Download-Protect 2.2.0 nicht zu entfernen

Hab ich zunächst auch gedacht. Doch wie lange ist der Schädling schon drauf? Gewöhnlich hebt man Sicherungen nicht ewig auf. War die Malware schon im letzten Image drauf? Gerade Download Protect macht ja nicht vordergründig auf sich aufmerksam. Eine der Dateien trug das Datum 15.01.14. War der PC schon so lange verseucht? Dann hätte ich keine unverseuchte Sicherung mehr.

Du machst mir Angst ... :shock:
Dann halt doch neu machen.

Zitat von Matsch2

Eine der Dateien trug das Datum 15.01.14.

Vermutung von mir!
Es könnte! sein, das die Datei zwar das Datum hat, d.h. aber nicht zwangsläufig, das du sie seitdem auf dem PC hast.
Oder wird bei dem Datum angezeigt ,das sie seitdem auf dem PC ist!?

Alles richtig, ich weiß halt nur nicht, was zutrifft. Vielleicht müßte man die Sicherung vorher nach der xpi-Datei durchsuchen.
Wenn die Art der Sicherung dies zuläßt.

Ich bin ein Newbie in diesem Forum, aber (wie alle in diesem Thread) ein Geschädigter betreffs "Downlod Protect".

Nach rund 2 Wochen Experimentieren ist es mir gelungen, diesen lästigen Schädling endlich komplett zu eliminieren. Der super ausführliche Bericht im Beitrag #55 von Match2 https://www.camp-firefox.de/forum/viewtopi…tart=45#p928344 hat mir geholfen, indem ich dadurch auf den ProcessMonitor von Microsoft aufmerksam gemacht wurde.

Da ich momentan unter Zeitdruck bin hier nur ein kurzer, aber hoffentlich für alle Leidgeprüften wirksamer Hinweis:

Bitte sucht unter C:\Windows\System32 nach einer ausführbaren Datei namens apj-ms-win-core-libraryloader-l1-1-0.exe Man beachte den Buchstaben "j", der im Windows Exploerer auf den ersten Blick kaum von einem "i" zu unterscheiden ist. Microsoft benennt seine ähnlich lautenden ".dll"-Files "api". Die Datei "apj-ms-win-core-libraryloader-l1-1-0.exe" nennt (oh Wunder) beim Aufruf der Eigenschaften auch nichts, was auf den Urheber hinweisen könnte. "ms-win-core" sollte ja wohl auf Microsoft deuten.

Diese Exe-Datei wird beim Booten laut ProcessMonitor mehrfach aufgerufen Sie erstellt bei jedem Booten erneut die ungewünschten DownloadProtect-Dateien und killt auch alle anderen Add-ons im FireFox.

Bitte diese Datei einfach durch Umbenennung der Erweiterung (z.B. in "xxx" anstatt "exe") unbrauchbar machen und beim nächsten Boot "telefoniert" DownloadProtect" nie mehr nach Hause.

Anschließend habt Ihr alle Zeit, alle lästigen DownloadProtect-Dateien zu löschen und die Registry davon zu säubern. Auch um den Internet Explorer von dem Trojaner zu befreien.

Details dazu werde ich auf Wunsch gerne nachreichen. Muss jetzt leider weg.

Eins noch: DownloadProtect hatte sich bei mir inzwischen als v2.2.5 eigetragen. Kann sein, dass die ominöse EXE-Datei bei älteren Versionen noch nicht benutzt wurde.

Avira erkennt in der Malware-Datei "apj-ms-win-core-libraryloader-l1-1-0.exe" seit heute den Schädling ADWARE/GFilter.B.35 und verfrachtet die Datei in die Quarantäne.

Was aber diese "ADWARE/GFilter.B.35" alles macht, konnte ich bis jetzt leider weder bei Avira noch mit Google herausfinden. Ist wohl noch zu neu.

Mache ein UpDate der Virendefinitionsdatei.... meist ist so was ein FalsePositive... neulich wurde hier plötzlich die Installationsdatei von CDxpBurner_Setup.exe als Viraler Schädling angesehen....

"Avira Professional Security" wird bei meinem Firmen-PC sogar stündlich(!) automatisch updated. Ist einfach die Default-Konfiguration, die ich nicht geändert habe. Das in die Quarantäne geschickte Programm "apj-ms-win-core-libraryloader-l1-1-0.exe" ist definitiv die Malware, die bei jedem PC-Boot "nach Hause telefoniert" hat, um die vom (vermutlich) Trojaner "DownloadProtect" benötigten Hilfsprogramme bzw. Browser Helper Objects immer wieder aufs Neue zu installieren und alle anderen Add-ons des FireFox gnadenlos zu entfernen. Also richtig löschen, nicht nur deaktivieren.

Zitat

Der Software hängt leider kein guter Ruf an. Immer wieder wird die Software mit User-Tracking und ungewünschten Pop-ups in Verbindung gebracht.

Quelle

Zitat von jfa

Das in die Quarantäne geschickte Programm "apj-ms-win-core-libraryloader-l1-1-0.exe" ist definitiv die Malware,

Dann ist nun ja alles schön.... bleibt die Frage, wie die Betroffenen sich mit dem schönen Teil verseucht haben? Da sollte in Zukunft angesetzt werden...
Klick mich: Sicherheitskonzept für Windowsnutzer

Vieeln Dank für die Vorarbeit
Die Entwickler haben wirklich viel kriminelle Energie reingesteckt.
Die Namen variieren stark. Bei mir waren mehrere Dienste installiert:
Einer sogar mit Namen "Download Protect Service", der andere hieß
"adp94xx storvsc DCOM-Server-Prozessstart", Datei C:\Windows\System32\srvcli64.exe
Letzterer war schon verdächtig, Sicherheit brachte dann der ProcessMonitor.

