unbekanntes Programm installiert sich plötzlich von alleine

[CoMo]

HKU\S-1-5-21-738124996-1520673293-2189215427-1001\...\Run: [Taskbarify] => C:\Users\JSach\AppData\Local\Programs\Taskbarify\Taskbarify.exe (Keine Datei)

Hier ist schonmal der Autostart-Eintrag. Die Datei existiert schon nicht mehr.

Task: {4A61BCE1-02FC-4F8D-AD7D-06CC80F2C130} - System32\Tasks\Microsoft\Windows\EDP\StorageCardEncryption Task => {61BCD1B9-340C-40EC-9D41-D7F1C0632F05} C:\WINDOWS\System32\edptask.dll [0 2021-02-13] () <==== ACHTUNG [Null Byte Datei/Ordner]
Task: {4DDF305C-E963-45BE-A8F0-DB2A76C9E03C} - System32\Tasks\Microsoft\Windows\EDP\EDP Inaccessible Credentials Task => {61BCD1B9-340C-40EC-9D41-D7F1C0632F05} C:\WINDOWS\System32\edptask.dll [0 2021-02-13] () <==== ACHTUNG [Null Byte Datei/Ordner]
Task: {40378C7B-CE71-41E6-9B6F-EDE9D47789DE} - System32\Tasks\Microsoft\Windows\BitLocker\BitLocker MDM policy Refresh => {61BCD1B9-340C-40EC-9D41-D7F1C0632F05} C:\WINDOWS\System32\edptask.dll [0 2021-02-13] () <==== ACHTUNG [Null Byte Datei/Ordner]
Task: {416FBFEF-09C2-4D51-9358-72205B2F5ED3} - System32\Tasks\Microsoft\Windows\BitLocker\BitLocker Encrypt All Drives => {61BCD1B9-340C-40EC-9D41-D7F1C0632F05} C:\WINDOWS\System32\edptask.dll [0 2021-02-13] () <==== ACHTUNG [Null Byte Datei/Ordner]
Task: {71BFB70C-91A5-41C9-B858-C9DACBEF4900} - System32\Tasks\Microsoft\Windows\EDP\EDP App Launch Task => {61BCD1B9-340C-40EC-9D41-D7F1C0632F05} C:\WINDOWS\System32\edptask.dll [0 2021-02-13] () <==== ACHTUNG [Null Byte Datei/Ordner]

Was ist denn das? Nutzt du eine Smartcard, um den PC zu entsperren?

R2 CityRealityXT; C:\Program Files (x86)\Common Files\CityRealityXT\CityRealityXT.exe [2231152 2022-03-15] (FameEngine -> ConvictionEyes Corp) [Datei ist nicht signiert] [Datei wird verwendet]

Ist das eine dir bekannte Software, hast du die installiert?

S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]

Den Schrott bitte mal komplett deinstallieren.

C:\Users\JSach\AppData\Local\Programs\Taskbarify\

Ist dieser Ordner noch vorhanden?

 

[JMeril]

@Restart001 Es steht dort im Autostart, allerderings mit "File not Found" und wenn ich dem angegebenen Pfad folge ist da auch nichts. Ich muss dazu sagen, das ich das Programm per Windows Programme entfernen gleich nach der Installation deinstalliert habe, es allerdings irgendwie im Autostart geblieben ist.

@CoMo Keine Ahnung was das ist, ich nutze keine Smartcard für meinen PC bzw. weiß eigentlich gar nicht was eine Smartcard ist.
Keine Ahnung was CityRealityXT ist, ich hab mal ein GoogleMap "Errate den Ort an dem du dich befindest" Spiel über den Browser gespielt, das passt am ehesten vom Namen, allerdings habe ich da nie etwas manuell installiert und es könnte auch gar nichts damit zu tun haben.

Der Taskbarify Ordner ist nicht mehr vorhanden, wahrscheinlich weil ich Taskbarify gleich per Windows deinstalliert habe.

