Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Zusätzliche Ergebnisse oben in Google Suche (https://www.trojaner-board.de/203759-zusaetzliche-ergebnisse-oben-google-suche.html)

Stefan2066 15.03.2022 18:15

Zusätzliche Ergebnisse oben in Google Suche
 
Liste der Anhänge anzeigen (Anzahl: 1)
Im Chrome Browser erscheinen zeitversetzt zusätzliche (1 - 3) Ergebnisse oben. Die Einträge haben immer 5 Sterne und erscheinen ein/zwei Sekunden nach den Google Ergebnissen und schieben dies nach unten. Bin ich zu schnell beim klicken, komme ich auf die Seiten.
Ich habe mehrere Chrome Profile. Es erscheint auf allen.

Soweit ich sehen kann, habe ich kein Plugins installiert, die ich für verdächtig halte.
Plugins sind von Google oder PDF-XChange.

M-K-D-B 15.03.2022 20:49

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
Vielen Dank für deine Mitarbeit.

Stefan2066 16.03.2022 11:28

Anbei die Dateien
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo,
Anbei die Dateien der Analyse.

M-K-D-B 16.03.2022 14:44

Von welcher Seite hast du dir Audacity heruntergeladen? Wieso verwendest du für den Download "c-temp" direkt auf dem Systemlaufwerk?
Und wieso wird Audacity installiert, wenn der Windows Defender schon davor warnt?

Zitat:

Name: PUA:Win32/Adsunwan
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\c-temp\audacity-win3.0.0.exe
Aufgrund des Downloads von der falschen Seite hast du dir Malware auf dein System geholt.
Wir können das aber bereinigen. ;) Du musst nur etwas Geduld mit aufbringen. :)



Downloadquellen
Die folgenden Seiten verteilen Software häufig mit einem sog. "Installer", mit dem Potentiell Unerwünschte Programme (PUP) oder Adware installiert werden können.
Vereinzelt beinhalten diese "Installer" sogar Trojaner.
Vermeide daher unbedingt die folgenden Seiten:
  • Chip.de
  • Softonic.de
  • sourceforge.net
  • openoffice.de
  • VLC.de
  • audacity.de
  • gimp24.de
  • jdownloader.org
  • computerbild.de
  • updatestar.com

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.


Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.








Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.
  • Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
    • Web Companion
  • Starte den Rechner im Anschluss neu.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:
  • die Beantwortung der gestellten Fragen
  • eine Rückmeldung bezüglich der Deinstallationen
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner

Stefan2066 16.03.2022 15:49

Liste der Anhänge anzeigen (Anzahl: 2)
Hi Matthias,

anbei meine Antworten:

die Beantwortung der gestellten Fragen
- Audacity ist schon seit 2020 auf meinem PC. Kann es sich dabei um ein Update gehandelt haben? Weil es schon so lange drauf ist und die MS Warnung mit geringem Risiko war, habe ich es ignoriert.

eine Rückmeldung bezüglich der Deinstallationen
- Web Companien installiert und im Anschluss neu gestartet

die Logdatei von MBAM
- Logdatei anbei

die Logdatei von AdwCleaner
- Logdatei anbei

Google Chrome funktioniert nicht mehr und möchte gibt die Fehlermeldung: STATUS_INVALID_IMAGE_HASH aus. Keine Internet Seiten aufrufbar. Bei Aufruf meldet Chrome Plugins die abgestürzt seien.

P.S. ich bin etwas geschockt über Deine Liste der Webseiten, von denen ich nicht mehr downloaden soll. Mit Chip.de und Computerbild.de habe ich mich bisher einigermaßen sicher gefühlt. Die Zusatzprogramme suche ich und schalte sie immer ab.
Was ich mit Chocolately machen muss, habe ich auf die Schnelle noch nicht verstanden. Sehe ich mir genauer an.

Viele Grüße

Stefan

M-K-D-B 16.03.2022 16:28

Vielen Dank für deine Rückmeldungen und die Logdateien. :daumenhoc



Zitat:

Zitat von Stefan2066 (Beitrag 1763947)
- Audacity ist schon seit 2020 auf meinem PC. Kann es sich dabei um ein Update gehandelt haben? Weil es schon so lange drauf ist und die MS Warnung mit geringem Risiko war, habe ich es ignoriert.

