PUP's und unerwünschte Programme entfernen

[mrs.starkey]

Hallo zusammen

Windows Defender zeigt mir Win32/Conduit als Bedrohung an. Allerdings verschwindet Win32/Conduit nicht, wenn ich eine der 3 ersten Aktionen starte (siehe erstes Bild). Beim nächsten Scan ist es erneut als Bedrohung da.

Unter Einstellungen -> Apps und Features und Systemsteuerung -> Programme und Features ist es nicht aufgelistet. Selbst das Hilfsprogramm Revo Uninstaller findet es nicht. Ich bin die Listen auch selber mehrmals durchgegangen, weil die Suchfunktion ja manchmal vielleicht nicht funktionieren mag. Dabei ist mir lediglich noch ein anderes Programm aufgefallen, das auch nix auf meinem Rechner zu suchen hat. Das nennt sich pricehunter.ch -> Dieses ist zwar bei Apps und Features aufgelistet, allerdings ist die Option "Deinstallieren" ausgegraut. Unter Systemsteuerung -> Programme und Features taucht es erst gar nicht auf, ebenso nicht über Revo Uninstaller.

Was ich nach einigen Recherchen bisher probiert hab:

- Der ADW Cleaner zeigt mir weder conduit noch pricehunter an, sondern andere PUP's (siehe zweites Bild) -> Frage: Kann das alles bedenkenlos gelöscht werden?

- Malwarebytes (vollwertige Testversion) erzählt mir, dass der PC komplett sauber ist und keine Bedrohungen zu finden sind.

- Im Browser (chrome) hab ich die Erweiterungen überprüft. Hab nur zwei: Google Acrobat und UBlock Origin

- Ebenfalls in den Browsereinstellungen hab ich in der Suchmaschinenverwaltung alle anderen Einträge gelöscht bis auf google.com

- Die Browserverknüpfung hab ich auch gecheckt, ob da evtl. beim Eingabefeld "Ziel" ein komischer Zusatz hinter dem normalen Chromepfad steht -> auch sauber

- Ich hab eine Datenträgerbereinigung gemacht plus den CC Cleaner drüberlaufen lassen und anschließend den PC neu gestartet

- habe versucht in den abgesicherten Modus zu gelangen, in der Hoffnung, dort die Programme deinstallieren zu können. Allerdings ist mir das nicht geglückt, da ich letztendlich einen endlos langen schwarzen Bildschirm hatte -> danach PC hard resettet und neu gestartet

Hat jemand noch eine Idee, wie ich win32/Conduit und pricehunter.ch von meinem PC runterbekomme? Ich bin für jede Hilfe dankbar.

 

[chrigu]

neuen Benutzer für den verseuchten Browser generieren und Cache leeren.
Je nach pup kann aber ein Besuch des trojanerboard.de hilfreich sein
Auch in der hosts Datei schauen, aber das wäre eine verseuchung mit adminrechte und zweimaligen „bist du sicher“ Frage bejahen.

 

[PC295]

In welchem Pfad / in welcher Datei wird der Fund gemeldet?

 

[mrs.starkey]

Vielen Dank für die Rückmeldungen.

Wollte noch eine Info zu meinem ersten Post schreiben, da ich es eben nicht erwähnt hatte. Ich spüre keinerlei Auswirkungen von den suspekten Dateien/Programmen. Also weder im Browser ist etwas komisch oder anders, noch ist mein PC merklich langsamer, und Werbung bekomme ich auch nicht.
Ich bin lediglich durch die Meldung des Windows Defender auf win32/conduit aufmerksam gemacht worden. Und durch Scrollen durch meine Programme bin ich auf dieses komische Programm pricehunter.ch gekommen.
Ich weiß nicht, ob diese Programme überhaupt etwas bewirken oder sie einfach nur da sind. Wenn sie nichts tun, dann kann ich damit leben, dass sie lediglich auf meinem PC existieren. Aber genau das weiß ich halt nicht. Pricehunter.ch wird ja weder vom Windows Defender, noch vom Malwarebytes noch vom AWD Cleaner gemeldet, und win32/conduit wird nur vom Windows Defender als "niedrige" Bedrohung gemeldet, von den anderen wird sie nicht bemerkt. Deshab frag ich mich, ob ich mir da tatsächlich Sorgen machen muss.