 

[PC295]

Läuft der Scan mit Malwarebytes schon?

 

[andy_m4]

Nur so als Hinweis, bezugnehmend auf die findbaren Einträge im Internet scheint sich das Taskyfiy tatsächlich als Drive-By Infektion ohne zutun des Users zu installieren

Ok.

Sollte nicht passieren, passiert aber leider heutzutage immer öfters.

Wichtigste Gegenmaßnahme ist da immer den Browser aktuell zu halten. Drive-by bedingt Sicherheitslücken im Browser und daher ist es wichtig, das Löcher da zeitnah gestopft werden.
Die schon geäußerte Idee mit den Blockern passt da natürlich auch gut rein. Umso weniger geladen wird, umso geringer ist die Chance das man sich was reinzieht. Also den Mist (den man so oder so nicht haben will) einfach wegblocken.

Muss ich dazu die Festplatte formatieren (da sind halt Daten drauf und die möchte ich nicht verlieren, andernseits könnten sich solche Malwareprogramme vielleicht in den Daten verstecken?)?

In reinen Daten verstecken ist schwieriger und daher weniger problematisch als ausführbare Dateien (EXE, BAT und wie sie alle heißen). Im Prinzip sind auch Daten infizierbar, aber da ist dann die Malware drauf angewiesen das das betreffende Programm womit die Dateien geöffnet werden verwundbar ist (auch hier gilt wieder: Software aktuell halten).

Sobald Du den Rechner frisch aufgesetzt hast, kannst Du ja auch einfach mal einen manuellen Scan über das Backup drüber laufen lassen. Im Augenblick sind Scans als unzuverlässig anzusehen (also noch unzuverlässiger als die ohnehin schon sind), weil wir davon ausgehen müssen das die Malware noch aktiv ist und dann hat sie viel mehr Möglichkeiten sich effektiv zu verstecken. Scans machen (wenn überhaupt) von einem sauberen System aus Sinn (ne simple Tatsache, die hier von weiten Teilen der lass-mal-nen-Malwarebytesscan-drüberlaufen-Sicherheitsprofis ignoriert wird).

Überleg Dir ne gute Backup/Recovery-Strategie. Damit beim nächsten Vorfall Du Deinen Rechner leicht und schnell wieder hergerichtet kriegst. Dann sinkt auch die Hemmschwelle das zu machen und Du bist nicht versucht halbgare, manuellen Entfernungen zu riskieren. Die ja letztlich Zeit kosten und ziemlich ergebnisoffen verlaufen.

Du bist dadurch gleichzeitig in die Lage versetzt Dir beim nächsten Mal selbst (und effektiv/wirksam) helfen zu können ohne auf fremde (und teilweise auch recht fragwürdige) Hilfe angewiesen zu sein.

 

[CoMo]

Keine Ahnung was CityRealityXT ist, ich hab mal ein GoogleMap "Errate den Ort an dem du dich befindest" Spiel über den Browser gespielt, das passt am ehesten vom Namen, allerdings habe ich da nie etwas manuell installiert und es könnte auch gar nichts damit zu tun haben.

Da läuft jedenfalls ein Dienst mit dem Namen CityRealityXT. Schau mal in deine Diensteverwaltung, stoppe den Dienst und deaktiviere ihn.

Findest du eine Software mit dem Namen in der Liste der installierten Programme?

Kannst du dir erklären, warum im Opera eine solche Such-URL konfiguriert ist:

OPR DefaultSearchURL: Opera Stable -> hxxp://onikienko.pp.ua

Ergänzung (30. März 2023)

Bitte führe in der CMD folgenden Befehl aus und poste die Ausgabe hier:

netstat -ano | findstr :1080

 

[Redundanz]

parallel zur aufklärung/säuberung würde ich zumindest wichtige dokumente auf einen separaten usb stick schieben, falls du KEIN backup von wichtigen daten deines rechners hast.

