[SammelThread] Viren, Würmer & Trojaner

[CoMo]

Bin gerade erst über diesen Thread gestolpert und möchte nur folgendes beitragen:

Bei Verdacht auf Malwarebefall bitte immer ein FRST-Log (FRST.txt und Addition.txt) erstellen und den Helfern zur Verfügung stellen. Das gibt uns in den meisten Fällen genug Informationen, um Malware zu finden, auch wenn noch keine Antiviren-Software diese erkennt. Als Admin ausführen. Und bitte nix anderes mit dem Tool machen, nur die Logs erstellen.

Die Dateien je nach Größe entweder direkt im Code-Tag oder als (gezippter) Anhang.

 

[Keitel_HS]

Hallo,

ich habe seit einigen Stunden eine hartnäckige Malware (oder doch Schlimmeres) auf Rechner eingefangen: System Windows 10. Alles Mögliche versucht: Antivirus (360 Total Security, Windows Antivirus (auch in off)), Zurücksetzen des Systems auf 28.08.2023, Malwarebytes und Spybot-S&D haben nicht geholfen!
Folgende nervige Pop Ups gehen permanent rechts unten auf Desktop auf:

https://share-your-photo.com/27497c4770
https://ibb.co/9wnM9c9

Ich weiß nicht mehr weiter und bin für jede Hilfe dankbar.
Gruß Keitel

 

[CoMo]

Die Notifications werden wohl hierher kommen:

Edge:
=======
Edge DefaultProfile: Default
Edge Profile: C:\Users\Keyxxx\AppData\Local\Microsoft\Edge\User Data\Default [2023-09-04]
Edge Notifications: Default -> hxxps://unchacting.co.in; hxxps://www.msn.com
Edge Extension: (Edge relevant text changes) - C:\Users\Keyxxx\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha [2023-08-11]
Edge Extension: (360 Internet Protection) - C:\Users\Keyxxx\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\okdacpiidbbphpjpfmecjjhicomjdeie [2023-08-25]

Alles mal wegräumen?

Chrome sieht ebenfalls recht zugemüllt aus:

Chrome:
=======
CHR Profile: C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default [2023-09-03]
CHR Extension: (Google Translate) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2023-08-25]
CHR Extension: (Torrent Scanner) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb [2023-04-10]
CHR Extension: (MyJDownloader Browser Extension) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbcohnmimjicjdomonkcbcpbpnhggkip [2023-08-25]
CHR Extension: (Google Docs Offline) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2023-05-25]
CHR Extension: (AdBlock — best ad blocker) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2023-08-25]
CHR Extension: (360 Internet Protection) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh [2023-01-01]
CHR Extension: (Video DownloadHelper) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjnegcaeklhafolokijcfjliaokphfk [2023-08-25]
CHR Extension: (Chrome Web Store Payments) - C:\Users\Keyxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2021-12-10]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]

Warum hast du so seltsame "AV-Software" auf dem PC?

S1 360AntiHacker; C:\Windows\System32\Drivers\360AntiHacker64.sys [199896 2021-11-26] (Beijing Qihu Technology Co., Ltd. -> 360.cn)
R3 360AvFlt; C:\Windows\System32\DRIVERS\360AvFlt.sys [110800 2023-02-21] (Beijing Qihu Technology Co., Ltd. -> 360.cn)
R3 360AvFlt; C:\Windows\SysWOW64\DRIVERS\360AvFlt.sys [110800 2023-02-21] (Beijing Qihu Technology Co., Ltd. -> 360.cn)
R1 360Box64; C:\Windows\System32\DRIVERS\360Box64.sys [360664 2022-10-24] (Beijing Qihu Technology Co., Ltd. -> 360.cn)
S3 360Camera; C:\Windows\System32\Drivers\360Camera64.sys [58200 2021-11-19] (Beijing Qihu Technology Co., Ltd. -> 360.cn)
S0 360elam64; C:\Windows\System32\DRIVERS\360elam64.sys [17000 2022-05-13] (Microsoft Windows Early Launch Anti-malware Publisher -> 360.cn)
R1 360FsFlt; C:\Windows\System32\DRIVERS\360FsFlt.sys [540416 2022-10-24] (Beijing Qihu Technology Co., Ltd. -> 360.cn)
S4 360Hvm; C:\Windows\System32\Drivers\360Hvm64.sys [348384 2022-10-24] (Beijing Qihu Technology Co., Ltd. -> 360安全中心)
R1 360netmon; C:\Windows\System32\DRIVERS\360netmon.sys [96424 2021-11-19] (Qihoo 360 Software (Beijing) Company Limited -> 360.cn)
R1 BAPIDRV; C:\Windows\System32\DRIVERS\BAPIDRV64.sys [238304 2022-12-20] (Beijing Qihu Technology Co., Ltd. -> 360.cn)

