Trojaner-Board - Bei mir auch seit 3 Tagen unter Win 10: TR/AD Firehooker.BU (Avira Pro)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bei mir auch seit 3 Tagen unter Win 10: TR/AD Firehooker.BU (Avira Pro) (https://www.trojaner-board.de/200031-mir-seit-3-tagen-win-10-tr-ad-firehooker-bu-avira-pro.html)

Das ist zu groß :(

Pack mal nur die Sachen in

C:\FRST\Quarantine\C\ProgramData\Package Cache
C:\FRST\Quarantine\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}

in eine ZIP.

Ich muss jetzt ins Bett.
Vielen vielen Dank bisher, ich hätte nicht gedacht, dass mir am Samstag abend quasi live geholfen wird!
Allergrößten Respekt und herzlichen Dank bisher.
Wir machen morgen weiter.

Robert

OK, das kriege ich heute noch hin.

Die Verzeichnisse gibt es nicht.
Das Quarantäne-Verzeichnis sieht so aus (screenshot von treesize), siehe Anhang.
Das sind 50 MB. Was würde das helfen?
Über nodejs bin ich schon gestolpert, VLC würde ich unkritisch sehen.
Mit Windows System32 und sysWOW64 kann ich nichts anfangen.

Diese online-live-Hilfe von/mit Dir macht mir Freude. Das tut gut und ist mal was anderes als drei Jungs (5, 8 und 12 Jahre).
Danke.

Zitat:

Zitat von rkunde (Beitrag 1740970)

Die Verzeichnisse gibt es nicht.

Dieses verdammte Windows mal wieder :balla:
Du musst dir alle Dateien anzeigen lassen. Der Windows-Explorer darf versteckte Dateien nicht ausblenden. Und auch geschützte Systemdateien müssen angezeigt werden.

OK.
Ich habe jetzt versteckte Dateien und Systemdateien eingeblendet (Ansicht und Optionen...)
Unter Quarantaine gibt es:
C\Program files\VideoLAN\VLC und darin die Datei npvlc.dll.xBAD
und unter WINDOWS gibt es
system32
und SysWOW64
wie vorhin auch.

Ich glaube ich höre jetzt für heute doch besser auf. Vielleicht ist jetzt der Wurm drin.
Ich lass morgen nochmal einen FRST-Scan laufen und poste das log-File.

Gute Nacht, Robert

Dann probieren wir das anders.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: cmd: mkdir %userprofile%\desktop\tmp cmd: copy C:\FRST\Quarantine\C\ProgramData\Package Cache\{582A2897-A965-4AB6-B00D-B43E5C294EA3}\{8187DE87-EA21-43F9-A394-C3C5730DE9E7} "%userprofile%\desktop\tmp" cmd: copy C:\FRST\Quarantine\C\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}\{F842EBAC-A209-42A6-9C0C-753685B9D88C} "%userprofile%\desktop\tmp" End::
Starte nun FRST und klicke direkt den Reparieren Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Guten Morgen,

ich glaube, ich habe das Rätsel gelöst.
Mir ist eingefallen, dass ich gestern abend - ich glaube nach dem ersten FRST-Scan aber vor dem ersten fix - noch den AdwCleaner hab laufen lassen weil ich dessen log-File erzeugen wollte. Ich habe immer brav auf "weiter" geklickt und er hat 33 Files in Quarantäne geschoben. Da waren die Files dabei, die jetzt nicht mehr da sind wo sie hätten sein sollen.

Hier das lof von AdwCleaner:

Code:



# -------------------------------

# Malwarebytes AdwCleaner 8.0.7.0

# -------------------------------

# Build:    07-22-2020

# Database: 2020-07-20.1 (Local)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Clean

# -------------------------------

# Start:    10-03-2020

# Duration: 00:00:13

# OS:       Windows 10 Pro

# Cleaned:  37

# Failed:   4
 
 

***** [ Services ] *****
 

No malicious services cleaned.
 

***** [ Folders ] *****
 

Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion
 

***** [ Files ] *****
 

Deleted       C:\Windows\Installer\{3ADB4E73-985E-47BD-AEE6-16AB01634AD3}\{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}.XPI
 

***** [ DLL ] *****
 

No malicious DLLs cleaned.
 

***** [ WMI ] *****
 

No malicious WMI cleaned.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts cleaned.
 

***** [ Tasks ] *****
 

No malicious tasks cleaned.
 