 

[JMeril]

Es gibt keine CityRealityXT Software in meinen Programmen. Der Dienst lässt sich im Dienstefenster nicht beenden — die Schaltfläche dazu ist ausgegraut. Über den Taskmanager kommt die Fehlermeldung Zugriff verweigert. Die SuchURL von Opera kenne ich nicht, ich nutze auch seit einigen Monaten kaum mehr Opera. Der Netstatbefehl zeigt gar nichts an, allerdings habe ich auch gerade meinen Computer vom Internet getrennt.

 

[CoMo]

Hast du den Dienst gefunden und deaktiviert?

Hast du den McAfee WebAdvisor deinstalliert?

Bitte öffne mal die Internetoptionen-> Verbindungen -> LAN-Einstellungen. Ist dort irgendwas konfiguriert?

 

[andy_m4]

Kannst du dir erklären, warum im Opera eine solche Such-URL konfiguriert ist:

Das könnte auch ein Hinweis darauf sein, das Taskbarify nur die Spitze des Eisberges ist und sich da möglicherweise (und evtl. auch schon über längere Zeit) so einiges angesammelt.
Um 18 Uhr kam sein Posting. Selbst wenn man alles manuell gemacht hätte, wäre man jetzt schon mit nem Großteil der Neuinstallation durch.
Stattdessen plagt sich der Ärmste hier noch stundenlang die Nacht durch mit irgendwelchen Tipps herum nur um dann morgen doch zu beschließen ne Neuinstallation zu machen, da auch in Hinblick auf Onlinebanking etc. ein ungutes Gefühl zurück bleibt.
Ich versteh ich nicht, warum ihr ihn noch dazu ermutigt diesen Quatsch zu machen.

Hilfreich wären Hinweise, wie man solche Vorfälle vermeidet und man sich fürs nächste Mal besser aufstellt, anstatt diese Quacksalberei zu zelebrieren.

 

[JMeril]

Wie im letzten Post ergänzt: ich kann den Dienst nicht beenden.
Ich hatte McAffee glaube ich mal vor Ewigkeiten installiert. Komischerweise bietet mir der Inetexplorer gerade beim Aufrufen der Laneinstellungen (stehen auf automatisch) an McAfeewebversion als Addon zu installieren. Ich hab den schon ewig nicht mehr benutzt.

 

[purzelbär]

Das Beste wäre: du machst eine Datensicherung dir wichtiger Dateien wie Dokumente, Fotos usw. keine Installer und dann machst du eine Windows Neuinstallation: https://www.deskmodder.de/wiki/index.php/Windows_10_clean_neu_installieren und dann verzichtest du auf das besagte Spiel und nutzt für all deine Browser uBlock Origin ich nutze zusätzlich noch für die Browser BitDefender TrafficLight aber das ist optional, wichtiger ist uBlock Origin.

 

[madmax2010]

mcafee ist auch eher schadsoftware und gern voller Sicherheitsluecken die eine infektion unter Umstaenden begünstigen können.
Installier nur was du brauchst. Halte die Programme die du hast Up-To date (was unter windows tbh doch oft wirklich nervig sein kann) Deshalb: minimal halten

Als Plugin im Browser ublock origin blockt dir schon wirklich viele Bedrohungen weg

Nach dem was man hier im thread liest: Setz sauber neu auf. Geht a schnellsten. Und schau, dass du immer saubere backups hast.

 

[purzelbär]

Wie im letzten Post ergänzt: ich kann den Dienst nicht beenden.
Ich hatte McAffee glaube ich mal vor Ewigkeiten installiert. Komischerweise bietet mir der Inetexplorer gerade beim Aufrufen der Laneinstellungen (stehen auf automatisch) an McAfeewebversion als Addon zu installieren. Ich hab den schon ewig nicht mehr benutzt.

