfangs eine Zeit lang Ruhe, bisher.
Aber jetzt nicht mehr.
Bei meinen eigenen Versuchen der Sache Herr zu werden hatte ich auch mal den Zustand das Chrome zwar diese nicht entfernbare Erweiterung hatte, aber keine itzito / Zapmeta Ergebnisse gezeigt wurden.

unter chrome://policy/
taucht folgender Eintrag auf: ljiploonflielbohifoeibhgbjohcpjd;file:///C:/WINDOWS/Installer/%7B146BA72D-EE6E-4B96-99FF-D10D8CBC64BB%7D/xljiploonflielbohifoeibhgbjohcpjdml
Mit Status OK.
Allerdings gibt es diese Datei nicht (mehr?). c:/Windows/Installer ist aktuell komplett leer.

Anbei die FRST-Logdateien. Leider wurde das Hochladen von Addition.txt veweigert, da angeblich zu groß. Als Zip hat es geklappt.

Sehr herzlichen Dank vorab für Ihre Unterstützung.

Ihr A.Keibel

Hi,
ich hab den Wurm oder den Virus vielleicht besiegt mit
https://www.emsisoft.com/de/home/emergencykit/
Das Kit hat ein file im Temp-Verzeichnis gefunden, neu gestartet, noch vor dem Windowsloader entfernt und dann Windows normal weiter geladen.
Danach war alles wieder OK.
Hoffentlich war das nachhaltig.
Vielen Dank.
Wenn ich nochmal ein FRST Files senden soll, zum Vergleich. bitte Melden.
- ich kann mir nämlich vorstellen, das es eine Motivation bei Euch ist, selbst eine genialen Anti-Malware Software zu schreiben, wofür ihr natürlich Daten braucht.

Viele liebe Grüße
Andreas Keibel, Augsburg

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.




Ja cool, nur ca. 45 km von mir entfernt. :abklatsch: :D




Poste bitte neue Logdateien von FRST.
Ich möchte gerne kontrollieren, ob alles in Ordnung ist.

• Starte FRST.
• Setze einen Haken vor Dateiliste 90 Tage und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste mir die FRST.txt und die Addition.txt in deinem Thema.

Wenn möglich, bitte auch die Logdatei von EEK posten.

Hi Matthias,
mein Rechner läuft weiter ohne negative Effekte. Der Befall hat nicht weiter aufgemuckt oder ist hoffentlich komplett wech. In welcher Richtung von Ausgsburg wohnst Du?
Anbei die neuen Files.
Vg. A.Keibel

Dein Rechner ist immer noch mit Malware infiziert, sie wird von kaum einem Programm erkannt. :D ;)



Nördlich. ;)




Was ist denn das für ein Pfad, in dem sich die FRST64.exe befindet? :wtf:

Alle Tools sind auf dem Desktop (C:\Users\<dein Benutzername>\Desktop\) abzuspeichern und von dort zu starten, bitte hier unsere Regeln nachlesen.

FRST bitte neu herunterladen oder auf den Desktop verschieben, erneut einen Suchlauf ausführen und die Logdateien erneut posten.

Dann können wir mit der Bereinigung starten. :)

OK. Ich hab FRST64 nun vom Desktop aus gestartet.
Anbei die Files.

Emsisoft, RogueKiller und Zemana... alles gute Ideen, dennoch nicht ganz zielführend in diesem Fall... :D

Die drei Programme kannst du über "Start > Einstellungen > Apps" wieder deinstallieren, sie helfen hier nicht mehr weiter. ;) Danach den Rechner neu starten.