Zitat von schr66

Vieeln Dank für die Vorarbeit
Sicherheit brachte dann der ProcessMonitor.

Der Dank für die Vorarbeit gebührt nicht wirklich mir, sondern dem User "Match2", der mich über den Hinweis auf den ProcessMonitor auf die richtige Fährte gesetzt hatte.

Ich bin jedenfalls diesen nervigen Download-Protect komplett losgeworden. Wie gefährlich er wirklich ist, weiß ich nicht. Er war zumindest ein "Lästling", der sich offenbar inzwischen fleißig weiter getarnt hat.

Also: Bei der Installation von Freeware besser genau jeden Schritt überwachen und vermeintlich gute oder harmlose Angebote konsequent ablehnen. Diese Regel habe ich (wohl bis auf einen Moment der Unkonzentriertheit) stets befolgt. So etwas wie "Download Protect" werde ich mir sicher nie wieder durchs Hintertürchen einhandeln.

Hallo Leute!

@ DownloadKiller: dein Tipp mit Erfolgspotential ist auch in der 2.2.x. aufwärts hervorragend! Bester Dank, dem Ehre gebührt! Muss man erstmal draufkommen! Hab zwei Stunden mich intensiv mit dem Thema befasst, u. a. hab ich diverse Malware-Killer ausprobiert aber die waren überhaupt nicht überzeugend mit dem entfernen! Kein zurücksetzen brachte was! Im Gegenteil hatte man mir etliche Programme zum Sonderpreis angeboten! "Auch eine Masche was zu Verkaufen" Dank Deines vorzüglichen Entwertungweges konnte ich ein paar Schweißtropfen weniger abwischen! Echt gut! Mein Arbeits-SYS ist ein Win8.1 64Bit RTM quasi Core mit FF 38.0.6 und IE 11!

PS: Es sind um dieser Zeit wo ich mir den Eintrag einfing laut Zeitstempel die Alarmglocken bei Kaspersky angegangen, aber dafür war es dann schon zu spät! Schlimm wenn man vor einen neuen Mist steht mit dem man nichts anfangen kann! Bei Deinem Suchvorschlag mit dem Installer sind bei mir noch 2 Daten ohne Endung, nur mit Buchstabenkauderwelsch eingegangen! Weis nicht ob die dazu gehören!

Zitat von NeuerNutzer

....FF 38.0.6

Tippfehler? Wenn nicht, woher bezogen?

Hallo NeuerNutzer,

Börsenfeger will damit zum Ausdruck bringen, das Version 38.0.5 die offizielle Version ist.

Hallo Börsenfeger! Hab mich nicht vertippt! Wenn man das "über Firefox-Fenster," öffnet steht dann da 38.0.6 drinne und ist aktuell! Die Datei heißt Firefox_Setup_38.0.6de.exe. Ist von http://www.chip.de/downloads/Firefox_13014344.html ! Von keiner anderen Seite sonst! Ausser man lässt einen RSS-Feed mitlaufen , von irgendeine Seite die Technik-Downloads beinhaltet, wie z.B. die von FileHippo bzw. TecChannel! Bis dann!!!

PS: Ich bin nicht voreilig und auch nicht alt, nur der zu hastig ist braucht Gewalt! Mit den Jahren wird man ruhiger!

Chip etc. ist keine offizielle Downloadseite für den Firefox

Die Version 38.0.6 ist keine Version von Mozilla.

Lies das bitte mal dazu:

Kommentar: Firefox 38.0.6-Update, Downloadportale und deren Seriosität

Ein Hinweis für die Zukunft mal.

Programme bitte immer nur direkt vom Hersteller laden.

Programme immer nur benutzerdefiniert installieren, damit du genau sehen kannst, was dir evtl. zusätzlich noch installiert werden soll.

Toolbars immer abwählen!

Und bitte nie etwas von der Seite Softonic downloaden

2002Andreas! Ich danke für die hinweisenden Worte! Alles ja gut gemeint! Wird auch von mir hoch anerkannt!

Also hat man bei der 36.0.6 nichts bei gewonnen, obwohl Mozilla die Datei schrieb! Ich zitiere "Tatsächlich hat Mozilla eine Version 38.0.6 von Firefox erstellt" laut den Worten des Artikels! Warum dann knapp 80 Mio User das machten ist mir ein Rätsel oder waren genauso schlau wie ich! Man muss sich wirklich nur die orginale Seite nehmen, wenns ums Orginal geht!

@Börsenfeger bin neu in Sachen DSL, Programme, etc. und werde den Fehler bestimmt nicht mehr machen! Werde aus den Fehlern lernen zu versuchen! So viel Zeit verbringe ich auch noch nicht damit! Es gibt auch noch Fussball, Mädchen etc.

Der Download-Protect-Project hat sich erledigt!
Es kam nur weil ich mit http://www.freeware.de zu tun hatte! Es ging um das Programm Mojidoku! Lauter Popups gingen auf und Werbung ohne Ende!

Echt gut von Euch das der Nutzen auch funktioniert mit den tollen Tipps! Danke!

Und nicht mehr vergessen: Programme immer von der Herstellerseite herunterladen. Den Firefox z.B. von hier https://www.mozilla.org/en-US/firefox/all/.

Und lies Windows: Mehr Sicherheit! in meiner Signatur!