Die Installation von Audacity war im März:
Zitat:

Date: 2022-03-05 18:03:55
Die Warnung von Windows Defender zu ignorieren war auf jeden Fall ein schwerer Fehler. :(



Zitat:

Zitat von Stefan2066 (Beitrag 1763947)
Google Chrome funktioniert nicht mehr und möchte gibt die Fehlermeldung: STATUS_INVALID_IMAGE_HASH aus. Keine Internet Seiten aufrufbar. Bei Aufruf meldet Chrome Plugins die abgestürzt seien.

Weil Chrome mit der Malware verseucht war und MBAM dort bereinnigt hat... die Malware greift tief in die Browserstrukturen ein. Wir werden sehen, was zu tun ist.
Du kannst ja auch Firefox und Edge in der Zwischenzeit verwenden.



Zitat:

P.S. ich bin etwas geschockt über Deine Liste der Webseiten, von denen ich nicht mehr downloaden soll. Mit Chip.de und Computerbild.de habe ich mich bisher einigermaßen sicher gefühlt.ignoriert.
Wir warnen nicht einfach so vor diesen Seiten... seit Jahren holen sich deutsche Nutzer über diese vermeintlich "sicheren" Seiten unerwünschte Software oder Malware auf das System.
Du bist nur ein weiterer Beleg dafür ;)

Auch MBAM erkennt den Chip-Installer:
Zitat:

PUP.Optional.ChipDe, C:\USERS\STEFA\DOWNLOADS\7-ZIP (64 BIT) _UELOZ.EXE




Bitte zur Kontrolle einen Suchlauf mit FRST ausführen, damit wir weitermachen können:
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.

Stefan2066 16.03.2022 19:41

Liste der Anhänge anzeigen (Anzahl: 2)
Danke Dir.

Die neuen Dateien anbei.

M-K-D-B 16.03.2022 20:39

Vielen Dank für die Logdateien.

Wir entfernen jetzt Reste der Malware sowie der unerwünschten Software.
Zudem wurde McAfee nicht richtig deinstalliert, das entfernen wir zuerst.






Schritt 1
McAfee ist noch nicht vollständig entfernt.
Downloade dir das McAfee Removal Tool auf deinen Desktop.
  • Starte das Programm und klicke auf Next.
  • Stimme den Lizenzvereinbarungen zu ("Agree") und klicke auf Next.
  • Gib den Sicherheitscode ein, klicke auf Next und dann startet die Entfernung.
  • Schließe das Programm beim Neustart.
  • Lösche das Removal Tool per Hand.





Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:

