Windows 10: audacity.de Installer NOCH in der Ausführung. Soll ich ihn schließen? PC Neustarten?
 

Hallo allerseits,

ich recherchiere eigentlich immer bevor ich etwas downloade... dieses Mal habe ich vorschnell geklickt. Jetzt habe ich den Salat: audacity.de scheint bekanntermaßen eine fake Seite zu sein. Windows Defender schlägt bei einer Schnellüberprüfung nicht an, auch wenn ich jetzt den Installer gezielt prüfe. Ich habe den Installer audacity-win3.0.0.exe heruntergeladen, darauf geklickt und den Installationsvorgang gestartet. Der Installer fragte mich, ob ich 2 Tools installiert bekommen möchte, ich verneinte. Audacity würde nun "heruntergeladen".
Jetzt ist der Installer durchgelaufen und es steht da:

"Sie können das Installationsproramm für audacity starten indem Sie auf "Jetzt installieren" klicken, oder das Program beenden, indem sie auf "Schließen" klicken. Wenn sie das Programm schließen, ohne Ihre Software zu installieren, können Sie es jederzeit erneut ausführen."

Da bin ich stutzig geworden. Ich habe noch auf nichts geklickt, nehme aber an, dass was auch immer für malware möglich ist jetzt schon runtergeladen wurde... Ich hänge schonmal alle logfiles an, hoffe, das ist okay in dieser Rubrik des Forums.

Was soll ich klicken? Oder den PC neustarten? Ich versuche den Installer offen zu lassen, bis ich eine Antwort bekomme.

FRST.TXT

Addition.txt

Shortcut.txt

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.





Rechner neu starten!

Audacity deinstallieren!

FRST erneut ausführen und die Logdateien posten!

Danke Matthias! Wird gemacht!

Im Folgenden die Logfiles nach Neustart und Deinstallation von Audacity. Ich glaube, bei den logfiles, die ich zuvor gepostet habe, war auch der optionale Suchlauf "BCD auflisten" angekreuzt. Diesmal war es nicht angekreuzt.

FRST.txt

Addition.txt

Shortcut.txt

Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Alles erledigt, ich habe nochmal Schwein gehabt, oder? :D
Der Adwcleaner hat weitere 15 vorinstallierte Dateien erkannt. Diese habe ich nicht entfernt, da ich annehme, dass die nicht unbedingt schaden.

MBAM.txt

Logdatei AdwCleaner

FRST.txt

Addition.txt

Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-2977029141-1010321603-2543741146-1001\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Task: {120070D7-88E7-4D51-953B-37890A9A08CE} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\eset_security_config_overlay.js [2021-02-03]
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Keine Datei
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
BHO: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:/Program Files (x86)/Internet Explorer/Citavi Picker/x64/SwissAcademic.Citavi.IEPicker.DLL => Keine Datei
BHO-x32: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:/Program Files (x86)/Internet Explorer/Citavi Picker/SwissAcademic.Citavi.IEPicker.DLL => Keine Datei
Unlock: C:\Users\Tino\AppData\Local\AC001
Folder: C:\Users\Tino\AppData\Local\AC001
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Habe alles erledigt. Vielleicht relevant: Ich habe seit gestern neue Programme installiert. "Eraser", "recuva" und "audacity" habe ich auch nocheinmal installiert, aber mit dem offiziellen Installer. Vor dem erneuten scan aber deinstalliert.

fixlog.txt

FRST.txt

Addition.txt

Mit Schritt 1 überprüfen wir auch die Windows-Systemdateien. Dies kann etwas länger dauern, bitte gedulde dich.




Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CustomCLSID: HKU\S-1-5-21-2977029141-1010321603-2543741146-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\Tino\AppData\Local\GoToMeeting\16786\G2MOutlookAddin64.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-2977029141-1010321603-2543741146-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Tino\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19127.3\x64\Microsoft.Teams.AddinLoader.dll => Keine Datei
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
CMD: type "C:\Users\Tino\AppData\Local\AC001\GenericSetup.exe_Url_r4hcytbllpdiy1hj05cmrc2oftq5duo4\1.0.4.5045\user.config"
C:\Users\Tino\AppData\Local\AC001\
CMD: sfc /scannow
CMD: dism /online /cleanup-image /restorehealth
CMD: sfc /scannow
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 21H1.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
• Wähle das Funktionsupdates aus, downloade und installiere es.
• Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
  Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Vielen vielen Dank für Deine Hilfe Matthias! Ihr seid echt toll. Könntest Du mir vielleicht noch sagen, was auf meinem PC nun "aufgeräumt" wurde? Ich frage mich z.B. wieso "gotomeeting" Dateien im log auftauchen, das ist ja sicher keine malware. Ich erwarte natürlich keine langen Erklärungen, aber ob ich malware etc. drauf hatte wüsste ich sehr gerne... :)

fixlog.txt