Trojaner-Board - Laptop: Klick hat suspekte URL in neuem Tab geöffnet & sofort geschlossen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Laptop: Klick hat suspekte URL in neuem Tab geöffnet & sofort geschlossen (https://www.trojaner-board.de/199994-laptop-klick-hat-suspekte-url-neuem-tab-geoeffnet-sofort-geschlossen.html)

Nee, ist alles auf Standard mit Auto-Updates belassen.
Habe jetzt mal manuell nachgesehen: Sollte wohl "Funktionsupdate Windows 10, Version 2004" laden?

Ja das machen wir wenn wir durch sind

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: AV: Norton Security Ultra (Disabled - Out of date) {A2708B76-6835-6565-CB96-694212954A75} S3 QALSvc; "C:\Program Files\Acer\Quick Access Service\QALSvc.exe" [X] S3 QASvc; "C:\Program Files\Acer\Quick Access Service\QASvc.exe" [X] S3 UEIPSvc; "C:\Program Files\Acer\User Experience Improvement Program Service\Framework\UBTService.exe" [X] C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh C:\ProgramData\Avira C:\Program Files (x86)\Avira cmd: netsh advfirewall reset emptytemp: End::
Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 23-09-2020

durchgeführt von danie (28-09-2020 20:13:42) Run:1

Gestartet von C:\Users\danie\Desktop

Geladene Profile: danie

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

AV: Norton Security Ultra (Disabled - Out of date) {A2708B76-6835-6565-CB96-694212954A75}

S3 QALSvc; "C:\Program Files\Acer\Quick Access Service\QALSvc.exe" [X]

S3 QASvc; "C:\Program Files\Acer\Quick Access Service\QASvc.exe" [X]

S3 UEIPSvc; "C:\Program Files\Acer\User Experience Improvement Program Service\Framework\UBTService.exe" [X]

C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll

C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh

C:\ProgramData\Avira

C:\Program Files (x86)\Avira

cmd: netsh advfirewall reset

emptytemp:
 

*****************
 

"AV: Norton Security Ultra (Disabled - Out of date) {A2708B76-6835-6565-CB96-694212954A75}" => erfolgreich entfernt

HKLM\System\CurrentControlSet\Services\QALSvc => erfolgreich entfernt

QALSvc => Dienst erfolgreich entfernt

HKLM\System\CurrentControlSet\Services\QASvc => erfolgreich entfernt

QASvc => Dienst erfolgreich entfernt

HKLM\System\CurrentControlSet\Services\UEIPSvc => erfolgreich entfernt

UEIPSvc => Dienst erfolgreich entfernt

C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll => erfolgreich verschoben

C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh => erfolgreich verschoben

C:\ProgramData\Avira => erfolgreich verschoben

C:\Program Files (x86)\Avira => erfolgreich verschoben
 

========= netsh advfirewall reset =========
 

OK.
 
 

========= Ende von CMD: =========
 
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 10510336 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20156034 B

Java, Flash, Steam htmlcache => 14789034 B

Windows/system/drivers => 3313591 B

Edge => 841294 B

Chrome => 655617016 B

Firefox => 290048340 B

Opera => 245266395 B
 

Temp, IE cache, history, cookies, recent:

Default => 0 B

Users => 0 B

ProgramData => 0 B

Public => 0 B

systemprofile => 0 B

systemprofile32 => 0 B

LocalService => 121568 B

NetworkService => 132876 B

danie => 13442682 B

linda => 59558242 B
 

RecycleBin => 129159 B

EmptyTemp: => 1.2 GB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 20:15:12 ====

Kontrollscans mit Malwarebytes + RogueKiller bitte.