    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-1381032043-12070118-89860598-1001\...\Run: [PureSync] => "C:\Program Files (x86)\Jumping Bytes\PureSync\PureSyncTray.exe" (Keine Datei)
    HKU\S-1-5-21-1381032043-12070118-89860598-1001\...\Run: [KeePass Password Safe 2] => "C:\Users\stefa\OneDrive - Zerustra Beteiligungsgesellschaft mbH\1_Administratives\KeePass-2.48.1\KeePass.exe" (Keine Datei)
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
    Task: {263CCCC8-0E1A-4CB6-902E-ACB5B7FED131} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Keine Datei <==== ACHTUNG
    Task: {51AEF404-FC83-4462-A4E4-2D36DE0A7706} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Keine Datei <==== ACHTUNG
    Task: {5381D312-1BE9-48EE-A29E-F2267BB69EEE} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Keine Datei)
    Task: {5B596098-B5CB-45B1-B1B7-E571350BB245} - \Lenovo\ImController\TimeBasedEvents\d6981eff-1a98-433b-9edd-2c86185a250a -> Keine Datei <==== ACHTUNG
    Task: {68AFD2D6-6BA6-44F0-B14F-722C04B5B08B} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Keine Datei)
    Task: {836B403B-1BCD-4E2C-A20C-5E52D99F4005} - \Lenovo\ImController\TimeBasedEvents\e1fcc86e-2128-47ff-92be-9474ddb69bf3 -> Keine Datei <==== ACHTUNG
    Task: {8726E61B-9EF6-4839-9FD6-CA7E0D2B65CA} - System32\Tasks\JumpingBytes\PureSyncElvstefa => C:\Program Files (x86)\Jumping Bytes\PureSync\PureSyncHelper.exe exit (Keine Datei)
    Task: {8984E45F-64FF-4E7D-A25B-997150E6F04C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (Keine Datei)
    Task: {9D9616CF-F7A8-4F0A-A1F6-AEDC3DEB9505} - \Lenovo\ImController\TimeBasedEvents\6ea705fe-8727-45e2-87c2-ce114706a4d5 -> Keine Datei <==== ACHTUNG
    Task: {9E3240C8-053F-4CA0-A6DA-0B6E018C4F0E} - \Lenovo\ImController\TimeBasedEvents\46f1a110-d4b2-45d4-9e0c-04bad478e712 -> Keine Datei <==== ACHTUNG
    Task: {AF103826-E2C0-495A-AB0B-730BF75769F4} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Keine Datei <==== ACHTUNG
    Task: {B27E0F0C-F9E1-4175-98DD-E6CBE0BCC9DE} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Keine Datei)
    Task: {DA70D623-5831-4905-9425-B4605457D4B4} - \Lenovo\ImController\TimeBasedEvents\1c2af78b-b7fc-404a-af9b-1ef62b11feb1 -> Keine Datei <==== ACHTUNG
    Task: {F6B7F829-0589-469D-A4B6-3AAEB1EE8004} - System32\Tasks\Lenovo\BatteryGauge\BatteryGaugeMaintenance => C:\ProgramData\Lenovo\ImController\Plugins\LenovoBatteryGaugePackage\x64\BGHelper.exe (Keine Datei)
    Edge Notifications: Default -> hxxps://app.gotowebinar.com; hxxps://captchaverifier.top; hxxps://meet.google.com; hxxps://push.getbeamer.com; hxxps://webmail.all-inkl.com; hxxps://www.erfolg-als-freiberufler.de; hxxps://www.facebook.com; hxxps://www.faz.net; hxxps://www.forbes.com; hxxps://www.merkur.de; hxxps://www.pcwelt.de; hxxps://www.svz.de; hxxps://www.tagesspiegel.de; hxxps://www.ueberbrueckungshilfe-unternehmen.de; hxxps://www.wpbeginner.com; hxxps://www.youtube.com
    Edge HomePage: Default -> hxxps://?
    Edge StartupUrls: Default -> "hxxps://?"
    Edge DefaultSearchURL: Default -> hxxps://af.xdock.co?keyword={searchTerms}&pid=490&subid=4901
    Edge DefaultSearchKeyword: Default -> yahoo search
    Edge DefaultSuggestURL: Default -> hxxp://api.bing.com/osjson.aspx?query={searchTerms}
    CHR Notifications: Profile 2 -> hxxps://app.converttools.io; hxxps://business.facebook.com; hxxps://de.aliexpress.com; hxxps://meet.google.com; hxxps://push.getbeamer.com; hxxps://schrotundkorn.de; hxxps://utopia.de; hxxps://webmail.all-inkl.com; hxxps://www-presseverteiler-de-02.salesmanagopush.com; hxxps://www.facebook.com; hxxps://www.food-service.de; hxxps://www.jedentagsparen.com; hxxps://www.lieferando.de; hxxps://www.macwelt.de; hxxps://www.merkur.de; hxxps://www.moviepilot.de; hxxps://www.oekotest.de; hxxps://www.reddit.com; hxxps://www.showaround.com; hxxps://www.thenewsletterplugin.com; hxxps://www.tiktok.com; hxxps://www.ueberbrueckungshilfe-unternehmen.de; hxxps://www.youtube.com
    S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
    S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
    S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
    S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
    S2 ImControllerService; %SystemRoot%\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe [X]
    AlternateDataStreams: C:\Users\stefa\Anwendungsdaten:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\stefa\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    SearchScopes: HKU\S-1-5-21-1381032043-12070118-89860598-1001 -> DefaultScope {50229723-D3AD-4812-BEB1-B4B8C0305DCF} URL =
    SearchScopes: HKU\S-1-5-21-1381032043-12070118-89860598-1001 -> {50229723-D3AD-4812-BEB1-B4B8C0305DCF} URL =

    C:\Program Files (x86)\Lavasoft
    C:\ProgramData\Application Data\Lavasoft
    C:\ProgramData\Lavasoft
    C:\Users\AllUserName\AppData\Local\Lavasoft
    C:\Users\AllUserName\AppData\Roaming\Lavasoft
    DeleteKey: HKCU\Software\Lavasoft
    DeleteKey: HKLM\Software\Wow6432Node\Lavasoft