Hör auf die User die dir sagen das du eine Windows Neuinstallation machen sollst, dann hast du Gewissheit das dein System auch wirklich clean ist. Für McAfee gibt es ein Uninstall Tool wenn man danach googelt aber ich rate dir zur Neuinstallation von Windows deshalb verlinke ich das McAfee Tool auch nicht.

 

[halninekay]

UAC ausgestellt?

 

[purzelbär]

Nach dem was man hier im thread liest: Setz sauber neu auf. Geht a schnellsten. Und schau, dass du immer saubere backups hast.

Richtig so , hoffentlich hat er eine SSD verbaut.

 

[redjack1000]

Muss ich wirklich meinen kompletten PC neu aufsetzen

Das ist nicht zwingend notwendig, wenn Du ein Backup hast. Wenn Du keins haben solltest, wäre jetzt der richtige Zeitpunkt, dir Gedanken darüber zu machen.

Cu
redjack

 

[CoMo]

In der Tat, da scheint mehr im Argen zu sein als zuerst vermutet. Etwas hat sich da als Dienst festgesetzt, ob es Taskbarify war oder eine Malware, die schon länger auf dem System schlummert, lässt sich kaum noch feststellen. Ich vermute letzteres, denn ein Drive-By-Download im Profilordner kann nicht einfach so Dienste erstellen.

Den CityRealityXT Dienst bekommen wir weg, wenn wir die Powershell mit SYSTEM-Rechten starten. Wenn der aber schon mit diesen Rechten läuft, kann der auch längst ein Rootkit im System verankert haben, das wir zwar auch aufspüren und entfernen können, aber den Aufwand sollten wir uns nicht antun.

Damit schließe ich mich der Empfehlung an, die Daten zu sichern und das System neu aufzusetzen.

Hilfreich wären Hinweise, wie man solche Vorfälle vermeidet und man sich fürs nächste Mal besser aufstellt, anstatt diese Quacksalberei zu zelebrieren.

Naja, das übliche. brain.exe einsetzen, System und Software aktuell halten, Software lieber in der Sandbox testen, dubiose Download-Portale meiden, Software nur noch via Winget und / oder Chocolatey installieren.

Alternativen zu populärer Software einsetzen. Sumatra PDF statt Adobe Reader, Libreoffice statt MS Office etc.

Finger weg von irgendwelcher "Security-Software", die sich tief im System einnistet. Der Windows-Defender reicht in der Regel.

Und natürlich: Backups.

 

[TP555]

Hi

Wie hieß denn deine Datei ?
Und war die im Download Ordner also der vom Bunutzer Verzeichniss ?

Welche Browser nutzt du , und gibt es einen wo du den Download Speicherort geändert hast , und bei einem Standard also das Download Verz. ?

Die das problem haben , war die Datei immer im Download Verz. vom Benutzer zu finden !
Müsste also eine Browser Sicherheitslücke wenn evlt. sein !

Auch interesant wo die Seite drüber läuft !
https://utrace.me/?query=104.21.88.127

https://www.virustotal.com/gui/url/...33d5bb189580fb6297e7b14c4693f2ba2b9?nocache=1

mfg.

 

[andy_m4]

Damit schließe ich mich der Empfehlung an, die Daten zu sichern und das System neu aufzusetzen.

Nicht das Du diese Erkenntnis hättest nicht schon früher haben können. Aber besser spät als nie. ;-)

 

[purzelbär]

Finger weg von irgendwelcher "Security-Software", die sich tief im System einnistet. Der Windows-Defender reicht in der Regel.

Die Diskussion hatten wir schon so oft hier im Forum und ich gehöre nicht zu den Usern die den Defender nutzen und habe mit dem installierten Fremd AV keine Probleme. Abraten würde ich aber auch von aufgeblähten Internet Secuitys oder Total Securitys und zum Glück gibt es auch noch reine AV's verschiedener Anbieter.