Auch in der hosts Datei schauen, aber das wäre eine verseuchung mit adminrechte und zweimaligen „bist du sicher“ Frage bejahen.

Da steh ich irgendwie auf dem Schlauch. 😊 Ist diese host Datei gemeint, wie sie hier beschrieben wird? https://www.heise.de/tipps-tricks/Hosts-Datei-in-Windows-10-bearbeiten-4928321.html Und was genau bearbeite ich dann bzw. wofür?

In welchem Pfad / in welcher Datei wird der Fund gemeldet?

Das hab ich leider nicht herausfinden können.

Bei Win32/Conduit zeigt mir ja der Windows Defender die Datei an, allerdings nicht den Dateipfad. Wenn ich auf "Details anzeigen" klicke (bei dem Bild oben in meinem ersten Post), dann erscheinen nicht wie erwartet die Details, sondern es öffnet sich stattdessen die Benutzerkontensteuerung mit der Meldung:

"Möchten Sie zulassen, dass durch die App Änderungen an ihrem Benutzerkonto vorgenommen werden?"
Und als verifizierter Herausgeber ist Microsoft Windows angegeben mit einer langen Nummer hinterher.

Ich hab mich bisher nicht getraut, auf Ja zu klicken, weil ich eben nicht weiß, ob ich damit diese "böse" Anwendung aus dem Windows Defender aus starte oder ob ich dadurch erst den Pfad zu sehen bekomme. Vielleicht weiß ja jemand hier, ob das normal ist und ich das bejahen muss, um an den Dateipfad zu kommen?

Naja, und bei pricehunter.ch sehe ich lediglich diesen Namen in der Apps und Features Liste, hier ein Bild davon:

Ich weiß nicht, wie ich den Pfad herausfinden kann. Ich hab beide Dateien bereits in der Suche meines PC's eingegeben, aber da wird überhaupt nichts gefunden. Es ist, als wenn es diese beiden Programme/Dateien überhaupt nicht auf meinem PC geben würde...

 

[purzelbär]

Geh mal ins Trojaner Board und lasse dir dort helfen. Einfach dort ein Thema eröffnen nachdem du gelesen hast was Hilfesuchende beachten sollen. Findest du alles auf deren Homepage.

 

[PC295]

@mrs.starkey
Bei AdwCleaner kannst du den kompletten Bericht posten.

Lade dir FRST (64-bit) herunter.
Schließe alle Programme und den Browser und starte FRST.
Klicke auf "Untersuchen" und warte bis der Scan abgeschlossen ist. Die Berichte öffnen sich automatisch und werden im Download-Ordner gespeichert.
Lade die dann als Anhang hier hoch.

Und nein, das Forum musst du nicht wechseln.

 

[mrs.starkey]

Danke auch für eure Antworten, @purzelbär und @PC295

Lade dir [URL='https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/']FRST (64-bit)[/URL] herunter.
Schließe alle Programme und den Browser und starte FRST.
Klicke auf "Untersuchen" und warte bis der Scan abgeschlossen ist. Die Berichte öffnen sich automatisch und werden im Download-Ordner gespeichert.
Lade die dann als Anhang hier hoch.

Und nein, das Forum musst du nicht wechseln.

Das klingt gut und ich wollte es direkt machen, aber mein Browser blockiert diesen Download. 🙈

Kann ich das Programm trotzdem sicher downloaden?

 

[PC295]

Das Programm ist sicher.
Der Chrome oder der Smartscreenfilter reagieren generell sensibel auf Downloads bestimmter Dateitypen.