    C:\ProgramData\ntuser.pol
    C:\WINDOWS\system32\GroupPolicy\Machine
    C:\WINDOWS\system32\GroupPolicy\GPT.ini
    C:\WINDOWS\SysWOW64\GroupPolicy\Machine
    C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
    DeleteKey: HKLM\SOFTWARE\Policies\Google
    DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
    DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
    DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
    C:\Users\AllUserName\AppData\Roaming\npm
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
    C:\Program Files (x86)\nodejs
    DeleteKey: HKLM\SOFTWARE\Node.js
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
    DeleteKey: HKU\.DEFAULT\Software\Node.js
    DeleteKey: HKCU\SOFTWARE\Node.js
    DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
    DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
    CMD: dir "%windir%\installer\*.xpi" /S
    CMD: dir "%windir%\installer\c*rx" /S
    CMD: dir "%windir%\installer\x*ml" /S
    CMD: dir "%windir%\installer\{*-*-*-*-*}" /S
    CMD: dir "%ProgramData%\Package Cache\{*-*-*-*-*}" /S

    Unlock: C:\c-temp
    Folder: C:\c-temp

    startpowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    set-mppreference -mapsreporting basic -Force
    set-mppreference -DisableRealtimeMonitoring $false -Force
    set-mppreference -DisablePrivacyMode $true -Force
    set-mppreference -DisableIOAVProtection $false -Force
    set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
    set-mppreference -PUAProtection enabled -Force
    endpowershell:

    ExportKey: HKCU\software\classes\ms-settings\shell\open\command
    ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
    ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    ExportKey: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection

    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository
    CMD: Winmgmt /resetrepository
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::

  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Entfernung von McAfee
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Stefan2066 17.03.2022 13:10

Liste der Anhänge anzeigen (Anzahl: 3)
Anbei die Logs.

McAffee konnte von Edge nicht geladen werden. Opera hat funktioniert.
McAffee Unistaller meldete, dass die Uninstallation möglicherweise unvollständig war. Es gäbe eine Logdatei mccleanup.log. Soll ich die noch hochladen?

M-K-D-B 17.03.2022 16:17

Vielen Dank für die Logdateien.

Wir entfernen noch Reste von McAfee und überprüfen die Windows-Systemdateien auf Fehler. Dies kann einige Zeit (> 15 min) dauern, bitte gedulde dich!

Bitte gib mir abschließend (nach Schritt 1) noch Bescheid, welcher Browser ggf. aktuell nicht richtig funktioniert.



Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:

    Start::
    CloseProcesses:
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    U3 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
    S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
    U3 mfevtp; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
    C:\Program Files\Common Files\McAfee
    S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [75704 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\cfwids.sys
    R3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [529848 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\mfeaack.sys
    U0 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [382392 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\mfeavfk.sys
    U0 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [521656 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\mfefirek.sys
    U0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [1006008 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\mfehidk.sys
    R3 mfeplk; C:\Windows\System32\drivers\mfeplk.sys [116664 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\mfeplk.sys
    U0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [252344 2020-06-09] (McAfee, Inc. -> McAfee, LLC)
    C:\Windows\System32\drivers\mfewfpk.sys
    C:\Windows\system32\Tasks\McAfee
    C:\c-temp\audacity-win3.0.0.exe
    CMD: dism /online /cleanup-image /restorehealth
    CMD: sfc /scannow
    Reboot:
    End::

  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Stefan2066 17.03.2022 19:51

Liste der Anhänge anzeigen (Anzahl: 1)
nur Chrome geht nicht mehr. Kann ich auch neu installieren.

M-K-D-B 17.03.2022 20:29

Dann kommen jetzt die Schritte bevor wir zum Ende kommen. :)





Schritt 1
  • Deinstalliere Google Chrome über Start > Einstellungen > Apps.
  • Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
  • Starte den Rechner im Anschluss neu auf.
  • Installiere Google Chrome neu (falls benötigt). Vorerst keine Erweiterungen/Plugins installieren und nicht mit einem evtl. vorhandenen Konto verbinden/synchronisieren.





Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • eine Rückmeldung bezüglich der Deinstallation/Neuinstallation
  • die Logdatei von RogueKiller
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Stefan2066 17.03.2022 21:32

Liste der Anhänge anzeigen (Anzahl: 3)
Chrome Neuinstallation scheint funktioniert zu haben

M-K-D-B 18.03.2022 14:56

Das klingt gut. :)



Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:







Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Rechtsklicke auf FRST64 und wähle Umbenennen.
  • Benenne FRST64 in Uninstall um.
  • Starte Uninstall.
  • FRST und die dazugehörigen Dateien/Odner werden entfernt.
  • Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 21H2.
Zitat:

Plattform: Microsoft Windows 10 Home Version 21H1
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle alle angebotenen Kumulativen Updates bzw. Funktionsupdates aus, downloade und installiere sie.
  • Starte den Rechner zum Abschluss neu.
  • Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

M-K-D-B 20.03.2022 10:53

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131