Weg damit, Defender aktivieren. Spybot und Malwarebytes ebenfalls weg.

DIe ganze Software von Wondershare und DVDFab ebenfalls erst mal runter.

So zugemüllt wie das System ist, wäre eine saubere Neuinstallation vielleicht nicht die schlechteste Idee.

 

[PC295]

@Keitel_HS : Gehe in Edge und deaktiviere die Webseitenbenachrichtigungen
https://support.microsoft.com/de-de...oft-edge-0c555609-5bf2-479d-a59d-fb30a0b80b2b

Stelle den Browser so ein, dass für Benachrichtigungen immer vorher um Erlaubnis gefragt werden soll.

Warum hast du so seltsame "AV-Software" auf dem PC?

Dahinter verbirgt sind 360 Total Security und ist keineswegs unbekannt oder seltsam.
Es verwendet u.a. die Bitdefender- und Avira-Engine.

DIe ganze Software von Wondershare und DVDFab ebenfalls erst mal runter.

Das ist nicht nötig. Auch die Programme sind legitim und zeigen keine Scam-Benachrichtigungen an.

Chrome sieht ebenfalls recht zugemüllt aus:

Da sind 5 Erweiterungen installiert (abzgl. Chromes Mitgebrachte), da schreibst du von "zugemüllt"?

 

[Keitel_HS]

Danke, ich versuche es und melde mich gleich zurück

Ergänzung (4. September 2023)

@CoMo : Vielen Dank für die schnelle Antwort. DVDFAb deinstalliert, Chrome deinstalliert. Alles mit 360 sind von meinem Antivirus-Programm 360 Total Security, das ich seit neun Jahren benutze und vertraue, trotzdem hab ich auch 360 Total Security deinstalliert ... Wondershare-Software benutze ich regelmäßig, daher bleibt sie erst mal.
@PC295 : Vielen herzlichen Dank! Das hat geholfen. Ich habe in Edge-Browser-Einstellungen Webnachrichten von https://unchacting.co.in/ blockiert.
Noch mal danke schön. Du hast meinen Tag gerettet 👏

PS: 360 Total Security werde ich natürlich neu installieren.

​

Danke und Gruß
Keitel

 

[CoMo]

Das ist nicht nötig. Auch die Programme sind legitim und zeigen keine Scam-Benachrichtigungen an.

Das glaube ich kaum, dass die legitim sind, wenn in der HOSTS Datei Einträge vorhanden sind, um die Lizenz-Checks zu verhindern.

2019-12-07 11:14 - 2023-08-12 18:46 - 000001398 ____R C:\Windows\system32\drivers\etc\hosts
127.0.0.1 platform.wondershare.com
127.0.0.1 platform.wondershare.com
127.0.0.1 activation.cyberlink.com
127.0.0.1 pc-api.wondershare.cc
127.0.0.1 analytics.wondershare.cc
127.0.0.1 cloud-api.wondershare.cc 
127.0.0.1 sparrow.wondershare.com
127.0.0.1 wae.wondershare.cc
127.0.0.1 api.wondershare.com 
127.0.0.1 antipiracy.wondershare.com 
127.0.0.1 wondershare.com
127.0.0.1 mail.insidews.wondershare.com
127.0.0.1 accounts.wondershare.com
8.0.0.0 www.dvdfabstore.com
8.0.0.0 ssl.dvdfab.cn
8.0.0.0 user-profile.dvdfab.cn

 

[PC295]

Das glaube ich kaum, dass die legitim sind, wenn in der HOSTS Datei Einträge vorhanden sind, um die Lizenz-Checks zu verhindern.