 

[mrs.starkey]

@PC295 Ok, hab das Programm laufen lassen. Hier ist die Textdatei.
Da gibt es noch eine Datei, die Addition.txt heißt. Soll ich die auch hochladen?

 

[PC295]

Das müsste noch eine Additions.txt im Ordner liegen - füge diese auch bei.

 

[mrs.starkey]

Sorry, grad erst bemerkt. Hier ist sie.

 

[PC295]

Du hattest heute einige Multimediaprogramme ausprobiert (und teilw. wieder deinstalliert)?

Die Defender-Funmeldung (PUAAdvertising:Win32/Conduit) kommt von:

G:\Ljupka\FreeYouTubeToMp3Converter328.exe

Wenn das Programm bereits deinstalliert wurde, entferne auch den Download.

 

[mrs.starkey]

Du hattest heute einige Multimediaprogramme ausprobiert (und teilw. wieder deinstalliert)?

Hallo Ja genau, ich hab die letzten Tage so einige Programme von meinem Rechner deinstalliert und Malwarebytes und dessen Cleaner, Revo Uninstaller u.ä. installiert, um zu probieren, ob ich dadurch diese zwei unerwünschten Programme wegbekomme.

Die Defender-Funmeldung (PUAAdvertising:Win32/Conduit) kommt von: G:\Ljupka\FreeYouTubeToMp3Converter328.exe

Danke fürs Raussuchen des Pfades. 👍 Die G:\ Platte ist eine externe Festplatte, und sie ist die meiste Zeit über nicht am PC angeschlossen. Ich kann aber tatsächlich zurückverfolgen, dass ich diese Festplatte genau an dem Tag (22.2.2024) benutzt und aufgeräumt habe, an dem auch die Meldung von Windows Defender über Win32/Conduit datiert (siehe meinen ersten Post das erste Bild).
Allerdings war die externe Festplatte die Wochen danach nicht am Rechner angeschlossen, aber trotzdem wurde die Meldung ständig gegeben. Aber auch nur vom Windows Defender...weder Malwarebytes noch der ADW Cleaner schlagen darauf an.

Wenn das Programm bereits deinstalliert wurde, entferne auch den Download.

Das Programm hatte ich gestern Nachmittag bereits deinstalliert, und den verbliebenen Download hab ich jetzt aus der G:\ Platte gelöscht und ebenfalls die Gegenprobe gemacht, in dem ich den gesamten PC und die einzelnen Festplatten nochmal auf den Suchbegriff "freeyoutube" hab prüfen lassen. Laut den Ergebnissen ist jetzt alles sauber, keine Dateien mehr mit diesem Namen.
Danach hab ich für alle Festplatten eine Datenträgerbereinigung gemacht und habe den PC anschließend neu gestartet.

-> Allerdings schlägt der Defender immer noch an und erzählt mir unverändert das Gleiche von der Bedrohung win32/conduit. Könnte es sein, dass die Meldung beim Defender irgendwie hängengeblieben ist? Oder könnte diese Datei doch noch existieren und noch tiefer im PC eingegraben sein?

Zusätzlich habe ich die zwei Textdokumente vom FRST auf das zweite problematische Programm auf meinem Rechner -> pricehunter.ch abgesucht (mithilfe der Suchfunktion), aber es kommt anscheinend nirgendwo vor... Allerdings wird es in meinen Apps und Features klar aufgeführt! Da MUSS es doch zumindest in dieser Textdatei aufgeführt sein. Hast du/habt ihr da eine Idee, wie ich das wegbekomme/deinstallieren kann?

Falls du die Textdateien von gestern nochmal brauchst, lade ich sie gerne nochmal hoch. Wollte sie nur nicht so lange hier öffentlich lassen.

Entschuldigung, dass es so viel Text geworden ist. 🙈

 

[PC295]

Könnte es sein, dass die Meldung beim Defender irgendwie hängengeblieben ist?

Hast du dort schon eine Auswahl getroffen?
Damit wird der Defender überfordert sein, weil er die Datei nicht mehr findet.

