Download-Protect 2.2.0 nicht zu entfernen

  • Alle Änderungen von Tuneup nach Möglichkeit rückgängig machen und den Dreck dann deinstallieren.

  • Hallo

    Ich habe das gleiche Problem, "Download Protect 2.2.0" ist auch bei mir aufgetaucht. Kein
    Viren/Malware/..-Tool hat was gefunden, auch nicht beim Scan unter Ubuntu.
    Die angegebene Lösung funktioniert bei mir (Windows 7 Home Premium) nur bis zu einem
    Computer-Neustart, danach ist das Add-on wieder da.

    Ich habe versucht rauszufinden was da eigentlich abgeht.
    Es scheint "etwas" schreibt in C:\Windows\System32\GroupPolicy\Machine\Registry.pol

    PReg [ S o f t w a r e \ P o l i c i e s \ G o o g l e \ C h r o m e \ E x t e n s i o n I
    n s t a l l F o r c e l i s t ; 1 ; ; ; p e b k h c k c m i f k a c d c a o j c a
    a d b m h k b d b l j ; f i l e : / / / C : / W i n d o w s / I n s t a l l e r / % 7 B B 6 4
    A 0 3 F 1 - 2 E 2 B - 4 3 A 0 - 9 B 0 D - C B 4 9 6 8 A E F D 5 D % 7 D / x p e b k h c k c m
    i f k a c d c a o j c a a d b m h k b d b l j m l ]

    woraufhin die Registry unter
    HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome einen key "a766dfeb" mit dem binären Wert
    ("XQbXtK/WqMcKQ8e9+HIPxARBMBT+dg39Sh
    +WNxEiAUDm7sB3er3o2raipBRC/riCH7R96+nDoHPif5HLDO3PkEjOPNlYjTC
    +O3dfxCgQhV4IXJGPu8TMiAPydVlQbL02qm+wgvC767nnB4G
    +PZdAuzCfQ9dZ3cy/SYhj3jPirHmrxWeKfr3UsW43fREkEQGo4JJ
    +QSwei7IC9I5nqZ/HKv6XyJ1s56i9/2cVDxl1zjc6fa4RSsezJ3gXqLAMMY6u5590zHHEOz80GOv
    +EM9t/1xgYMBytTZCi9qaCN1/vbxuFbuK513YZxQOktWQ0dTuKpL4Z98TTASnaSLoXhOEIsDN18bes8Tczo
    +tRkUtpHKKzkP8AigeJacWQIPxyGcNUxLd1+QGMvwKZNahOf8UplB90YpKgM6+b3u3EHiwdOE=") bei jedem Neustart anlegt.

    Ausserdem werden in C:\Windows\Installer zwei Verzeichnisse angelegt
    1) {B64A03F1-2E2B-43A0-9B0D-CB4968AEFD5D}
    2) {7691B03B-3544-47AB-9BD8-5D16F1FDF747}

    In 1) liegen die beiden Dateien, die in Registry.pol stehen:
    "cpebkhckcmifkacdcaojcaadbmhkbdbljrx" mit 790kb und "xpebkhckcmifkacdcaojcaadbmhkbdbljml" mit
    einem kb. Diese Letztere ist wieder gut lesbar:
    "<?xml version='1.0' encoding='UTF-8'?><gupdate xmlns='http://www.google.com/update2/response'
    Protocol='2.0'> <app appid='pebkhckcmifkacdcaojcaadbmhkbdblj'> <updatecheck
    codebase='file:///C:/Windows/Installer/%7BB64A03F1-2E2B-43A0-9B0D-CB4968AEFD5D
    %7D/cpebkhckcmifkacdcaojcaadbmhkbdbljrx' version='2.2.0' /> </app></gupdate>"

    Die erstere, 790kb Datei enthält javascript mit binärdaten. Dort tauchen base64 codiert zwei
    urls auf:
    http://de.linktrackingnet.com/y/c.php
    http://download-web-shield.com/
    Anscheinend schickt "Download Protect" Informationen dort hin.

    Aus dieser ersteren grossen Datei wird dann unter dem Verzeichnis 2) eine Firefox-Extension zusammengebaut:
    {85710B27-1AA8-40CB-9781-1C6C08CA06EF}.xpi mit 778kb

    Dort sind wieder die gleichen urls und javascript und Binärdaten zu finden.
    Jedesmal wenn man die Verzeichnisse und die keys in der Registry löscht und wieder bootet werden die Dateien wieder erzeugt, aber die Verzeichnis- und Dateinamen geändert, die Verzeichnispfade bleiben aber gleich.

    Und jetzt die 1 Euro-Frage: Wer oder was schreibt bei jedem Reboot die Daten wieder in die Verzeichnisse und wie werde ich es wieder los ohne Windows-Neuinstallation?

    Vielleicht kennt sich ja jemand mit den GruppenPolicies bei Windows besser aus als ich?

