Beiträge von jfa

Zitat von schr66

Vieeln Dank für die Vorarbeit
Sicherheit brachte dann der ProcessMonitor.

Der Dank für die Vorarbeit gebührt nicht wirklich mir, sondern dem User "Match2", der mich über den Hinweis auf den ProcessMonitor auf die richtige Fährte gesetzt hatte.

Ich bin jedenfalls diesen nervigen Download-Protect komplett losgeworden. Wie gefährlich er wirklich ist, weiß ich nicht. Er war zumindest ein "Lästling", der sich offenbar inzwischen fleißig weiter getarnt hat.

Also: Bei der Installation von Freeware besser genau jeden Schritt überwachen und vermeintlich gute oder harmlose Angebote konsequent ablehnen. Diese Regel habe ich (wohl bis auf einen Moment der Unkonzentriertheit) stets befolgt. So etwas wie "Download Protect" werde ich mir sicher nie wieder durchs Hintertürchen einhandeln.

"Avira Professional Security" wird bei meinem Firmen-PC sogar stündlich(!) automatisch updated. Ist einfach die Default-Konfiguration, die ich nicht geändert habe. Das in die Quarantäne geschickte Programm "apj-ms-win-core-libraryloader-l1-1-0.exe" ist definitiv die Malware, die bei jedem PC-Boot "nach Hause telefoniert" hat, um die vom (vermutlich) Trojaner "DownloadProtect" benötigten Hilfsprogramme bzw. Browser Helper Objects immer wieder aufs Neue zu installieren und alle anderen Add-ons des FireFox gnadenlos zu entfernen. Also richtig löschen, nicht nur deaktivieren.

Avira erkennt in der Malware-Datei "apj-ms-win-core-libraryloader-l1-1-0.exe" seit heute den Schädling ADWARE/GFilter.B.35 und verfrachtet die Datei in die Quarantäne.

Was aber diese "ADWARE/GFilter.B.35" alles macht, konnte ich bis jetzt leider weder bei Avira noch mit Google herausfinden. Ist wohl noch zu neu.

Ich bin ein Newbie in diesem Forum, aber (wie alle in diesem Thread) ein Geschädigter betreffs "Downlod Protect".

Nach rund 2 Wochen Experimentieren ist es mir gelungen, diesen lästigen Schädling endlich komplett zu eliminieren. Der super ausführliche Bericht im Beitrag #55 von Match2 https://www.camp-firefox.de/forum/viewtopi…tart=45#p928344 hat mir geholfen, indem ich dadurch auf den ProcessMonitor von Microsoft aufmerksam gemacht wurde.

Da ich momentan unter Zeitdruck bin hier nur ein kurzer, aber hoffentlich für alle Leidgeprüften wirksamer Hinweis:

Bitte sucht unter C:\Windows\System32 nach einer ausführbaren Datei namens apj-ms-win-core-libraryloader-l1-1-0.exe Man beachte den Buchstaben "j", der im Windows Exploerer auf den ersten Blick kaum von einem "i" zu unterscheiden ist. Microsoft benennt seine ähnlich lautenden ".dll"-Files "api". Die Datei "apj-ms-win-core-libraryloader-l1-1-0.exe" nennt (oh Wunder) beim Aufruf der Eigenschaften auch nichts, was auf den Urheber hinweisen könnte. "ms-win-core" sollte ja wohl auf Microsoft deuten.

Diese Exe-Datei wird beim Booten laut ProcessMonitor mehrfach aufgerufen Sie erstellt bei jedem Booten erneut die ungewünschten DownloadProtect-Dateien und killt auch alle anderen Add-ons im FireFox.

Bitte diese Datei einfach durch Umbenennung der Erweiterung (z.B. in "xxx" anstatt "exe") unbrauchbar machen und beim nächsten Boot "telefoniert" DownloadProtect" nie mehr nach Hause.

Anschließend habt Ihr alle Zeit, alle lästigen DownloadProtect-Dateien zu löschen und die Registry davon zu säubern. Auch um den Internet Explorer von dem Trojaner zu befreien.

Details dazu werde ich auf Wunsch gerne nachreichen. Muss jetzt leider weg.

Eins noch: DownloadProtect hatte sich bei mir inzwischen als v2.2.5 eigetragen. Kann sein, dass die ominöse EXE-Datei bei älteren Versionen noch nicht benutzt wurde.