Trojaner-Board
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus bei Öffnung von Firefox (https://www.trojaner-board.de/208941-virus-offnung-firefox.html)

lgoessinger 27.03.2024 16:52
Das hat ca. 10 Minuten gut geklappt, dann ist die Reparatur mit "Keine Rückmeldung" stehen geblieben - beim Löschen von Dateien: C:\Users\lgoes\AppData\Local\Temp

M-K-D-B 27.03.2024 17:02
Zitat:
Zitat von lgoessinger (Beitrag 1780563)
Das hat ca. 10 Minuten gut geklappt, dann ist die Reparatur mit "Keine Rückmeldung" stehen geblieben - beim Löschen von Dateien: C:\Users\lgoes\AppData\Local\Temp
Das ist nicht stehen geblieben... das läuft im Hintergrund weiter... einfach Geduld aufbringen und warten... nach dem Neustart die Logdatei fixlog.txt für cosinus posten.

lgoessinger 27.03.2024 17:15
Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 25.03.2024
durchgeführt von lgoes (27-03-2024 17:03:28) Run:2
Gestartet von C:\Users\lgoes\Desktop
Geladene Profile: lgoes
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
CloseProcesses:
FF Extension: (Adaware Secure Search) - C:\Users\lgoes\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\@newtab-omni.xpi [2019-09-23]
FF HKLM\...\Firefox\Extensions: [{381f21b1-95bf-4042-bc5c-3a40b2a03f10}] - C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi
FF Extension: (Francezon) - C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi [2019-07-29]
FF HKLM-x32\...\Firefox\Extensions: [{381f21b1-95bf-4042-bc5c-3a40b2a03f10}] - C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi
C:\Program Files (x86)\Francezon
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Beschränkung <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
EmptyTemp:
End::
*****************

Prozesse erfolgreich geschlossen.
"C:\Users\lgoes\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\@newtab-omni.xpi" => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{381f21b1-95bf-4042-bc5c-3a40b2a03f10}" => erfolgreich entfernt
"C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{381f21b1-95bf-4042-bc5c-3a40b2a03f10}" => erfolgreich entfernt
"C:\Program Files (x86)\Francezon" => nicht gefunden
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => Wert erfolgreich wiederhergestellt
"C:\WINDOWS\system32\GroupPolicy\Machine" => nicht gefunden
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Mozilla => nicht gefunden

=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14834938 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 151951 B
Edge => 0 B
Firefox => 92002790 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12126 B
NetworkService => 13292 B
Nun lag auf dem Desktop doch die Fixlog-Datei. Ich habe die Reparatur bereits vorher nochmals gestartet. Außerdem auch die folgende Datei auf den Desktop...?

Code:
CloseProcesses:
FF Extension: (Adaware Secure Search) - C:\Users\lgoes\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\@newtab-omni.xpi [2019-09-23]
FF HKLM\...\Firefox\Extensions: [{381f21b1-95bf-4042-bc5c-3a40b2a03f10}] - C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi
FF Extension: (Francezon) - C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi [2019-07-29]
FF HKLM-x32\...\Firefox\Extensions: [{381f21b1-95bf-4042-bc5c-3a40b2a03f10}] - C:\Program Files (x86)\Francezon\ff\francezon-1.0.0-fx.xpi
C:\Program Files (x86)\Francezon
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Beschränkung <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
EmptyTemp:
Außerdem habe ich den PC neu gestartet.

cosinus 27.03.2024 19:20
Kontrollscans mit MBAM und RK
Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

lgoessinger 27.03.2024 21:00
Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 27.03.2024
Scan-Zeit: 20:25
Protokolldatei: b60c3c00-ec6f-11ee-a640-f44d30d0d4ac.json

-Softwaredaten-
Version: 5.1.1.106
Komponentenversion: 1.0.1204
Version des Aktualisierungspakets: 1.0.82680
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.4170)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-FFO3FHH\lgoes

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 262377
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 3 Min., 11 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Code:
Program            : RogueKiller Anti-Malware
Version            : 15.15.3.0
x64                : Yes
Program Date      : Mar 11 2024
Location          : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System  : Windows 10 (10.0.19045) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User              : lgoes
User is Admin      : Yes
Date              : 2024/03/27 19:54:26
Type              : Scan
Aborted            : No
Scan Mode          : Standard
Duration          : 1416
Found items        : 4
Total scanned      : 120950
Signatures Version : 20240326_103025
Truesight Driver  : Yes
Updates Count      : 18
Arguments          : -minimize

************************* Warnings *************************

************************* Updates *************************
7-Zip 22.01 (x64) (64-bit), version 22.01
  [+] Available Version        : 23.01
  [+] Size                    : 5735424
  [+] Wow6432                  : No
  [+] Portable                : No
  [+] update_location          : C:\Program Files\7-Zip\

GIMP 2.10.22 (64-bit), version 2.10.22
  [+] Available Version        : 2.10.36
  [+] Size                    : 1186609152
  [+] Wow6432                  : No
  [+] Portable                : No
  [+] update_location          : C:\Program Files\GIMP 2\

VLC media player (64-bit), version 3.0.14
  [+] Available Version        : 3.0.20
  [+] Size                    : 0
  [+] Wow6432                  : No
  [+] Portable                : No
  [+] update_location          : C:\Program Files\VideoLAN\VLC

PDF24 Creator 11.16.0 (64-bit), version 11.16.0
  [+] Available Version        : 11.17.0
  [+] Size                    : 925223936
  [+] Wow6432                  : No
  [+] Portable                : No
  [+] update_location          : C:\Program Files\PDF24\

Microsoft Edge (32-bit), version 122.0.2365.92
  [+] Available Version        : 123.0.2420.53
  [+] Size                    : 0
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\Microsoft\Edge\Application