  • Zitat

    Ausserdem werden in C:\Windows\Installer zwei Verzeichnisse angelegt
    1) {B64A03F1-2E2B-43A0-9B0D-CB4968AEFD5D}
    2) {7691B03B-3544-47AB-9BD8-5D16F1FDF747}


    Chrome kann mit der GPO umgehen, Firefox nicht, daher muss das bei Firefox anders geregelt werden
    https://support.google.com/chrome/a/answer/187202?hl=de

    Der Eintrag besagt, dass die MSI-basierte Installation prüfen soll, ob noch alles vorhanden ist und falls nicht, reparieren

    GPedit gibt es erst ab Windows 7 Pro, damit liesse sich das bearbeiten, Windows 8 hat es, bis Win7 Home Premium liesse es sich nachrüsten.
    http://windows.microsoft.com/de-de/windows7…ent-for-it-pros

  • Hallo
    Ich habe mir den Gruppenrichtlinieneditor installiert, aber nichts gefunden.
    Allerdings habe ich gemerkt, dass wenn ich alles (Registry, Files) lösche dann ist "Download Protect 2.2.0" auch im Firefox verschwunden. Bis zum nächsten Windows Reboot. Aber: wenn ich beim Booten kein Internet habe bleibt der DLP auch verschwunden. Erst wenn ich Internet anschliesse ist nach ein paar Minuten auf einmal wieder alles da in der Registry und die beiden Einträge in Windows\Install mit einem aktuellen Zeitstempel.

    Also habe ich einen Netztrace laufen lassen und festgestellt, dass etwas beim Booten oder sobald Internet vorhanden ist die gesamte 790kb crx Datei runterlädt und wieder installiert. Irgendjemand hat sich da Gedanken gemacht wie man dieses "Add-on" so baut dass man es nicht wieder verloren geht. Und nicht überraschend ist die url die gleiche wie die, die auch im xpi javascript code auftaucht.

    Registriert ist die eine Domain auf eine englische Firma, die andere auf eine Slowakische.

    Und als Beweis noch das Paket mit dem Nachladeauftrag:
    ...@...°......eºê._Ï.n.Ö.)G.F´#>ç¼Öxïé..........À...........¿....................>..........2....&ò÷¼È.._râ®..E..$.°@....À¨T.Rba¹Àp.PhwMÁ.fÔP.@)ÉÜ..GET /?93aa4f41f3d407867b7debe0&v=6.1.7601&u=3797c3e8bcd514c6d690aecdd62681dc&ts=1&i=BB16EB05-9A21-4C79-B2B3-EAF02E10D4FB HTTP/1.1..Host: e0d38d993f049fdd.dpa.download-web-shield.com..Cache-Control: no-cache....

    Danach kommen viele hundert Datenpakete mit dem Inhalt.

    Wenn mir jetzt noch jemand sagt wie ich rausfinde welcher Prozess oder Dienst oder was auch immer diesen Request rausschickt wäre ich sehr dankbar. Oder vielleicht findet sich ja einer der vielen Malwaredetektorenhersteller, die sich diesem Ding annehmen. Ich nehme an es haben viel mehr Leute dieses "Add-on" in ihrem Chrome oder Firefoxbrauser als man denkt.
    Schliesslich fällt er nur auf weil er das "no script" Add-on rauswirft.

    Danke für jede Hilfe

  • Du solltest dir jemanden vor Ort suchen, der sich wirklich damit auskennt. Oder Windows zurücksetzen/wahlweise Image.

  • Hallo,

    habe am Sonntag auch mal mit einem Kumpel, der etwas tiefer in der Materie drin ist, 3 Std lang versucht, das Teil zu entfernen

    Zitat von roska


    Schliesslich fällt er nur auf weil er das "no script" Add-on rauswirft.


    Das stimmt nicht so ganz: Er entfernt fast alle Add-Ons. Gerade mal für das Fritz!Box-AddOn läßt er unberührt. Aber ansonsten, egal ob BetterPrivacy, Adblock, ebay, alles wird rausgeschmissen.

    Aber wir sind auch immer wieder hängen geblieben. Mal nicht so technisch ausgedrückt: Selbst Deinstallation von FireFox und sämtlichen Einträgen in der Registry, haben nur kurzfristig zum Erfolg geführt. Es sind wohl zwei Stufen, die das Ding durchläuft: Erstens: ist die xpi-Datei vorhanden, zweitens ist der Eintrag in der Registry da. Denn wenn alles neu installiert ist, ist beim ersten Start kein Add-On da. Selbst nach einem Neustart ist zunächst alles sauber. Aber spätestens beim zweitem Neustart ist das Ding wieder da.