***** [ Registry ] *****
 

Deleted       HKCU\Software\Lavasoft\Web Companion

Deleted       HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com

Deleted       HKCU\Software\csastats

Deleted       HKCU\Software\distromatic

Deleted       HKLM\Software\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}

Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion

Deleted       HKLM\Software\Wow6432Node\\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}

Deleted       HKLM\Software\Wow6432Node\\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}

Deleted       HKLM\System\CurrentControlSet\Services\EventLog\Application\chromium
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries cleaned.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs cleaned.
 

***** [ Firefox (and derivatives) ] *****
 

Deleted       Video Downloader professional - ffext_basicvideoext@startpage24

Deleted       Video Downloader professional - ffext_basicvideoext@startpage24

Deleted       Video Downloader professional - ffext_basicvideoext@startpage24
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs cleaned.
 

***** [ Hosts File Entries ] *****
 

No malicious hosts file entries cleaned.
 

***** [ Preinstalled Software ] *****
 

Deleted       Preinstalled.DellCommand|PowerManager   Folder   C:\Program Files\DELL\COMMANDPOWERMANAGER

Deleted       Preinstalled.DellCommand|PowerManager   Folder   C:\ProgramData\DELL\COMMANDPOWERMANAGER

Deleted       Preinstalled.DellCommand|PowerManager   Registry   HKLM\Software\Classes\CLSID\{80646CC0-651E-4EBD-BCDA-1A8E6CC4926A}

Deleted       Preinstalled.DellCommand|PowerManager   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{DDDAF4A7-8B7D-4088-AECC-6F50E594B4F5}

Deleted       Preinstalled.DellCommand|Update   Folder   C:\Program Files (x86)\DELL\COMMANDUPDATE

Deleted       Preinstalled.DellCommand|Update   Registry   HKLM\Software\Classes\CLSID\{A6F0A231-4510-4b00-A901-2EC89481C0B2}

Deleted       Preinstalled.DellCommand|Update   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{EC542D5D-B608-4145-A8F7-749C02BE6D94}

Deleted       Preinstalled.DellDataProtection   Folder   C:\Program Files\DELL\DELL DATA PROTECTION\SECURITY TOOLS

Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B72160B-9F67-47C0-858F-5A0074162148}

Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{2DC80C06-0687-5383-8B6B-2A9E50F53F64}

Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Ext\Preapproved\{2DC80C06-0687-5383-8B6B-2A9E50F53F64}

Deleted       Preinstalled.DellDataProtection   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Ext\Stats\{2DC80C06-0687-5383-8B6B-2A9E50F53F64}

Deleted       Preinstalled.DellDigitalDelivery   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{693A23FB-F28B-4F7A-A720-4C1263F97F43}

Deleted       Preinstalled.DellFoundationServices   Folder   C:\Program Files\DELL\DELL FOUNDATION SERVICES

Deleted       Preinstalled.DellFoundationServices   Folder   C:\ProgramData\DELL\DELL FOUNDATION SERVICES

Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files (x86)\DELL\SUPPORTASSISTAGENT

Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DELL\SUPPORTASSIST

Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\SUPPORTASSIST\CLIENT\TECHNICIANTOOLKIT

Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D25290FD-E9FD-4608-AB9E-EDD0E7935C05} 

Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D25290FD-E9FD-4608-AB9E-EDD0E7935C05} 

Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Dell SupportAssistAgent AutoUpdate

Deleted       Preinstalled.DellSupportAssistAgent   Task   C:\Windows\System32\Tasks\DELL SUPPORTASSISTAGENT AUTOUPDATE

Not Deleted   Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY

Not Deleted   Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT

Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE

Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE
 
 

*************************
 

[+] remove_file_ntuser

[+] remove_wingrouppolicy_registry

[+] remove_regKey_googleupdatepolicy

[+] Delete Tracing Keys

[+] Reset Winsock
 

*************************
 

AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]

AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

Logisch, dass Dein Copy-Skript die angegebenen Pfade nicht finden kann:

Code:



Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2020

durchgeführt von Robert (04-10-2020 07:10:35) Run:3

Gestartet von C:\Users\Robert\Desktop

Geladene Profile: Robert

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

cmd: mkdir %userprofile%\desktop\tmp

cmd: copy C:\FRST\Quarantine\C\ProgramData\Package Cache\{582A2897-A965-4AB6-B00D-B43E5C294EA3}\{8187DE87-EA21-43F9-A394-C3C5730DE9E7} "%userprofile%\desktop\tmp"

cmd: copy C:\FRST\Quarantine\C\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}\{F842EBAC-A209-42A6-9C0C-753685B9D88C} "%userprofile%\desktop\tmp"
 

*****************
 
 

========= mkdir %userprofile%\desktop\tmp =========
 
 

========= Ende von CMD: =========
 
 

========= copy C:\FRST\Quarantine\C\ProgramData\Package Cache\{582A2897-A965-4AB6-B00D-B43E5C294EA3}\{8187DE87-EA21-43F9-A394-C3C5730DE9E7} "%userprofile%\desktop\tmp" =========
 

Das System kann den angegebenen Pfad nicht finden.
 

