Windows 11 Pro: Policy in Edge Browser nicht deaktivierbar, lädt activeserachbar.me Hijacker Erweiterung
 

Hallo zusammen,

auf dem Computer meines Sohnes, haben wir uns scheinbar einen Browser Hijacker, eingefangen:

Symptome:
1. Edge Browser Richtlinie (edge://policy) ExtensionInstallForceList aktiviert sich immer wieder - screenshot "edge_policy_I.jpg"

2. Edge Erweiterung "activesearchbar.me" installiert sich selbständig und ist nicht deaktivier- oder löschbar


Bisherige ergebnislose Lösungsversuche:
1. Scans mit Windows Defender
2. Scans mit Malwarebytes Anti-Malware & adwcleaner
3. Scans mit Spybot Search & Destroy

Beobachtungen:
1. "activeserachbar.me" Erweiterung schreibt sich in der Registry in:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist

2. Löschung des D-Word Keys wirkt nur temporär, fügt sich selbständig wieder hinzu.

3. Löschung des gesamten Keys inkl. "ExtensionInstallforceList" wirkt zumindest soweit, dass die Meldung im Edge Browser "Von Ihrer Organisation verwaltet" für einige Zeit (Zeitraum nicht gemessen, ggf. ca 1h oder wenig) verschwindet.
Danach taucht wieder "Von Ihrer Organisation verwaltet" auf - siehe Screenshot im Anhang.


Weitere (temporäre) Maßnahmen:

1. Aktivierung GP Objekte
Richtlinien für lokale Computer -> Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Microsoft Edge:
- Entwicklungstools zulassen (deaktiviert)
- Erweiterungen zulassen (deaktiviert)
- Querladen der Erweiterung zulassen (deaktiviert)

Richtlinien für lokale Computer -> Benutzerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Microsoft Edge:
- Erweiterungen zulassen (deaktiviert)
- Querladen der Erweiterung zulassen (deaktiviert)


Die Richtlinien scheinen nicht zu funktionieren, da ich über "Erweiterungen" im Browser, immernoch manuell hinzufügen kann.
Dennoch scheint sich seitdem diese "activesearchbar.me" nicht mehr automatisch hinzuzufügen, kann jedoch Zufall sein.
Die "ApplicationInstallForceList" Policy aktiviert sich weiterhin immer wieder...


Rahmenbedingungen:
- Windows 11 Build 10.0.22000 Build 22000
- Aktuelles Patchlevel
- Windows Defender aktiv, aktuell und nach Beschreibung im Trojaner-Board, eingestellt
- Kein Defender Application Guard (Service nicht installiert)
- Salfeld Kindersicherung aktiv (ausschließlich für Website Blacklisting)


FRST Log:

Addition Log:

Malwarebytes Log:



ADWcleaner Log:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Hallo Matthias,

vorab vielen Dank für deine Unterstützung.

Wenn ich weitere Info zuliefern kann oder du eine RDP Session (TeamViewer, etc.) benötigst, gerne melden.

Grüße
Nils

Ok, wir fangen an. :)
Diese Malware kommt mir bekannt vor... :aufsmaul: :D




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

CMD: type "C:\Windows\System32\Tasks\MicrosoftPrintWorkflowService_2"
Task: {230BDA8E-A467-4040-8078-DAE5117CABC8} - System32\Tasks\MicrosoftPrintWorkflowService_2 => powershell -File C:/Windows/System32/PrintWorkflowService.ps1
CMD: type "C:\Windows\System32\Tasks\MicrosoftPrintWorkflowService"
Task: {45642FF6-3619-47AF-9980-EB2BDDD2D870} - System32\Tasks\MicrosoftPrintWorkflowService => powershell -File C:/Windows/System32/PrintWorkflowService.ps1
CMD: type "C:\Windows\System32\PrintWorkflowService.ps1"
C:\Windows\System32\PrintWorkflowService.ps1

CMD: type "C:\Windows\System32\Tasks\MicrosoftWindowsUpdaterTask_PR1_2"
Task: {B3EB67F7-C7BB-4F3D-8D5F-D4A6EEEEE750} - System32\Tasks\MicrosoftWindowsUpdaterTask_PR1_2 => powershell -File C:/Windows/System32/WindowsUpdater1.ps1
CMD: type "C:\Windows\System32\Tasks\MicrosoftWindowsUpdaterTask_PR1"
Task: {ECB4171C-2617-409F-9B15-78C553295691} - System32\Tasks\MicrosoftWindowsUpdaterTask_PR1 => powershell -File C:/Windows/System32/WindowsUpdater1.ps1
CMD: type "C:\Windows\System32\WindowsUpdater1.ps1"
C:\Windows\System32\WindowsUpdater1.ps1

