WIN 10 Anhang geöffnet: Telekom Rechnung…pdf.htm - [TEIL 1 - Farbar Untersuchungsergebnis]
 

Hallo an alle freiwilligen Helfer,
bei mir lag lag eine Email der „Telekom“ in meinem Postfach nebst Anhang, die ich prompt geöffnet habe. Bisher habe ich gefühlt immer alles (!?) direkt gelöscht oder als Junk gekennzeichnet.
Hier wurde ich von einer ausstehenden Zahlung von über 7.000€ geschockt; näheres würde in der Rechnung im Anhang, den ich aber nur mit meinem Telekom Passwort öffnen könnte.
Da wir gar keinen Telekom Festnetz Anschluss mehr besitzen und ich nur von früher ein Passwort für den Login besitze habe ich dann abgebrochen.
Auf Chip habe ich mich dann informiert und das Farbar Recovery Scan Tool über Download runtergeladen. Leider zusammen mit AVIRA.
Beim Auslesen hat AVIRA dann einige Male geblockt und Dateien in die Quarantäne verschoben.Bsp: Opera 64 Bit – Chip-Installer.exe da es mit Win32:PUP-gen[PUP infiziert sei!
Ich habe einige BankProgramme auf dem PC am Laufen. Meint Ihr die sind jetzt alle infiziert oder habe ich vielleicht nochmal Glück gehabt… Bis auf Mozilla und Thunderbird habe ich nichts mehr geöffnet.
VG
Petertotus
WIN 10, Thunderbird 102.6.1 (32-BIT)

WIN 10 Anhang geöffnet: Telekom Rechnung…pdf.htm- [ TEIL 2 - zusätzliches Untersuchungsergebnis]
 

:crazy:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.


Ich habe deine beiden Themen zusammengefügt. :)





Mit Avira und Avast wirst du deine Infektion nicht los (sie konnten sie auch nicht verhindern), da sie ungeeignet sind und unsere Bereinigung nur stören. Daher müssen sie zuerst deinstalliert werden.
Du musst allerdings keine Angst haben... der Windows Defender aktiviert sich anschließend automatisch.




Zudem hast du jede Menge "Müll" über falsche Downloadseiten auf dein System geholt, daher eine kleine Info vorab.

Eine kurze Information vorab:








Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware (Adware) bzw. Potentiell Unerwünschte Programme (PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • alles von "Avira"
  • alles von "Avast"
  • chip 1-click
  • CRaccoon
  • Desktopicon amazon.de
  • Web Companion
• Starte den Rechner im Anschluss neu.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Hallo Matthias,
vorab einmal: ich heisse Peter
Vielen Dank für Dein Engagement bei meinem Problem!
Deine Tipps nehme ich mir zu Herzen.
Ich bin ja schon unangenehm überrascht und ein wenig „traurig“ dass ausgerechnet auch die Seite von Chip nicht aufgesucht werden soll. Ich hatte bisher gedacht, dass ich mit deren Hilfe (Download – Empfehlungen) in der Vergangenheit, einige Fehler beheben konnte 
CRaccoon hat sich nicht deinstallieren lassen
Chip erst im zweiten Anlauf.


FRST Logfile:
--- --- ---

FRST Logfile:
--- --- ---

Hallo Matthias, ich hoffe alles ist angekommen...?
Das System hat mich aufgefordert eine zweite Nachricht hochzuladen da es insgesammt zu groß sei!

Vielen Dank für die Logdateien. :daumenhoc
Du hast alles richtig gemacht. :)


Was kannst du mir zu dieser Software, die auf deinem System installiert ist, sagen?
WunderBAR (HKLM\...\WunderBAR) (Version: 1.0 - WunderBAR)
Wofür ist sie?



Wir beginnen mit den ersten beiden Schritten der Bereinigung.
Weitere Schritte folgen im Anschluss.





Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Hi,
Ich glaube, dass ich WunderBAR vor langer Zeit mal runtergeladen
habe (von Chip???). Was, wofür - keine Ahnung :-(

[/CODE]# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build: 08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 02-16-2023
# Duration: 00:00:13
# OS: Windows 10 (Build 19045.2604)
# Scanned: 32091
# Detected: 50


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.Chip C:\Users\Ganz\AppData\Local\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}
PUP.Optional.Craccoon C:\Users\Ganz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CRaccoon
PUP.Optional.WebCompanion C:\ProgramData\Application Data\Lavasoft\Web Companion

***** [ Files ] *****

PUP.Optional.Chip C:\Users\Ganz\Desktop\..\Downloads\7 ZIP 32 BIT - CHIP-INSTALLER.EXE
PUP.Optional.Chip C:\Users\Ganz\Desktop\..\Downloads\DARKNET BROWSER - CHIP-INSTALLER.EXE
PUP.Optional.Chip C:\Users\Ganz\Desktop\..\Downloads\FREE HTML5 VIDEO PLAYER AND CONVERTER - CHIP-INSTALLER.EXE
PUP.Optional.Chip C:\Users\Ganz\Desktop\..\Downloads\GIMP-2.8.22-SETUP - CHIP-INSTALLER.EXE
PUP.Optional.Chip C:\Users\Ganz\Desktop\..\Downloads\ICOFX - CHIP-INSTALLER.EXE
PUP.Optional.Chip C:\Users\Ganz\Desktop\..\Downloads\SAMSUNG PC STUDIO - CHIP-INSTALLER.EXE

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Chip HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\chip 1-click download service
PUP.Optional.Chip HKLM\System\Setup\FirstBoot\Services\chip1click
PUP.Optional.Craccoon HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|CRaccoon
PUP.Optional.Craccoon HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CRaccoon
PUP.Optional.Legacy HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
PUP.Optional.Legacy HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
PUP.Optional.WebCompanion HKCU\Software\Lavasoft\Web Companion
PUP.Optional.WebCompanion HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion HKLM\Software\Wow6432Node\Lavasoft\Web Companion
PUP.Optional.WebCompanion HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPJumpStartBridge Folder C:\Program Files (x86)\HP\HP JUMPSTART BRIDGE
Preinstalled.HPJumpStartBridge Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{031142AB-E0CD-40B5-AE6F-1DBF51CB08DF}
Preinstalled.HPJumpStartBridge Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPJumpStartProvider
Preinstalled.HPJumpStartBridge Task C:\Windows\System32\Tasks\HPJUMPSTARTPROVIDER
Preinstalled.HPJumpStartLaunch Folder C:\Program Files (x86)\HP\HP JUMPSTART LAUNCH
Preinstalled.HPRegistrationService Folder C:\Program Files (x86)\HP\HP REGISTRATION SERVICE
Preinstalled.HPRegistrationService Folder C:\ProgramData\HP\HP REGISTRATION SERVICE
Preinstalled.HPRegistrationService Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1E8F2D7-7794-4245-B286-87ED86C1893C}
Preinstalled.HPSupportAssistant Folder C:\HP\SUPPORT
Preinstalled.HPSupportAssistant Folder C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant Folder C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS
Preinstalled.HPSupportAssistant Folder C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant Folder C:\Users\Ganz\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant Folder C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant Registry HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{2B5A1E68-6617-406D-B797-5DAB5B4630B8}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{39C8BE76-CF6A-466F-8618-0B52CC4CA0FC}
Preinstalled.HPSureConnect Folder C:\Program Files (x86)\HP INC\HP SURE CONNECT
Preinstalled.HPSureConnect Folder C:\Program Files\HPCOMMRECOVERY
Preinstalled.HPSureConnect Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Preinstalled.HPTouchpointAnalyticsClient Folder C:\Program Files\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient Folder C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}
Preinstalled.LenovoEasyCamera Registry HKLM\Software\Sunplus SPUVCb
Preinstalled.LenovoPower2Go Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|CLMLServer_For_P2G8
Preinstalled.LenovoPower2Go Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|CLVirtualDrive



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
[/CODE]

Hast du die Funde von MBAM und AdwCleaner auch entfernen lassen? :)
Wenn ich mir die Logdateien so ansehen, sieht das nicht so aus. :(

Hmm, da habe ich wohl was falsch verstanden. Ich habe die beiden Programme heruntergeladen und ausgeführt und direkt die beide Logdateien gespeichert und an Dich weitergeleitet.
Dabei habe ich eigentlich nix gelöscht...

Ich schick das nochmal. Vielleicht hat da was nicht geklappt

Ok Sorry ich habe den Fehler entdeckt.
Ich führe beides nochmals (korrekt) durch...

Beides ausführen, bei beiden Programmen alle Funde entfernen lassen. :)

Hallo Matthias,
jetzt sollte es korrekt sein:

:-)

Sehr gut gemacht. :abklatsch:


Es wurde eingies an unerwünschte Software und Adware entfernt.