Stimmt. In die Hosts-Datei hatte ich jetzt nicht geschaut.
Aber sieht ganz nach Cracks aus.

 

[Tykaani]

Hallo,

ich habe zum Glück schon lange keine Probleme mehr mit Viren gehabt, aber meine Vermieter kamen heute wegen ihres Laptops auf mich zu.

Sie haben auf irgendeinen Link geklickt (vermutlich irgendeine Werbeanzeige) und dann eine Virusmeldung samt Hilfshotline erhalten. Die Hotline wurde dann auch angerufen, aber dann wurde der Vermieterin klar, dass das Mist ist und sie hat zum Glück wieder aufgelegt.

Windows10 ist drauf und ich habe heute den Defender einen vollständigen Scan machen lassen, der nichts gefunden hat.
Es öffnet sich aber immer wieder die Nachricht, dass Schadsoftware vorhanden ist.

Soll ich Malwarebytes und ADWCleaner installieren und nutzen? Muss ich dabei irgendwas beachten, an Einstellungen oder so? Damals musste ich Änderungen vornehmen, damit es wirklich scharf gestellt ist.
Oder lässt sich das einfacher beheben? Habe im Internet verschiedene Möglichkeiten gefunden, aber da ich wenig Ahnung habe, möchte ich natürlich kein Risiko eingehen.

Es wurde vermutlich aus Reflex auch schon wo drauf geklickt, denn angerufen wurde initial ja leider auch.

Bilder vom Problem habe ich angehängt.

 

[PC295]

@Tykaani Das sind Webseiten-Benachrichtigungen aus Chrome.
Dort müssen die unerwünschten Seiten entfernt werden.
Außerdem sollte die Option aktiviert werden, dass Webseiten immer um Erlaubnis für das Senden von Benachrichtigungen fragen müssen.

https://support.google.com/chrome/answer/3220216?hl=de&co=GENIE.Platform=Desktop

Ein Scan mit Malwarebytes und AdwCleaner kann aber nicht schaden.

 

[Tykaani]

@Tykaani Das sind Webseiten-Benachrichtigungen aus Chrome.
Dort müssen die unerwünschten Seiten entfernt werden.
Außerdem sollte die Option aktiviert werden, dass Webseiten immer um Erlaubnis für das Senden von Benachrichtigungen fragen müssen.

https://support.google.com/chrome/answer/3220216?hl=de&co=GENIE.Platform=Desktop

Ein Scan mit Malwarebytes und AdwCleaner kann aber nicht schaden.

Ok, danke für die schnelle Antwort, dann mache ich beides morgen

 

[purzelbär]

@Tykaani
installiere deinem Vermieter für alle Browser uBlock Origin und vielleicht noch so etwas wie BitDefender TrafficLight dann dürfte damit Ruhe sein. Aber Scans mit Adwcleaner und Malwarebytes Free schaden auch nicht. Wenn di was finden, löschen lassen.

 

[Tykaani]

Also ich habe gestern Malwarebytes installiert und im abgesicherten Modus einen Scan gestartet.
Nun scannt das Programm seit gut 24 Stunden den Laptop. Das ist doch nicht normal oder?

Ich erinnere mich dran, dass das Programm mal meinen PC vor Jahren in 2 Stunden komplett gescannt hat.

Der Laptop hat ne 500GB Festplatte, die nicht annähernd voll ist. Das kommt mir nun doch ziemlich komisch vor.

