Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   js adware revizer b (https://www.trojaner-board.de/195377-js-adware-revizer-b.html)

twitchuser 16.04.2019 19:54
js adware revizer b
 
Hallo und Herzlichen Dank, dass Ihr hier über js adware revizer b berichtet. Leider ist es mir noch nicht gelungen, diese Bedrohung zu entfernen.

Malwarebytes und Eset Security finden nichts. Auch das Microsoft Windows-Tool zum Entfernen von bösartiger Software brachte keine Besserung.
Kann sich jemand bitte meinem Problem annehmen ? TS und Discord vorhanden.

Herzlichen Dank.

M-K-D-B 16.04.2019 19:59
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Zitat:
Zitat von twitchuser (Beitrag 1715485)
Hallo und Herzlichen Dank, dass Ihr hier über js adware revizer b berichtet. Leider ist es mir noch nicht gelungen, diese Bedrohung zu entfernen.

Malwarebytes und Eset Security finden nichts. Auch das Microsoft Windows-Tool zum Entfernen von bösartiger Software brachte keine Besserung.
Hat überhaupt irgend ein Programm diese Adware entdeckt? Wenn ja, bitte die Logdateien dazu posten.
Welche Probleme zeigen sich genau? Gibt es Probleme mit dem Internet Browser?



Zitat:
Zitat von twitchuser (Beitrag 1715485)
Kann sich jemand bitte meinem Problem annehmen ? TS und Discord vorhanden.
Ich kann mich deinem Problem annehmen.

Wir helfen nicht per TS/Discord, sondern nur hier über das Forum (denn dafür ist es ja da).




Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?







Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
  • Starte FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
  • Poste mir die FRST.txt und die Addition.txt in deinem Thema (#-Symbol im Eingabefenster der Webseite anklicken).







Bitte poste mit deiner nächsten Antwort
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

twitchuser 17.04.2019 05:47
Hallo Matthias

https://i.imgur.com/CfMVSKm.png

Das ist die einzige Meldung die kommt, wenn ich eine Webseite aufrufe oder in Twitch unterwegs bin. Oder einen neuen Tab öffne und dort einen Link wie imgur eingebe.

Herzlichen Dank.

M-K-D-B 17.04.2019 09:19
Zitat:
Zitat von twitchuser (Beitrag 1715492)
https://i.imgur.com/CfMVSKm.png

Das ist die einzige Meldung die kommt, wenn ich eine Webseite aufrufe oder in Twitch unterwegs bin. Oder einen neuen Tab öffne und dort einen Link wie imgur eingebe.
Dass die Meldung von ESET, deinem AV-Programm, kommt, siehst du ja selbst.
Es könnte sich um einen Fehlalarm handeln oder Google Chrome bzw. dein Rechner ist infiziert und ESET erkennt die Malware lokal nicht auf deinem Rechner, warnt aber davor, weil Chrome eine Verbindung zu einer unerwünschten Seite aufbauen möchte.


Allerdings bin ich mir nicht ganz klar, welche Art von Hilfe du von mir jetzt erwartest :wtf: , zumal du auf den zweiten Teil meines Postes nicht eingegangen bist. ;)

Entweder du führst FRST wie in meinem letzten Post beschrieben aus und wir analysieren und ggf. bereinigen den Rechner nach meiner Anleitung oder eben nicht und dieses Thema ist damit beendet.
Das liegt ganz bei dir. :)

twitchuser 17.04.2019 15:07
Zitat:
Zitat von M-K-D-B (Beitrag 1715503)
zumal du auf den zweiten Teil meines Postes nicht eingegangen bist. ;)
Verzeih mir bitte. Hab den zweiten Teil total übersehen.

Diese Meldung bekomme ich, wenn ich die Anwendung FRST starten möchte.

Der Computer wurde durch Windows geschützt
Von Windows Defender SmartScreen wurde der Start einer unbekannten App verhindert. Die Ausführung dieser App stellt u. U. ein Risiko für den PC dar.

M-K-D-B 17.04.2019 18:09
Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.

;)

twitchuser 17.04.2019 23:18
Liste der Anhänge anzeigen (Anzahl: 2)
https://www.trojaner-board.de/attachment.php?attachmentid=82419&stc=1&d=1555539352

https://www.trojaner-board.de/attachment.php?attachmentid=82420&stc=1&d=1555539368

M-K-D-B 18.04.2019 16:22
Der Verdacht liegt nahe, dass eine deiner CHR-Erweiterungen die Probleme verursacht.







Schritt 1
Wie ich den Logdateien entnehmen kann, hast du bereits AdwCleaner ausgeführt.
Reiche mir bitte die Logatei von AdwCleaner nach (du sollst keinen neuen Suchlauf ausführen, sondern nur die alte Logdatei des Suchlaufs posten).

Zitat:
CHR Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\u-pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2019-04-04]
CHR Extension: (AdBlock) - C:\Users\u-pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2019-04-12]
Wie kommst du auf die sinnlose Idee, zwei Werbeblocker zu installieren? In AdBlock werden bestimmte Werbungen nicht blockiert, daher kann ich nur davon abraten.

Wenn du schon einen Werbeblocker installierst, solltest du wenigstens den besten nehmen:
uBlock origin








Schritt 2
  • Starte Google Chrome.
  • Gib oben in die Adresszeile chrome://extensions ein und drücke Enter
  • Es werden alle Erweiterungen aufgelistet.
  • Entferne die folgenden Erweiterungen, indem du auf Entfernen klickst:
    • The FFZ Add-On Pack
    • BetterTTV
    • FrankerFaceZ
    • Adblock Plus
    • AdBlock
  • Bestätige mit Entfernen.
  • Schließe Google Chrome.







Schritt 3
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    CustomCLSID: HKU\S-1-5-21-807845029-2928975163-168087748-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\u-pc\AppData\Local\Microsoft\OneDrive\18.111.0603.0004\amd64\FileSyncShell64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-807845029-2928975163-168087748-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\u-pc\AppData\Local\Microsoft\OneDrive\18.111.0603.0004\amd64\FileSyncShell64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-807845029-2928975163-168087748-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\u-pc\AppData\Local\Microsoft\OneDrive\18.111.0603.0004\amd64\FileSyncShell64.dll => Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Keine Datei
    ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Keine Datei
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Keine Datei
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Keine Datei
    ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    RemoveProxy:
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • die Logdatei von AdwCleaner,
  • eine Rückmeldung bezüglich der Entfernung der Chrome-Erweiterungen,
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

twitchuser 18.04.2019 18:48
Liste der Anhänge anzeigen (Anzahl: 4)
eine Rückmeldung bezüglich der Entfernung der Chrome-Erweiterungen

Erweiterungen wurden entfernt

---------------------------------------------------------------------------------
Entferne die folgenden Erweiterungen, indem du auf Entfernen klickst:
The FFZ Add-On Pack
BetterTTV
FrankerFaceZ
Adblock Plus
AdBlock
---------------------------------------------------------------------------------

M-K-D-B 18.04.2019 19:55
Bitte Chrome zurücksetzen.




Meldet ESET nun immer noch die Adware?

twitchuser 18.04.2019 21:33
Hallo Matthias

Ich hätte gleich mitteilen sollen, dass das Problem mit der Meldung nach Ausführen des Schrittes 2, nicht mehr aufgetreten ist.

Google Chrome wurde nach dem Ausführen von Schritt 3, zurück gesetzt.

Herzlichen Dank für die Hilfe :heilig:

M-K-D-B 18.04.2019 21:42
Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    DeleteQuarantine:
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

M-K-D-B 21.04.2019 10:45
Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131