Du kannst den Defender Schutzverlauf manuell löschen und nach einem Neustart schauen, ob die Meldung noch auftritt.
https://www.deskmodder.de/wiki/index.php?title=Schutzverlauf_im_Defender_Windows_Sicherheit_löschen_Windows_10

Bezüglich "Pricehunter" liegt in der Registry noch ein toter Eintrag. Das Programm bzw. Erweiterung oder funktionsfähige Reste existieren davon nicht mehr.

Lade dir dazu Registry Search herunter, entpacke und starte es.
Gib in die erste Zeile "pricehunter.ch" ein und auf OK
Die Suche kann eine Weile dauern. Es kann auch sein, dass das Programm kurzzeitig "keine Rückmeldung" anzeigt. Warte hier, bis sich der Editor mit den Ergebnis öffnet.
Den Fundbericht findest du im gleichen Pfad aus dem du Registry Search gestartet hast und kannst sie hier mit anhängen.

 

[mrs.starkey]

Du kannst den Defender Schutzverlauf manuell löschen und nach einem Neustart schauen, ob die Meldung noch auftritt.

KLASSE! Nachdem ich das gemacht hab, und einen neuen Defender Scan gestartet hab, war die Meldung endlich weg!! Danke!

Den Fundbericht findest du im gleichen Pfad aus dem du Registry Search gestartet hast und kann sie hier mit anhängen.

Der Fundbericht ist angehangen.

 

[PC295]

Sehr gut.

Starte nun die Eingabeaufforderung mit Rechtsklick als Administrator ausführen und gib folgende Befehle ein:
Bestätige jeweils das Löschen der Schlüssel mit "J" (Ja)

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pricehunter.ch

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\pricehunter.ch

Starte das System neu und prüfe in der Programmliste ob "Pricehunter.ch" entfernt wurde.

 

[mrs.starkey]

Starte das System neu und prüfe in der Programmliste ob "Pricehunter.ch" entfernt wurde.

Es ist weg!!! 🙃 Ich bin echt erleichtert.
Vielen, vielen Dank für deine Hilfe, Geduld und die klare Anleitung! 👍

 

[PC295]

Bitte, gern geschehen.

 

[KiterKai]

Hallo zusammen,
ich habe auf dem Laptop meiner Freundin ebenfalls den pricehunter.ch-Eintrag gefunden. Anbei der Fundbericht.

Sehr gut.

Starte nun die Eingabeaufforderung mit Rechtsklick als Administrator ausführen und gib folgende Befehle ein:
Bestätige jeweils das Löschen der Schlüssel mit "J" (Ja)

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pricehunter.ch

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\pricehunter.ch

Starte das System neu und prüfe in der Programmliste ob "Pricehunter.ch" entfernt wurde.

Kann ich ebenfalls die beiden zuvor genannten Befehle ausführen oder muss ich etwas anders machen?

Vielen Dank vorab!

 

[PC295]

oder muss ich etwas anders machen?

so:

Starte die Eingabeaufforderung mit Rechtsklick als Administrator ausführen und gib folgende Befehle ein:

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pricehunter.ch

reg delete HKEY_USERS\S-1-5-21-1395322975-2559293964-3647314354-1001\Software\Microsoft\Windows\CurrentVersion\CloudStore\Store\DefaultAccount\Cloud\{057ced42-b00a-4e1a-b8dd-f4f19061c942}$windows.data.apps.appmetadata$appmetadatalist\windows.data.apps.appmetadata$pricehunter.ch

reg delete HKEY_USERS\S-1-5-21-1395322975-2559293964-3647314354-1001\Software\Microsoft\Windows\CurrentVersion\CloudStore\Store\DefaultAccount\Current\{057ced42-b00a-4e1a-b8dd-f4f19061c942}$windows.data.apps.appmetadata$appmetadatalist\windows.data.apps.appmetadata$pricehunter.ch

Bestätige jeweils das Löschen der Schlüssel mit "J" (Ja)