 

[purzelbär]

Nein das ist nicht normal aber ein Fullscan mit Malwarebytes dauert schon ewig, also mehrere Stunden, gehe mal auf Scanner und dann auf Scan wo die wichtigsten Bereiche gescannt werden oder auf Erweiterter Scanner und dort dann auf Scan konfigurieren da kannst dann festlegen was gescannt werden soll. Nebenfrage: die Festplatte im Notebook ist noch okay? hast du die mal mit CrystalDiskinfo geprüft? und ist das noch HDD oder schon eine SSD? Sollte es eine HDD sein, wäre es überlegenswert, die durch eine SSD zu ersetzen und eine SSD in der Grösse deiner jetzigen Festplatte gibt es schon für um die 20 Euro: https://www.amazon.de/Silicon-Power-512GB-Performance-Interne/dp/B07KR1GFY5

 

[Tykaani]

Ich vermute, da ist eine HDD drin, bin aber nicht ganz sicher, müsste ich nochmal schauen.
CrystalDiskInfo sagt mir nichts, also nein, da habe ich nichts überprüft bisher.

Wäre das mein Laptop, wäre der schon ersetzt, aber der dient nur dem Mail-Empfang, bisschen surfen und die Klingelanlage läuft wohl darüber. Die Vermieterin möchte nicht ersetzen, weil sie dann wieder wen braucht, der auch die Klingelanlage einrichtet.

Malwarebytes hat auf jeden Fall schonmal ein paar Punkte abgearbeitet und durchsucht, aufgehangen hat sich also wohl nichts, es arbeitet tatsächlich noch.
Ich lasse das jetzt mal noch bis morgen laufen. Wenn es dann immer noch nicht fertig ist, schaue ich noch mal.

 

[purzelbär]

22 Euro für eine SSD gleicher Grösse ist doch kein Geld und mit der SSD drin wäre der Laptop einiges schneller und neu installiert müsste auch nichts werden auf die SSD. Einfach ein Windows Systembackup machen auf eine externe USB Festplatte mit einem Programm wie Macrium Reflect Free oder Aomei Backupper, dann die HDD ausbauen, SSD einbauen und das Windows Systembackup mit dem Boot Medium des Backup Programms auf die SSD installieren/aufspielen.

 

[Tykaani]

Mir ist durchaus bewusst, dass es einfache Möglichkeiten dafür gibt, aber 1. bin ich nicht gewillt da jetzt unnötig noch mehr Zeit zu investieren und 2. sind die Vermieter halt zufrieden mit dem, was sie haben.
Ich muss damit ja normal auch nicht arbeiten und wenn die gerne ewig warten, bis der hoch gefahren ist und sich ein Programm öffnet, soll mir das egal sein.

Malwarebytes wurde auf jeden Fall am nächsten Tag fertig und hatte 6 Dateien gefunden, die ich gelöscht habe.
Durch die erwähnten Einstellungen in Chrome gab es jetzt auch keine unerwünschten Situationen mehr und es funktioniert wieder problemlos.

 

[___JKing___]

Dadurch das es immer wieder Malewareprobleme kommen kann wäre es sehr ratsam einfach für seine private Internetaktivität ein Livesystem zu nutzen .

Nach jeden Neustart sollte es somit keine Probleme geben . (Empfehlen sich zahlrieche Linux Live Anw.)

Sein eigentliches System mit Windows und privaten nicht für das Inet nutzen.

 

[Andymiral]

Hallo zusammen,

Ich nutze hauptsächlich Google Chrome und seit paar Tagen poppt immer mein Avast Virenschutzprogramm auf wenn ich auf Shopping Seiten wie Mediamarkt, Saturn, Amazon unterwegs bin.

Wie bekomme ich das weg? Hab schon probiert Cache zu löschen, Cookies gelöscht usw. Aber es kommt immer wieder. Was ist das?

 

[CoMo]

Steht doch da eindeutig in der Meldung. Der Man-In-The-Middle "Web-Schutz" von Avast hat eine Tracking URL blockert, die auf seiner Blacklist steht.

 

[Andymiral]

Kenne mich auf dem Gebiet nicht so gut aus. Bedeutet?
Was kann ich tun damit diese Meldung nicht mehr erscheint?