========= Ende von CMD: =========
 
 

========= copy C:\FRST\Quarantine\C\WINDOWS\Installer\{591C92C6-8DFC-40DA-8B0E-80E0872F08CC}\{F842EBAC-A209-42A6-9C0C-753685B9D88C} "%userprofile%\desktop\tmp" =========
 

Das System kann den angegebenen Pfad nicht finden.
 

========= Ende von CMD: =========
 
 

==== Ende von Fixlog 07:10:35 ====

Ich bin mir jetzt recht sicher, dass ich die Schadsoftware los bin, jetzt müsste noch aufgeräumt werden und die Überbleibsel gelöscht werden.

Zwei Fragen habe ich noch:
Kann ich Avira wieder installieren? Ich habe die Pro-Version und der Software-Updater ist schon recht praktisch.
Wie kann ich mich bei Dir erkenntlich zeigen? Ich dachte an eine Spende.

Vielen Dank,
Robert

Bitte höre mit diesem Avira auf. Davon raten wir schon seit vielen Jahren von ab! Gleichzeitig hat Microsoft schon lange d.h. Windows 8 einen Virenscanner fest eingebaut.

adwcleaner bitte zwecks Kontrolle wiederholen

Hallo cosinus,
Danke, dass Du geantwortet hast. Wir waren heute unterwegs und ich bin gerade nach Hause gekommen.

Hier die logs von AdwCleaner von gerade eben:
Scan:

Code:



# -------------------------------

# Malwarebytes AdwCleaner 8.0.7.0

# -------------------------------

# Build:    07-22-2020

# Database: 2020-07-20.1 (Local)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Scan

# -------------------------------

# Start:    10-04-2020

# Duration: 00:00:29

# OS:       Windows 10 Pro

# Scanned:  31837

# Detected: 5
 
 

***** [ Services ] *****
 

No malicious services found.
 

***** [ Folders ] *****
 

No malicious folders found.
 

***** [ Files ] *****
 

Adware.DownloadProtect          C:\Windows\Installer\{3ADB4E73-985E-47BD-AEE6-16AB01634AD3}\{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}.XPI
 

***** [ DLL ] *****
 

No malicious DLLs found.
 

***** [ WMI ] *****
 

No malicious WMI found.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts found.
 

***** [ Tasks ] *****
 

No malicious tasks found.
 

***** [ Registry ] *****
 

No malicious registry entries found.
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries found.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs found.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries found.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs found.
 

***** [ Hosts File Entries ] *****
 

No malicious hosts file entries found.
 

***** [ Preinstalled Software ] *****
 

Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY 

Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT 

Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE 

Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE 
 
 

AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]

AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]

AdwCleaner[C01].txt - [6301 octets] - [03/10/2020 20:37:16]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S02].txt ##########

und Clean:

Code:



# -------------------------------

# Malwarebytes AdwCleaner 8.0.7.0

# -------------------------------

# Build:    07-22-2020

# Database: 2020-07-20.1 (Local)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Clean

# -------------------------------

# Start:    10-04-2020

# Duration: 00:00:05

# OS:       Windows 10 Pro

# Cleaned:  1

# Failed:   4
 
 

***** [ Services ] *****
 

No malicious services cleaned.
 

***** [ Folders ] *****
 

No malicious folders cleaned.
 

***** [ Files ] *****
 

Deleted       C:\Windows\Installer\{3ADB4E73-985E-47BD-AEE6-16AB01634AD3}\{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}.XPI
 

***** [ DLL ] *****
 

No malicious DLLs cleaned.
 

***** [ WMI ] *****
 

No malicious WMI cleaned.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts cleaned.
 

***** [ Tasks ] *****
 

No malicious tasks cleaned.
 

***** [ Registry ] *****
 

No malicious registry entries cleaned.
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries cleaned.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs cleaned.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries cleaned.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs cleaned.
 