Winamp (32-bit), version 5.8
  [+] Available Version        : 5.666
  [+] Size                    : 0
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\Winamp

WinSCP 5.21.2 (32-bit), version 5.21.2
  [+] Available Version        : 6.3.2
  [+] Size                    : 103327744
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\WinSCP\

Microsoft 365 - de-de (64-bit), version 16.0.17425.20070
  [+] Available Version        : 16.0.17514.20000
  [+] Size                    : 0
  [+] Wow6432                  : No
  [+] Portable                : No
  [+] update_location          : C:\Program Files\Microsoft Office

Windows-PC-Integritätsprüfung (64-bit), version 3.6.2204.08001
  [+] Available Version        : 3.9.2402.14001
  [+] Size                    : 12225536
  [+] Wow6432                  : No
  [+] Portable                : No

HP OfficeJet 3830 series - Grundlegende Software für das Gerät (64-bit), version 40.11.1119.1786
  [+] Available Version        : 49.10.4647.21322
  [+] Size                    : 246483968
  [+] Wow6432                  : No
  [+] Portable                : No

Mein CEWE FOTOBUCH (64-bit), version 7.0.1
  [+] Available Version        : 7.4.2
  [+] Size                    : 716405760
  [+] Wow6432                  : No
  [+] Portable                : No
  [+] update_location          : C:\Program Files\CEWE\Mein CEWE FOTOBUCH

TomTom MyDrive Connect 4.3.5.5012 (32-bit), version 4.3.5.5012
  [+] Available Version        : 4.4.0.5040
  [+] Size                    : 0
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Users\lgoes\MyDrive Connect

Synology Assistant (remove only) (32-bit), version 6.2-24922
  [+] Available Version        : 7.0.50029
  [+] Size                    : 0
  [+] Wow6432                  : Yes
  [+] Portable                : No

VideoPad Video-Editor (32-bit), version 12.35
  [+] Available Version        : 16.10
  [+] Size                    : 19105792
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\NCH Software\VideoPad

VR-NetWorld Software (32-bit), version 8.02.11
  [+] Available Version        : 8.05.11
  [+] Size                    : 143975424
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\VR-NetWorld\

VR-NetWorld Software (32-bit), version 7.21.12
  [+] Available Version        : 8.05.11
  [+] Size                    : 140272640
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\VR-NetWorld\

Extended Asian Language font pack for Adobe Acrobat Reader DC (32-bit), version 19.021.20058
  [+] Available Version        : 22.001.20085
  [+] Size                    : 122468352
  [+] Wow6432                  : Yes
  [+] Portable                : No
  [+] update_location          : C:\Program Files (x86)\Adobe\Acrobat Reader DC\

GoTo Opener (32-bit), version 1.0.539
  [+] Available Version        : 1.0.564
  [+] Size                    : 360448
  [+] Wow6432                  : Yes
  [+] Portable                : No


************************* Processes *************************

************************* Modules *************************

************************* Services *************************

************************* Scheduled Tasks *************************

************************* Registry *************************
>>>>>> XX - Software
└── [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-3104855895-1191344916-406913122-1005\Software\OCS -- N/A -> Gefunden
>>>>>> O87 - Firewall
├── [Suspicious.Path (Potenziell bösartig)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{099217E6-D7D8-4BB9-8859-A472D7EA501B}C:\users\lgoes\appdata\local\temp\7zs114f\enterprisedu.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|Profile=Public|App=C:\users\lgoes\appdata\local\temp\7zs114f\enterprisedu.exe|Name=enterprisedu.exe|Desc=enterprisedu.exe|Defer=User| (missing) -> Gefunden
└── [Suspicious.Path (Potenziell bösartig)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{ABABB36F-A29A-44B5-9B02-03D482665E8B}C:\users\lgoes\appdata\local\temp\7zs114f\enterprisedu.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|Profile=Public|App=C:\users\lgoes\appdata\local\temp\7zs114f\enterprisedu.exe|Name=enterprisedu.exe|Desc=enterprisedu.exe|Defer=User| (missing) -> Gefunden

************************* WMI *************************

************************* Hosts File *************************
is_too_big      : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts


************************* Filesystem *************************
[MalPE.99|Cloud.Generic (Bösartig)] (file) lmrtl.dll -- C:\Program Files (x86)\BlazeVideo\BlazePhoto 2.0\lmrtl.dll -> Gefunden

************************* Web Browsers *************************

************************* Antirootkit *************************

cosinus 27.03.2024 21:08
Diesen Ordner

Zitat:
C:\Program Files (x86)\BlazeVideo
manuell löschen. Ansten geh mal selbst das letzte Log durch. Du hast ne sehr schlechte Systempflege, da sind viele Programme nicht mehr aktuell.

lgoessinger 27.03.2024 21:28
Ich habe jetzt einige Programme unter C und unter Einstellungen: Apps + Features gelöscht/deinstalliert.
Der Francezon ist bei den Apps immer noch vorhanden und lässt sich nicht löschen.

cosinus 27.03.2024 21:42
Damit wirst du schon leben können. Der Programmordner ist jedenfalls weg.

Dann wären wir durch!

Wenn Du möchtest, kannst Du das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen.

Abschließend unbedingt unsere Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

lgoessinger 27.03.2024 21:47
Dann sage ich an dieser Stelle ganz, ganz herzlichen Dank und bitte um Verständnis, wenn ein alter Mann (70 J.) nicht ganz so schnelle war.
Die abschließenden Sicherheitsmaßnahmen werde ich morgen noch umsetzen.
Vielen Dank!

M-K-D-B 28.03.2024 10:19
Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:35 Uhr.
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130