Download-Protect 2.2.0 nicht zu entfernen

    Ist zwar noch drauf aber permanent deaktiviert. Aktiviert sich auch nicht mehr nach einem PC Neustart. :)
    Danke für die hilfe.

    Zum Thema Toolbars, wie bekomm ich die alle denn weg? Weil ich die ja alle drauf habe aber keine Ahnung woher.

    Gewöhnlich entfernt AdwCleaner auch Toolbars.

    Du weißt nicht, wie diese auf deinen Rehcner gekommen sind? Oft kommen sie mit irgendeiner Software und diese wird dann nicht benutzerdefiniert installiert. Jegliche Software sollte aber benutzerdefiniert installiert werden, weil es dann die Möglichkeit der Abwahl solcher Mitbringsel gibt.

    Firefox zurücksetzen – die meisten Probleme einfach lösen [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Dies wird Firefox auf die Standardeinstellungen zurücksetzen. Deine Lesezeichen und Passwörter gehen dabei nicht verloren. Die bisherigen Erweiterungen musst du allerdings neu installieren. Nach dem Zurücksetzen werden die alten Profildaten in einem Ordner namens „Alte Firefox Daten“ abgelegt. Wenn das Zurücksetzen das Problem nicht behebt, können einige der Daten, die nicht ins neue Profil übernommen wurden, von dort in das neue Profil kopiert werden. Wenn der Ordner nicht mehr benötigt wird, sollte man diesen löschen, da sensible Daten darin enthalten sind.

    Damit solltest du dich mal befassen:
    Sicherheitskonzept für Windowsnutzer [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Okey danke. Soweit alles mal gemacht davon.

    Jetzt hab ich nur das Problem, das die Programme in der Systemsteuerung, also Die zum Deinstallieren kaum angezeigt werden. Sind nur die aktuellen da die ich aktualisiert habe seit gestern. Kann das daran liegen, dass ich mit AdwCleaner zusammenhängen?

    Zitat

    das die Programme in der Systemsteuerung, also Die zum Deinstallieren kaum angezeigt werden


    AdwCleaner hat laut Protokoll bei dir dort nichts gelöscht. Manch Adware hinterlässt aber auch keine Eintrag dort, es will nicht gefunden werden.

    Ich gehe davon aus, dass du mit CCleaner dein System zerlegt hast - es werden reichlich Events angezeigt, dass diverse Funktionen defekt sind.

    Systemwiederherstellung, Image, neu installieren!? Denke aber an eine Datensicherung davor, sonst sind zB deine Spielestände futsch. Sollte das zu kompliziert sein, wende dich an einen Freund oder ggf Fachhandel. Eigentlich ist das nicht schwer, wenn man sich an diese Reihenfolge hält, denn damit kann man den Vorgang beliebig oft wiederholen :idea:

    Hallo zusammen,

    bei mir waren die Phänomene insgesamt die selben:

    Also im Verzeichnis \Windows\Installer die XPI Datei suchen und löschen, die auch im Programm x86 Ordner zu finden und ebenfalls zu löschen war. Im übrigen konnte der Dateiname auch in der Registry gefunden und gelöscht werden.
    Die verursachende Applikation, die nach jedem Neustart die Einträge mit unterschiedlichen Dateinamen wieder erstellt hat,
    war bei mir der Dienst "Speicher Remoteprozeduraufruf" mit dem Dateiname "wlanuuil.exe" im Windows\System32 Ordner!
    Den Dienst habe ich erst deaktviert, neugestartet und anschließend die Datei gelöscht. Den Dienst kann man beispielsweise mit Emisoft Hijack Free vom System entfernen!!

    Ich hoffe, das hilft Euch weiter!

    Viele Grüße

    Ich bin neu hier und auch nur deshalb, anderen bekannt zu machen, was ich zu dem Thema sagen kann, ich hoffe, es hilft vielen, denn alles. was ich bisher im Web gelesen habe, ist entweder auf Dauer unwirksam oder extrem umständlich.

    Notgedrungen habe ich mich die letzten 3 Tage auch mit der Entfernung des Schädlings befaßt. So nach und nach habe ich mich an das grundlegende Übel herangetastet. Merkwürdigerweise ist ja weder AdwCleaner noch Malwarebytes in der Lage, die Malware dauerhaft zu entfernen.

    Wie schon von anderen beobachtet, steckt das eigentliche AddOn in einer Datei {......}.xpi im Verzeichnis C:\Windows\Installer. Die kann man leicht suchen und den Ordner löschen. Der Aufruf des AddOn erfolgt bei Firefox-Start über einen Eintrag in der Registry, den der Schädling anlegt. Er fügt in der Registry einen Schlüssel "Extensions" zum Firefox hinzu unter

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions

    mit dem Verweis auf eben diese Datei vom Typ *.xpi im Installer-Ordner, die einen kryptischen Dateinamen wie ein Windows-Schlüssel hat, also z.B.

    {E483D4FF-1ECD-4218-8560-CAAB6DF31A9C}.xpi

    Zweifellos muß sowohl die AddOn-Datei *.xpi wie auch der Schlüssel "Extensions" in der Registry gelöscht werden (Firefox muß dabei geschlossen sein), dann ist der Schädling tatsächlich beim nächsten Aufruf von Firefox verschwunden.
    Aber so einfach macht es uns der Entwickler nicht, denn nach dem nächsten PC-Neustart ist alles wieder beim Alten, die Registry wurde erneut verändert, die *.xpi-Datei ist wieder da, wenn auch unter verändertem Namen!
    Es nützt also allein nichts, den Registry-Schlüssel und den Pfad im Installer zu löschen, man muß weitere Schritte unternehmen, die die Restaurierung verhindern. Woher also kommen die Daten und wer veranlaßt die Restaurierung?
    Schnell wird klar, dass keine Restaurierung erfolgt, wenn man beim PC-Neustart das Internet abgetrennt hat! Also holt sich der Schädling seine Daten bei jedem Booten neu aus dem Internet!