***** [ Hosts File Entries ] *****
 

No malicious hosts file entries cleaned.
 

***** [ Preinstalled Software ] *****
 

Not Deleted   Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY

Not Deleted   Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT

Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE

Not Deleted   Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE
 
 

*************************
 

[+] remove_file_ntuser

[+] remove_wingrouppolicy_registry

[+] remove_regKey_googleupdatepolicy

[+] Delete Tracing Keys

[+] Reset Winsock
 

*************************
 

AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]

AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]

AdwCleaner[C01].txt - [6301 octets] - [03/10/2020 20:37:16]

AdwCleaner[S02].txt - [2019 octets] - [04/10/2020 16:00:57]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########

adwcleaner bitte zwecks Kontrolle wiederholen

Ich habe vorhin mal den Windows-Virenscanner vollständig laufen lassen. Der hat mich nur wegen minitool-partition-wizzard gewarnt.
Der AdwCleaner hat die Datenbank aktualisiert und nur noch drei vorinstallierte Sachen von Dell gefunden, ansonsten sagte er: "Sie sind frei von PUP und Adware", siehe scan-log:

Code:



# -------------------------------

# Malwarebytes AdwCleaner 8.0.7.0

# -------------------------------

# Build:    07-22-2020

# Database: 2020-07-20.1 (Local)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Scan

# -------------------------------

# Start:    10-04-2020

# Duration: 00:00:49

# OS:       Windows 10 Pro

# Scanned:  31837

# Detected: 4
 
 

***** [ Services ] *****
 

No malicious services found.
 

***** [ Folders ] *****
 

No malicious folders found.
 

***** [ Files ] *****
 

No malicious files found.
 

***** [ DLL ] *****
 

No malicious DLLs found.
 

***** [ WMI ] *****
 

No malicious WMI found.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts found.
 

***** [ Tasks ] *****
 

No malicious tasks found.
 

***** [ Registry ] *****
 

No malicious registry entries found.
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries found.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs found.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries found.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs found.
 

***** [ Hosts File Entries ] *****
 

No malicious hosts file entries found.
 

***** [ Preinstalled Software ] *****
 

Preinstalled.DellDigitalDelivery   Folder   C:\Program Files (x86)\DELL DIGITAL DELIVERY 

Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files\DELL\SUPPORTASSISTAGENT 

Preinstalled.DellUpdateforWindows10   Folder   C:\Program Files (x86)\DELL\UPDATESERVICE 

Preinstalled.DellUpdateforWindows10   Folder   C:\ProgramData\DELL\UPDATESERVICE 
 
 

AdwCleaner[S00].txt - [5894 octets] - [03/10/2020 20:34:13]

AdwCleaner[S01].txt - [5955 octets] - [03/10/2020 20:36:33]

AdwCleaner[C01].txt - [6301 octets] - [03/10/2020 20:37:16]

AdwCleaner[S02].txt - [2019 octets] - [04/10/2020 16:00:57]

AdwCleaner[C02].txt - [2337 octets] - [04/10/2020 16:01:37]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S03].txt ##########

Ich denke, ich bin den Trojaner los. Gibt es noch etwas aufzuräumen?
Und kann ich dem Board etwas spenden?

VG, Robert

Kontrollscans mit Malwarebytes + RogueKiller bitte.

Malwarebytes log:

Code:



Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 04.10.20

Scan-Zeit: 21:12

Protokolldatei: 868f589c-0675-11eb-bb40-34e6d7178cac.json
 

-Softwaredaten-

Version: 4.2.1.89

Komponentenversion: 1.0.1045

Version des Aktualisierungspakets: 1.0.30786

Lizenz: Testversion
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 19041.546)

CPU: x64

Dateisystem: NTFS

Benutzer: OBELIXWIN10\Robert
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 364532

Erkannte Bedrohungen: 11

In die Quarantäne verschobene Bedrohungen: 0

Abgelaufene Zeit: 4 Min., 24 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 2

PUP.Optional.DownloadProtectExtension, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}, Keine Aktion durch Benutzer, 6962, 237883, , , , , , 

PUP.Optional.DownloadProtectExtension, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{25F217EE-D3B0-4EA1-BD22-6FC99A3BFFCB}, Keine Aktion durch Benutzer, 6962, 237883, 1.0.30786, , ame, , , 
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 2

PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{321CD23F-6D4C-4C41-AE01-40DD3BBFC5C2}, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , , 

PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{D1C1D1B6-734E-426C-AE8B-D21FE019182B}, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , , 
 