MBAM:

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 28.09.20

Scan-Zeit: 20:49

Protokolldatei: 5a8a199e-01bb-11eb-aefa-08979898a130.json
 

-Softwaredaten-

Version: 4.2.1.89

Komponentenversion: 1.0.1045

Version des Aktualisierungspakets: 1.0.30528

Lizenz: Testversion
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 18362.1082)

CPU: x64

Dateisystem: NTFS

Benutzer: LAPTOP-B47RHF27\danie
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 313503

Erkannte Bedrohungen: 3

In die Quarantäne verschobene Bedrohungen: 3

Abgelaufene Zeit: 1 Min., 48 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 3

PUP.Optional.Appwork, C:\$RECYCLE.BIN\S-1-5-21-4165012818-4011483446-4269914933-1001\$RK30Y7Y.EXE, In Quarantäne, 8566, 733047, 1.0.30528, , ame, , 58D300BC732B9B305CC5C015A3B025CF, 08B9F7A334E2AE3E804350D779F75331CB7D9BE737BC0F7F85126EF2E4BA1400

PUP.Optional.ChipDe, C:\$RECYCLE.BIN\S-1-5-21-4165012818-4011483446-4269914933-1001\$RTOGO3H.EXE, In Quarantäne, 596, 562568, 1.0.30528, , ame, , D878A2AA724B934E2B5C23C97991C644, 37A9509AD438F896EFE961EF34C61D70EE3116364A8CB1CABD59A07D326FF07F

PUP.Optional.ChipDe, C:\$RECYCLE.BIN\S-1-5-21-4165012818-4011483446-4269914933-1001\$RHJM8P6.EXE, In Quarantäne, 596, 562568, 1.0.30528, , ame, , 00B0EC42C7F39EAE114EDC581F935A06, 65D4B7F8A5E307DA96A5E0C2CC089ACD6D32C0C9A7EC6FDB624C74B0C10542F2
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Rogue:

Code:

RogueKiller Anti-Malware V14.7.3.0 (x64) [Sep 15 2020] (Free) von Adlice Software

Mail : https://adlice.com/contact/

Website : https://adlice.com/download/roguekiller/

Betriebssystem : Windows 10 (10.0.18362) 64 bits

Gestartet in : Normaler Modus

Benutzer : danie [Administrator]

Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe

Signaturen : 20200928_062354, Treiber : Geladen

Modus : Standard-Scan, Scannen -- Datum : 2020/09/28 20:54:51 (Dauer : 00:04:35)

Switches : -minimize
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> XX - Software

  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-4165012818-4011483446-4269914933-1001\Software\OCS -- N/A -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[PUP.Gen1 (Potenziell bösartig)] (folder) simplitec -- C:\ProgramData\simplitec -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> Firefox Addon

  [PUP.AmazonAssistant (Potenziell bösartig)] <Unknown> (C:\Program Files\Mozilla Firefox\distribution\extensions\abb-acer@amazon.com.xpi) -- abb-acer@amazon.com -> Gefunden

>>>>>> Chrome Addon

  [PUP.Gen0 (Potenziell bösartig)] Video Downloader professional (C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ELICPJ~1) -- elicpjhcidhpjomhibiffojpinpmmpil -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Also rogue ist da ein wenig empfindlich. Die ersten beiden fidnet der auf JEDEM Windows :eek:

Das mit Firefox ist eine User-Sache. AmazonAssi und VideoDownloader ist sicher nicht kriegsentscheidend. Ich würds weghauen.

Amazon und Video-Kram sind entfernt.

Klingt aber eigentlich ganz gut, wenn ich das bisher richtig verstehe, und nicht so als hätte ich mir da gestern was eingefangen. :)

Naja ein bisschen was zum Aufräumen hat man immer :D

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Besten Dank, ich lade jetzt erstmal das Windows Update Version 2004 und spende was!

Eine Frage, falls du dich da zufällig auch auskennen solltest: Gibt es auf Desktop PC noch so Scams, die hinter Links/Klickfallen kostenpflichtige Verbindungen legen? Das war vor Ewigkeiten noch ein Thema, mittlerweile nicht mehr (glaube ich).

Was ein falscher Klick Nerven kostet....

Du meinst Dialer? Sowas gibt es schon ewig nicht mehr, v.a. weil die Dialer auf ISDN oder Analog-Modem angewiesen sind.

Ach, genau! So hießen die Dinger. Dann ist das hoffentlich nochmal gut ausgegangen.