    Nun habe ich mit dem ProcessMonitor alle Vorgänge während des Hochfahrens aufgezeichnet. Da ich wissen wollte, wer die Änderung an der Registry veranläßt, habe ich den Report gefiltert auf

    path=HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions    .

    Ich habe die unbewiesene Vermutung, dass der Schädling für seine eigentliche Schadsoftware variable Namen und Bezeichnungen verwendet, so dass es sein kann, dass die Dateien- und Dienstenamen, wie ich sie bei mir vorgefunden habe, bei einem anderen PC anders heißen, aber sinngemäß kann man sie finden. Der letzte Beitrag über meinem scheint diese Annahme zu bestätigen.

    Nun, bei mir war es der Dienst "\System32\syncengd.exe", der die Registry veränderte. Hinter welchem der vielen vorhandenen Dienste nun aber verbirgt sich der Schädling? Ich vermutete, dass es sich um einen gestarteten Dienst handelte und um einen Netzwerkdienst, da er ja Zugriff auf das Internet braucht. So habe ich in der Diensteverwaltung (Systemsteuerung oder per Eingabe Start -> "services.msc") sortiert auf Netzwerkdienste zuerst und Gestartet zuerst. Nun habe ich mir die Dienste auf Plausibilität angesehen. Die Bezeichner sollten nachvollziehbar sein, auch die Beschreibung dazu, wenn man draufklickt, sollte verständlich sein. Dabei bin ich auf einen Dienst "RDPCDD Windows for" gestoßen, der neben der konfusen Bezeichnung auch keinerlei Beschreibung liefert. Ein Blick in die Eigenschaften brachte zum Vorschein, dass es sich um die Datei C:\Windows\System32\syncengd.exe handelt. Volltreffer!

    Probeweise habe ich den Dienst erstmal deaktiviert, die eingangs genannten Dateien xpi sowie den Registry-Eintrag gelöscht und anschließend mehrmals einen Neustart mit Internet ausgeführt. Und tatsächlich, die Registry wurde nicht mehr verändert, die xpi nicht neu erstellt.
    Nun mußte ich "nur" noch den Schad-Dienst entgültig löschen, doch das geht nicht über die Diensteverwaltung. Dazu schaut man sich nochmal in den Diensteeigenschaften den Dienstenamen an (steht relativ weit oben und ist nicht identisch mit dem Dateinamen!). Nun geht man in die Registry in den Pfad

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

    und sucht dort diesen Dienstenamen. Einfach den Schlüssel
    dieses Namens komplett löschen. Nun noch die Datei syncengd.exe selbst auch noch löschen, fertig!
    Eine neue Restauration findet nun nicht mehr statt.

    Der Schädling hinterläßt aber teils noch weitere Dateien im System, über deren Sinn ich mir nicht klar bin. Es sollte aber geboten sein, auch diese noch zu löschen.

    So wurde an 2 Stellen auf C: eine Datei dlprotect.exe gefunden und gelöscht (einfach mal nach dlprotect suchen lassen).
    Ebenso schreibt die Malware immer gleichzeitig mit der Registry-Änderung auch einen kryptischen Ordner in die Programmordner. Dort finden sich in C:\Program Files\ sowie C:\Program Files (x64)\ je ein Ordner mit schlüsselartiger Bezeichnung wie {E483D4FF-1ECD-4218-8560-CAAB6DF31A9C}, der u.a. eine ebensolche kryptische *.bin-Datei enthält. Auch diese Ordner habe ich komplett gelöscht.

    Einmal editiert, zuletzt von Matsch2 (25. Juli 2014 um 15:24)

    Zitat von 2002Andreas

    PS:
    Mach bitte mal das Update auf Firefox 31 :wink:


    Oh, ich hatte mich auf die automatischen Updates verlassen. Da muß wohl was falsch eingestellt sein. Danke für den Hinweis.

    Zitat von Matsch2

    Der Schädling hinterläßt aber teils noch weitere Dateien im System, über deren Sinn ich mir nicht klar bin. Es sollte aber geboten sein, auch diese noch zu löschen.

    Das bestätigt aber wiederum meine Meinung. Ein befallenes System einfach platt und neu machen. Die gemeinen Anwender besitzen einfach nicht deine Kenntnisse um das System zu untersuchen. Da ist jeder Versuch einfach nur schade um die Zeit.

    Dennoch meine Achtung für deine Forensik und die gute Anleitung.

    miha2006 hatte ja gerade das Gleiche gemeint, aber zugegeben, ich hatte es vor meinen eigenen Recherchen noch gar nicht so verstanden. Aber eines ist nun doch klar:

    Zitat von miha2006

    ... war bei mir der Dienst "Speicher Remoteprozeduraufruf" mit dem Dateiname "wlanuuil.exe" im Windows\System32 Ordner!


    dass sich der Netzwerkdienst des Schädlings doch unter verschiedenen Namen und Bezeichnungen tarnt, indem er eine gebräuchliche Dienstdatei immitiert und deren Namen nur durch ein oder 2 zusätzliche Zeichen im Namen ergänzt.

    Zitat von .Hermes

    Das bestätigt aber wiederum meine Meinung. Ein befallenes System einfach platt und neu machen.


    !
    Oder wenn Vorhanden, ein Image von vorher drauf!

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.