Unlock: C:\Windows\system32\fclip.exe
VirusTotal: C:\Windows\system32\fclip.exe

CMD: type "C:\Users\Pauli\AppData\Local\2613946761"
VirusTotal: C:\Users\Pauli\AppData\Local\2613946761
2022-05-15 20:48 - 2022-05-15 20:48 - 000004846 _____ () C:\Users\Pauli\AppData\Local\1355515445
2022-05-29 17:52 - 2022-05-29 17:52 - 000004350 _____ () C:\Users\Pauli\AppData\Local\2613946761
2022-05-15 20:52 - 2022-05-15 20:52 - 000004846 _____ () C:\Users\Pauli\AppData\Local\3390820382
2022-05-07 16:50 - 2022-05-07 16:50 - 000005190 _____ () C:\Users\Pauli\AppData\Local\4096968421

HKU\S-1-5-21-1424437550-2087844553-323541659-1001\...\Run: [MicrosoftEdgeAutoLaunch_0394F9F0D5AFEC0304440CFD4BF5F89C] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3547048 2022-05-05] (Microsoft Corporation -> Microsoft Corporation)
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicy: Beschränkung - Edge <==== ACHTUNG
GroupPolicy\User: Beschränkung - Edge <==== ACHTUNG
GroupPolicyUsers\S-1-5-21-1424437550-2087844553-323541659-1001\User: Beschränkung <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {07595C2E-60C1-4CAA-90B7-43A07800F8DF} - System32\Tasks\Opera scheduled Autoupdate 1652464033 => C:\Users\Pauli\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Keine Datei)
Task: {5B8095A6-0C1E-4D17-A6BB-1C5756AAB167} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Keine Datei)
Task: {A1411766-E2FC-47B4-9195-5EFB2B3C1F58} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Keine Datei)
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Keine Datei
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Keine Datei
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Keine Datei
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Keine Datei
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Keine Datei
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Keine Datei
AlternateDataStreams: C:\Users\Pauli\Anwendungsdaten:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\Pauli\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9112]

startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -SignatureScheduleDay Everyday -force
set-mppreference -RealTimeProtectionEnabled $true -force
set-mppreference -OnAccessProtectionEnabled $true -force

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:

CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

FRST wurde auf dem Desktop, jeweils als Administrator, ausgeführt.

Nach dem "Reparieren" mit FRST wurde ein Neustart benötigt.
Sobald der Desktop geladen wurde, kam die Aufforderung der Windows Firewall, Asus Dienste für Armoury Crate, zuzulassen.

Die Meldung "Von Ihrer Organisation verwaltet" im Edge, ist verschwunden.

Fixlog:



FRST Log:

Addition Log:

Gut gemacht. :)
Vielen Dank für die ausführliche Rückmeldung, so wünschen wir uns das. :applaus:


Die Meldung der Firewall kommt, da wir diese zurücksetzen mussten. ;)
Wenn eine App legitim ist, dann bitte zulassen.


Wir überprüfen die Windows Systemdateien auf Schäden und lassen diese ggf. reparieren.
Dies kann etwas dauern, bitte gedulde dich. :)
Danach noch eine Kontrolle mit Emsisoft.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
GroupPolicyUsers\S-1-5-21-1424437550-2087844553-323541659-1001\User: Beschränkung <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von EEK

FRST hat vor der Ausführung vom Desktop als Administrator, ein Update durchgeführt.
Die alte Programmversion befindet sich auf dem Desktop im Ordner "FRST-OlderVersion".

Danach wurde gemäß Meldung, ein Neustart durchgeführt.

Im Anschluss wurde EEK, gemäß Anleitung, ausgeführt.


Fixlog:



EEK Log:

Gut gemacht. :daumenhoc

Ein Spezialsuche mit FRST bitte:


Schritt 1

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: RestMinder

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

FRST Suche auf Desktop, als Admin ausgeführt:

Sehr gut. :applaus:

Ein (hoffentlich) letzter kurzer Fix mit FRST:


Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Unlock: C:\Users\Pauli\AppData\Local\Programs\RestMinder
VirusTotal: C:\Users\Pauli\AppData\Local\Programs\RestMinder\RestMinder.exe
VirusTotal: C:\Users\Pauli\AppData\Local\Programs\RestMinder\sdk.dll
C:\Users\Pauli\AppData\Local\Programs\RestMinder
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Tracing\RestMinder_RASAPI32
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Tracing\RestMinder_RASMANCS
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

FRST als Admin ausgeführt, danach Neustart aufgrund von Meldung.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Rechtsklicke auf FRST64 und wähle Umbenennen.
• Benenne FRST64 in Uninstall um.
• Starte Uninstall.
• FRST und die dazugehörigen Dateien/Odner werden entfernt.
• Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.

Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alle Informationen wurden gelesen und was möglich ist, wurde umgesetzt, sofern nicht vorab schon entsprechend eingestellt.