Nun bitte einen Kontrollsuchlauf mit FRST (Schritt 1) sowie eine Spezialsuche mit FRST (Schritt 2) ausführen.





Schritt 1

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: WunderBAR;PRICEWATCH;CRaccoon;Web Companion;WebCompanion

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)

FRST Logfile:
--- --- ---

FRST Additions Logfile:
--- --- ---








[/CODE]

Hallo Matthias,
das ist der Stand jetzt. Adware ist wohl zu einem recht umfangreichen Teil entfernt....?
Wie sieht es mit etwaiger Spyware aus? Haben wir da auch schon was entdeckt und wenn ja zerstört...?

Einen Teil der Adware und PUP haben wir entfernt.


Leider musst du Schritt 2 nochmal ausführen, weil der Code nicht richtig eingefügt wurde:
Hast du den Code abgetippt? Anders kann ich es mir eigentlich nicht erklären, dass du bei "All" das 2. "l" vergessen hast und die Begriffe auseinander stehen.
Du musst nur die Zeile kopieren und in FRST einfügen. :)



Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: WunderBAR;PRICEWATCH;CRaccoon;Web Companion;WebCompanion

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Ich hatte die Abfrage vom Handy abgelesen...dabei haben sich Fehler eingeschlichen. Das kam jetzt beim 2. mal dabei raus: (s.o.)
Allerdings alls 2 Dateien: FIRST und Addition .
SEARCH txt wurde aber so nicht angezeigt...

FRST.txt und Addition.txt werden erzeugt, wenn du auf "Untersuchen" klickst.
Diese Logdateien hast du mir ja schon geschickt.

Für die Spezialsuche musst du aber auf "Datei-Suche" klicken. ;)

Gut gemacht. :abklatsch: :daumenhoc

Wir entfernen den Rest mit FRST und kontrollieren mit Emsisoft
Abschließend noch eine Kontrolle mit SecurityCheck.







Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

VirusTotal: C:\Users\Ganz\AppData\Roaming\WunderBAR\WunderBAR Search.exe;C:\Users\Ganz\AppData\Roaming\WunderBAR\WunderBAR.dll;C:\Users\Ganz\AppData\Roaming\WunderBAR\WunderBAR.ini
VirusTotal: C:\Users\Ganz\AppData\Roaming\PriceWatch\PriceWatch.bat;C:\Users\Ganz\AppData\Roaming\inststub\pricewatch.exe;C:\Users\Ganz\AppData\Roaming\inststub\pricewatch.exe.res

C:\Users\Ganz\AppData\Roaming\PriceWatch
C:\Users\Ganz\AppData\Roaming\WunderBAR
C:\Users\Ganz\AppData\Roaming\inststub

DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5EB1C9F4-44B6-4DE1-9C4D-CCEB6AFC6CF0}
CMD: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WunderBAR" /S
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WunderBAR
CMD: reg query "HKEY_USERS\S-1-5-21-749038088-1968257971-3176724149-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceWatch" /S
DeleteKey: HKEY_USERS\S-1-5-21-749038088-1968257971-3176724149-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceWatch
DeleteValue: HKEY_USERS\S-1-5-21-749038088-1968257971-3176724149-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder|CRaccoon.lnk
AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
C:\Program Files (x86)\Lavasoft
C:\ProgramData\Application Data\Lavasoft
C:\ProgramData\Lavasoft
C:\Users\AllUserName\AppData\Local\Lavasoft
C:\Users\AllUserName\AppData\Roaming\Lavasoft
DeleteKey: HKCU\Software\Lavasoft
DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-749038088-1968257971-3176724149-1005\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Keine Datei)
HKU\S-1-5-21-749038088-1968257971-3176724149-1005\...\Run: [MicrosoftEdgeAutoLaunch_33AB6AD30668417CC16079428DBD5A47] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4243360 2023-02-09] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-749038088-1968257971-3176724149-1005\...\Run: [] => [X]
HKU\S-1-5-21-749038088-1968257971-3176724149-1005\...\Policies\system: [shell] explorer.exe <==== ACHTUNG
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicy-Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
Task: {328CD258-5CE7-424F-861F-4D12D9A9A5A7} - \Opera scheduled assistant Autoupdate 1581001615 -> Keine Datei <==== ACHTUNG
Task: {3B6A539A-7259-4838-AC79-4E00939768F0} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Task: {7C693021-6500-4EBA-B005-0241B83C6A85} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\Real\RealDownloader\downloader2.exe /scheduler (Keine Datei)
C:\Program Files (x86)\Real
Task: {7D84682E-39A2-4B17-ACF7-35D5D5236A62} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-749038088-1968257971-3176724149-1002 => C:\Program Files (x86)\Real\RealDownloader\recordingmanager.exe /bgrecordaliveevent (Keine Datei)
Edge Extension: (Kein Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nicht gefunden]
Edge Extension: (Kein Name) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nicht gefunden]
Edge Extension: (Kein Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nicht gefunden]
Edge Extension: (Kein Name) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nicht gefunden]
CHR DefaultSearchURL: Default -> hxxps://www.bing.com/search?q={searchTerms}&pc=COS2&ptag=D040721-N0640A74DCDF78DC&form=CONBDF&conlogo=CT3335043
CHR DefaultSearchKeyword: Default -> bing®
CHR DefaultNewTabURL: Default -> hxxps://www.bing.com/chrome/newtab?pc=COS2&ptag=D040721-N0630A74DCDF78DC&form=CONMHP&conlogo=CT3335043
CHR DefaultSuggestURL: Default -> hxxp://api.bing.com/osjson.aspx?query={searchTerms}
S3 CitrixEnterpriseBrowserElevationService; "C:\Program Files (x86)\Citrix\ICA Client\CitrixEnterpriseBrowser\105.1.1.27\elevation_service.exe" [X]
2023-02-10 13:58 - 2023-02-10 13:58 - 000000000 ____D C:\Users\Ganz\AppData\Local\AviraWebView2Cache
2023-02-10 13:10 - 2023-02-10 13:10 - 000001712 _____ C:\Users\Ganz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SearchEngineOptimizer.lnk
2023-02-10 13:08 - 2023-02-10 13:08 - 005331520 _____ (CHIP Digital GmbH) C:\Users\Ganz\Downloads\Farbar Recovery Scan Tool (HijackThis Alternative) - CHIP Installer _4SHHx.exe
2023-02-10 12:58 - 2023-02-10 13:00 - 000000000 ____D C:\Users\Ganz\AppData\Local\Avira
2023-02-10 12:57 - 2023-02-15 13:39 - 000000000 ____D C:\Program Files (x86)\Avira
2023-02-10 12:57 - 2023-02-15 13:36 - 000000000 ____D C:\ProgramData\Avira
2023-02-15 13:46 - 2018-09-16 14:17 - 000000000 ____D C:\Users\Ganz\AppData\Local\AVAST Software
2023-02-15 13:46 - 2018-09-16 14:16 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
2023-02-15 13:46 - 2018-09-16 14:15 - 000000000 ____D C:\ProgramData\AVAST Software
2023-02-15 13:44 - 2021-07-29 18:30 - 000000000 ____D C:\Program Files (x86)\AVAST Software
2017-12-05 15:02 - 2017-12-05 15:02 - 039301064 _____ (Flash-Integro LLC                                          ) C:\Program Files (x86)\video_editor_x32.exe
2017-12-05 15:02 - 2017-12-05 15:02 - 044416504 _____ (Flash-Integro LLC                                          ) C:\Program Files (x86)\video_editor_x64.exe
2023-01-18 16:01 - 2023-01-18 16:01 - 000004096 ____H () C:\Users\Ganz\AppData\Local\keyfile3.drm
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit diesem Fix werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von ESET
• die Logdatei von SecurityCheck

Auf dem System war Adware und PUP (Potentiell Unerwünschte Programme).



Bitte die folgenden Programme updaten (falls noch benötigt) oder deinstallieren (falls nicht mehr benötigt):

• LibreOffice 7.4.1.2 v.7.4.1.2 Warning! Download Update
• Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
• 7-Zip 22.00 v.22.00.00.0 Warning! Download Update
  Uninstall old version and install new one.
• VLC media player v.3.0.16 Warning! Download Update
• iTunes v.12.12.5.8 Warning! Download Update
  ^Please use Apple Software Update tool.^
• Mozilla Firefox (x64 de) v.109.0.1 Warning! Download Update
• Mozilla Thunderbird (x86 de) v.102.6.1 Warning! Download Update

Die Downloadlinks findest du in der Logdatei von SecurityCheck.





Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.




Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.