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Task: {1BF45C66-0CD6-49EB-BC6C-AE280DE12EE8} - System32\Tasks\Windows Automatische Microsoft => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{9EC1E67B-D7CF-4346-9625-DA2F9D782D99}\{3FE0D161-940B-4F59-8269-3EC0DEA255D2}" <==== ACHTUNG
C:\ProgramData\Package Cache\{9EC1E67B-D7CF-4346-9625-DA2F9D782D99}
Task: {74EE2E50-8CF0-46EC-BCF6-6767BE64E151} - System32\Tasks\AppvStrmAppvVemgrAppvVfs => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> C:\WINDOWS\Installer\{2780B979-A7B0-4C67-9FCD-7991BF063B1F}\{B05BE7A1-C8BA-4A1B-BAE2-588960E00CEF} <==== ACHTUNG
C:\WINDOWS\Installer\{2780B979-A7B0-4C67-9FCD-7991BF063B1F}
C:\ProgramData\ntuser.pol
C:\WINDOWS\system32\GroupPolicy\Machine
C:\WINDOWS\system32\GroupPolicy\GPT.ini
C:\WINDOWS\SysWOW64\GroupPolicy\Machine
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
DeleteKey: HKLM\SOFTWARE\Policies\Google
DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
C:\Users\AllUserName\AppData\Roaming\npm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
CMD: dir "%windir%\installer\*.xpi" /S
CMD: dir "%windir%\installer\c*rx" /S
CMD: dir "%windir%\installer\x*ml" /S
CMD: dir "%windir%\installer\{*-*-*-*-*}" /S
CMD: dir "%ProgramData%\Package Cache\{*-*-*-*-*}" /S
C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\5bhxxxy2.default-release\user.js
C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\5bhxxxy2.default-release\prefs.js
FF HKLM\...\Firefox\Extensions: [{53177DDE-35C5-4721-A1F5-62FA86883C8B}] - C:\WINDOWS\Installer\{E32512E0-2AA7-480B-8540-012231AAED8A}\{53177DDE-35C5-4721-A1F5-62FA86883C8B}.xpi => nicht gefunden
FF HKLM-x32\...\Firefox\Extensions: [{53177DDE-35C5-4721-A1F5-62FA86883C8B}] - C:\WINDOWS\Installer\{E32512E0-2AA7-480B-8540-012231AAED8A}\{53177DDE-35C5-4721-A1F5-62FA86883C8B}.xpi => nicht gefunden
C:\WINDOWS\Installer\{E32512E0-2AA7-480B-8540-012231AAED8A}
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 cpuz149; \??\C:\WINDOWS\temp\cpuz149\cpuz149_x64.sys [X]
S3 MpKslcf8ad7fe; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{3A07BE71-EB3E-4B71-A8FC-E4B57A2E2232}\MpKslDrv.sys [X]
c:\Users\Andy\AppData\Local\{2ED92711-EB96-4817-855B-AA81C789A980}
2021-01-31 16:07 - 2019-08-08 14:02 - 000000000 ____D C:\Users\Andy\AppData\Roaming\AVAST Software
2021-01-31 16:07 - 2019-08-08 14:00 - 000000000 ____D C:\ProgramData\AVAST Software
CustomCLSID: HKU\S-1-5-21-3630448762-2408095025-2823601209-1001_Classes\CLSID\{4EEA0E9A-8184-BB51-DCAC-F85F2E5B44D9}\InprocServer32 -> kein Dateipfad
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
powershell: Set-MpPreference -DisableScanningNetworkFiles 0
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

der Rechner hat sich neu gestartet.
Anbei wie befohlen die Dateien. a) Fixlog.txt und die Daten des neuen Runs von FRST64.

Sehr gut gemacht. :daumenhoc




Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Anbei der Log von Malwarebytes.
Hat wieder etwas gefunden....

Wurden die Funde nicht entfernt oder nur die falsche Logdatei gepostet? :wtf:

Also es gab vorher keine Log Datei von Malwarebytes. Beim Abspeichern habe ich genau diesen Namen eingegeben.

ö- Ich hab Malwarebytes laufen lassen, dann gab es die 10 Funde.
Dann hab ich die Logdatei gespeichert. Danach die Funde in Quarantäne geschickt.
Jetzt hab ich nochmal einen Run gestartet:
Keine Funde!
Besten Dank!

Kooperiert ihr mit Malwarebytes?
Vlg Andreas

:wtf: :crazy:

Das beantwortet nicht meine Frage.
Wurden die Funde von dir nun entfernt oder nicht?

Man kann am Ende eines Suchlaufs eine Logdatei abspeichern, die sieht dann so aus wie bei dir.
Man kann am Ende eines Suchlaufs auch alle Funde in Quarantäne verschieben lassen (so wie in unserer Anleitung beschrieben).
Letzteres hätte ich gerne. :)

Ja klar in Quarantäne geschoben. ...