Ich habe keine weiteren Fragen und bedanke mich nochmals für deine großartige Unterstützung!

Im "Erinnerung an meinen Thread" Thread habe ich bereits gepostet und eine kleine Spende wurde via PP, überwiesen.

Viele Grüße
Nils

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema auf Wunsch wieder geöffnet.

@metoo003
Wenn das Problem schon wieder (immer noch?) da ist, solltest du gleich mal neue FRST Logs erstellen und posten.

Man sollte aber auch nach der Ursache suchen... und die liegt wohl im Surf- und Downloadverhalten des Sohnes... man müsste im Detail wissen, was wann gedownloaded und ausgeführt wurde... es bringt ja nichts, wenn wir hier Malware entfernen und sie vielleicht durch den gleichen Fehler wie zuvor wieder auf das System kommt.

Wie im Thread bereits beschrieben, waren alle Probleme beseitigt.

Folgende Symptome sind wieder da:

Edge Browser Richtlinie (edge://policy) ExtensionInstallForceList ist wieder aktiv, jedoch ohne unbekannte Erweiterungen oder add-ons.
Einziges aktives Browser add-on, welches von mir installiert wurde ist uBlock Origin.


FRST wurde als Admin vom Desktop ausgeführt:


Addition Log:

@M-K-D-B

Ich bekomme Tagesreports des Surfverhaltens, ich kann nichts auffälliges finden, s.u..

Download ist in dieser Zeit nur folgendes gelaufen:

Rise of Kingdoms, vermutlich von folgendem Link
https://vda-global.lilisi.com/tracking?dap_code=b2a9c85d536a0e8232c711044e7d627a


Log 21.06.22

Log 22.06.22
Log 23.06.22

Log 24.06.22

Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
Task: {4B1A5595-E3AA-4474-AF9E-C1048A055B4C} - System32\Tasks\MicrosoftWindowsUpdaterTask_PR1_2 => powershell -File C:/Windows/System32/WindowsUpdater1.ps1 <==== ACHTUNG
C:\Windows\System32\WindowsUpdater1.ps1
Task: {FB8BAA64-96B5-4778-8DB0-8318ADF99FF7} - System32\Tasks\MicrosoftWindowsUpdaterTask_PR1 => powershell -File C:/Windows/System32/WindowsUpdater1.ps1 <==== ACHTUNG

HKU\S-1-5-21-1424437550-2087844553-323541659-1001\...\Run: [MicrosoftEdgeAutoLaunch_0394F9F0D5AFEC0304440CFD4BF5F89C] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3595168 2022-06-16] (Microsoft Corporation -> Microsoft Corporation)
GroupPolicyUsers\S-1-5-21-1424437550-2087844553-323541659-1001\User: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {F29D09A4-7E44-42AD-AB09-5769D048AB80} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Keine Datei)
Task: {5E67C348-32A2-4F6B-8445-AADDCD518B82} - System32\Tasks\MicrosoftEdgeShadowStackRollbackTask => C:\Program Files (x86)\Microsoft\Edge\Application\102.0.1245.44\Installer\setup.exe [3256224 2022-06-20] (Microsoft Corporation -> Microsoft Corporation)

Unlock: C:\Windows\ShellServiceLog
Folder: C:\Windows\ShellServiceLog

startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:

Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Starte Microsoft Edge.
Klicke rechts oben auf Einstellungen und mehr (drei Punkte) und wähle Einstellungen aus.
Klicke links in der Spalte auf Einstellungen zurücksetzen.
Klicke auf Einstellugen auf Standardwerte zurücksetzen und bestätige mit Zurücksetzen.
Schließe Microsoft Edge.

Klicke auf Start > Einstellungen > Apps
Wähle Microsoft Edge aus und klicke auf Ändern.
Klicke auf Reparieren.
Folge den Anweisungen zur Reparatur und starte den Rechner zum Abschluss neu.





Schritt 3

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: MicrosoftWindowsUpdaterTask;WindowsUpdater1;ShellServiceLog

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 4

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Schritt 2 (Edge Reparatur) komme ich nicht weiter. Siehe Fehlermeldungen im Anhang.

Über den MS App Store könnte ich Edge neu herunterladen, also es wird mir "installieren" angeboten?!

Schritt 2-4 folgen entsprechend nach Anweisung betrefflich Edge...

Falls sinnvoll, bitte mal in meinen vorherigen post reinschauen, habe dort den einzigen Download und vorhandene Logs (Surfverhalten, Programmausführungen) der letzten Tage, gepostet.



Fixlog:

Ok, gut gemacht. :daumenhoc

Edge bitte neu installieren.

Danach weiter mit den Schritten 3 und 4.


Vielen Dank.

Edge wurde über den Microsoft App Store, installiert.


Fix log (Schritt 3):




FRST Log (Schritt 4):

Addition Log (Schritt 4):