Datei: 7

PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{321CD23F-6D4C-4C41-AE01-40DD3BBFC5C2}\cmehdidckclhdkddfbilfhgbdggnapdgdrx, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , F1FE4B3EB854B1EDB7024EAB058FD358, 7AB828C1F122A52E1C5144FEE889D2C23177744449C87C78889FE8DD5DE7C22B

PUP.Optional.DownloadProtect, C:\Windows\Installer\{321CD23F-6D4C-4C41-AE01-40DD3BBFC5C2}\xmehdidckclhdkddfbilfhgbdggnapdgdml, Keine Aktion durch Benutzer, 57, 237878, , , , , A9A15D4F736AEA9BA71D54D0231583F3, 077FD943EFECB2D32A203EF36DA5CFB6A40AA2BAD7521C4A307D948974504654

PUP.Optional.DownloadProtect, C:\WINDOWS\INSTALLER\{D1C1D1B6-734E-426C-AE8B-D21FE019182B}\cdhelplmemeohigigiopbmeliccknebierx, Keine Aktion durch Benutzer, 57, 237878, 1.0.30786, , ame, , 824194B407D8D45DE563CA8C41D7ED67, 4AEA6E3986197392C728E921E51EA8F332A81E7299AA86A085E04004B4C067A6

PUP.Optional.DownloadProtect, C:\Windows\Installer\{D1C1D1B6-734E-426C-AE8B-D21FE019182B}\xdhelplmemeohigigiopbmeliccknebieml, Keine Aktion durch Benutzer, 57, 237878, , , , , EEDDBBA9C265A03262515EB4521C3BF7, A2BD168AC06246B7E64E5BBC451C0A8B767DFDB7D911367CE6947007F0E2256B

PUP.Optional.PrivacyFF, C:\USERS\ROBERT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2T9XJOFE.DEFAULT\EXTENSIONS\FIREFOX@SMARTTUBE.IO.XPI, Keine Aktion durch Benutzer, 4565, 751087, 1.0.30786, , ame, , 738709248C420FF5FE4BAAB06B057B46, 3CF79106260F050D985B7A92DFB3B40E00022A79273F79F66DE8B6C9CE2C4B8F

PUP.Optional.Conduit, C:\USERS\ROBERT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2T9XJOFE.DEFAULT\PREFS.JS, Keine Aktion durch Benutzer, 193, 301520, 1.0.30786, , ame, , 374592B6F95F84B74158D089AE54FBC4, E7C8D6EA07F38568425475146A4CCD331B780BEA5DA657D5BC9DCE22C2DFF496

Generic.Malware/Suspicious, C:\USERS\ROBERT\DOWNLOADS\AUDIOGRABBER183-2020.EXE, Keine Aktion durch Benutzer, 0, 392686, 1.0.30786, , shuriken, , 537B8119634342D1CFB0F2CAF16AC1D2, 3B4692435648F892B59C1CF1C293208CDD41D4C75546C9F955710473C4E19851
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

und RogueKiller-log:

Code:



RogueKiller Anti-Malware V14.7.3.0 (x64) [Sep 15 2020] (Free) von Adlice Software

Mail : https://adlice.com/contact/

Website : https://adlice.com/download/roguekiller/

Betriebssystem : Windows 10 (10.0.19041) 64 bits

Gestartet in : Normaler Modus

Benutzer : Robert [Administrator]

Gestartet von : C:\Users\Robert\Desktop\RogueKiller_portable64.exe

Signaturen : 20201001_073512, Treiber : Geladen

Modus : Standard-Scan, Scannen -- Datum : 2020/10/04 21:21:32 (Dauer : 00:10:32)
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> XX - Software

  [PUP.Gen1 (Potenziell bösartig)] (X64) HKEY_USERS\S-1-5-21-2767252197-2493505942-3909642483-1000\Software\OCS -- N/A -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

>>>>>> Firefox Config

  [PUM.SearchEngine (Potenziell bösartig)] browser.search.defaultenginename (C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\2t9xjofe.default\prefs.js) -- BingÂ® -> Gefunden

  [PUM.SearchEngine (Potenziell bösartig)] browser.search.selectedEngine (C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\2t9xjofe.default\prefs.js) -- BingÂ® -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Anti-Rootkit : 0 (Driver: Geladen) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ist doch noch etwas an Bord?

Zitat:

Keine Aktion durch Benutzer

Bitte die Anleitung zu Malwarebytes auch richtig lesen und umsetzen