    Aber der Hinweis

    Zitat von roska


    beim Booten oder sobald Internet vorhanden ist die gesamte 790kb crx Datei runterlädt und wieder installiert


    ist ein guter Hinweis. Mein Kumpel will sich jetzt zuhause mal damit auseinander setzen. (Aber ich befürchte auch eine Neuinstallation). Denn

    Zitat von roska


    Anscheinend schickt "Download Protect" Informationen dort hin


    veranlaßt mich, doch sämtliche Paßwörter neu zu generieren :grr:

  • Ich habe weiter gebastelt und festgestellt, dass der "Download Protector" als Dienst (Service) installiert ist.
    Genauer wurde bei mir ein Dienst "HID-USV-Akkutreiber für Procedure" von "Unbekannt" als Service angezeigt.
    Das sieht man bei msconfig unter "Services", Häkchen bei "Hide all Microsoft services". Oder im "Computer Management"-"Services and Applications". Erst einmal den Dienst deaktivieren. Alle vorher genannten Dateien unter allen Verzeichnissen und in der Registry löschen. Ich habe Firefox und Chrome auch noch deinstalliert. Dann rebooten und schauen. Bei mir war danach der Spuk vorbei.

    Anschliessend habe ich den Dienst gelöscht. Als Admin in der cmd console "sc delete tbskkill" eintippen (der Dienst heisst eigentlich tbskkill, nur der angezeigte Name hat einen "HID-USV-..." Eintrag). Und noch die Datei apircl64.exe unter c:\Windows\System32 löschen, die Registry von den tbskkill Einträgen säubern, und schon sollte alles wieder in Ordnung sein. Bisher ist es das zumindest bei mir.

    Viel Erfolg!

  • Bei mir finde ich diesen Dienst jedoch nicht. Ich hab da auch nachgeschaut aber da ist nichts. :(
    Finde da zwar 4 Sachen wo Unbekannt dabei steht aber sonst ist da nichts. Ich werd da noch verrückt.
    Bei mir ist der Download Protector sogar 2 mal in Firefox. :(

  • Ja ich habs ja schon probiert so wie Download Killer das erklärt hat. Nur geht das leider bei mir nicht. Ich hab die xpi gesucht und gelöscht und dann versucht die in der Registry zu finden unter Mozilla nur da ist die nicht. Da ist auch kein Ornder wo Extension steht. .__. Somit kann ich die da ja auch nicht löschen und das Ding bleibt einfach da.

  • Nachfolgendes hättest du gefunden, wenn du aufmerksam gelesen hättest:

    Dann noch mal exklusiv für dich:

    ► Unter Hilfe => Informationen zur Fehlerbehebung kopierst du den Inhalt des Feldes durch Drücken des Buttons Text in die Zwischenablage kopieren und fügst den Inhalt in Klammer Code in deinen nächsten Post.

    ► PlugIns auflisten: Gebe in die Adressleiste von Firefox about:plugins ein, enter. Füge die Inhalte mit Klammer Code ein.
    [Blockierte Grafik: http://i44.tinypic.com/21jx9qp.jpg]

    ► Benutze AdwCleaner [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] und bevor du etwas löschen lässt, poste den Inhalt des Logfiles in Klammer CODE.

    [Blockierte Grafik: http://i44.tinypic.com/21jx9qp.jpg]

    Mit Administrator-Rechten machst du bitte einen Scan mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Malwarebytes Deutschsprachige bebilderte Anleitung [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png].

    Vor dem Scan ein Update von Malwarebytes machen, Haken bei "Aktiviere kostenlosen Test von Malwarebytes ANTI-Malware PRO" entfernen, dann einen vollständigen Suchlauf durchführen und den Inhalt des Logfiles in deinen nächsten Post in Klammer CODE einfügen. Wichtig: Nach dem Scan nichts löschen!

  • Zitat von roska

    Ich habe weiter gebastelt und festgestellt, dass der "Download Protector" als Dienst (Service) installiert ist.
    Genauer wurde bei mir ein Dienst "HID-USV-Akkutreiber für Procedure" von "Unbekannt" als Service angezeigt.
    [...]
    Anschliessend habe ich den Dienst gelöscht. Als Admin in der cmd console "sc delete tbskkill" eintippen (der Dienst heisst eigentlich tbskkill, nur der angezeigte Name hat einen "HID-USV-..." Eintrag). Und noch die Datei apircl64.exe


    Google findet derzeit nichts weiter, also ist das einzigartig bei dir und das erscheint mir recht unwahrscheinlich bei einer Adware. Ich befürchte, da dir jemand was ganz spezielles untergejubelt, aber keine Adware, sondern schlimmer. Du hast offensichtlich einen Feind.

  • So ich glaub das müsste alles sein, ich hoffe das ist so richtig?!
    Hoffe man kann mir jetzt helfen. XD Ist einiges an Funden gekommen. :D

  • Zitat von Polokoll

    DIe hab ich nicht istalliert. Die waren schon drauf.

    Von Geisterhand?

    Dann lass mittels der eingesetzten Tools alles löschen und mach erneut beide Scans, anschließend wieder die Ergebnisse posten.

    Aber diesmal einen vollständigen Suchlauf mit Malwarebytes! Und keinen

    Code
    Suchlauf-Art: Bedrohungs-Suchlauf
  • Das ist alles was nach dem Löschen übrig ist.