Windows PUADlManager:Win32/Download Sponsor

[roter-flitzer]

Hallo, PUADlManager:Win32/Download Sponsor

Status : Aktiv

Details: Das Verhalten dieses Programms ist potenziell unerwünscht.

Gefunden durch Windows-Defender.

Ich bekomme es nicht Deinstalliert.

Hat jemand eine Lösung??

.M.f.G
r-f

 

[Ravensberger]

Moin,

von alleine ist der Trojaner nicht gekommen und hat sich sehr wahrscheinlich tief im System eingenistet. Ich würde eine solche Installation formatieren.

Du kannst auch hier einmal schauen: https://malwaretips.com/blogs/remove-puadimanagerwin32-offercore-pup-trojan/

Beitrag automatisch zusammengeführt: 29 Apr. 2024

Ach ja: Anschließend ALLE Passwörter ändern!

 

[der_ingo]

Es handelt sich nicht um einen Trojaner, sondern um irgendeine Werbe-Software.

In welchen Dateien wird das denn erkannt? Existiert die gefundene Datei noch?

Von dem oben genannten Link, der auf einen generischen Artikel verweist, würde ich jetzt eigentlich nur den Adwcleaner einsetzen, da es hier am ehesten um Adware geht.

AdwCleaner

AdwCleaner is a free removal tool for : Adware (ads software) PUP/LPI (Potentially Undesirable Program) Toolbars Hijacker (Hijack of the ...

toolslib.net

Wegen vermutlich harmloser Adware gleich das System zu formatieren kann man machen. Ist dann aber wie Notschlachten wegen eines eingerissenen Fußnagels. ;-)

 

[hgahse]

Einmal mit Malwarebytes drübergehen sollte genügen...

 

[Schwartz]

Wie bereits gesagt, es gibt Abstufungen bei Schadsoftware. Müll- und Werbekram der sich schwer deinstallieren lässt ist schlimmstenfalls "lästig".

Unerwünscht und "Sponsor" sind hier die Schlagworte. Sonst würde da "Trojan" stehen.

 

[Mornsgrans]

PUADlManager:Win32/Download Sponsor

Status : Aktiv

Details: Das Verhalten dieses Programms ist potenziell unerwünscht.

Klicke auf Details, dann sollte auch ein Programmname angezeigt werden.

 

[roter-flitzer]

Hallo, vielen Dank für eure für eure Tipps.

Aber alles probieren hat nichts genutzt.

Also habe ich das System gekillt und neu aufgespielt.

M.f.G.

r-f

 

[der_ingo]

Okay, auch eine Methode.

Falls wieder irgendwelche Meldungen über angebliche Schadsoftware auftauchen, schau bitte zuerst mal, in welcher Datei sie genau stecken soll.
Manchmal sind PUA ja schlichtweg in Downloads von nicht vertrauenswürdigen Seiten enthalten und ein einfaches Löschen hilft dann schon.

 

[fakiauso]

Manchmal sind PUA ja schlichtweg in Downloads von nicht vertrauenswürdigen Seiten enthalten und ein einfaches Löschen hilft dann schon.

Hatte letztens auch erst den Fall bei einem Bekannten, wo zwar die eigentliche Software entfernt wurde, sich aber im User-Verzeichnis unter den ausgeblendeten Ordnern noch ein Eintrag befand, der sich aus Windows heraus nicht ohne weiteres löschen liess. Da half auf die Schnelle ein Live-Linux, mit dem die Datei entfernt wurde.

Der Plunder war das Ende einer Kette, wo so nach meiner Recherche erst ein Pop-Up wie die Meldung des veralteten Browsers einen angeblich fehlenden Virenschutz bemängelte und anscheinend lief der Link zu CHIP und der dortige Installer lieferte im Schlepptau noch den Search Engine Optimizer und Web-Compagnon mit. Der SEO-Kram hat sich dann so heftig verbandelt und wurde auch von Adwcleaner und mehreren AV weder erkannt noch entfernt - also ziemlich ekliges Zeugs! Im Thread sind auch einige der Quellen für PUA/PUP genannt und bei CHIP hat man anscheinend nach wir vor nichts gelernt, standen die doch wegen dieser Machenschaften schon oft in der Kritik.

 

[hha81667]

Link zu CHIP und der dortige Installer

das ist mittlerweile echt der letzte Dreck, da kann man absolut nichts mehr runterladen ohne sich irgendwas einzufangen

 

[Mornsgrans]

Dort gibt es eh schon seit guten 15 Jahren den "CHIP-Installer", der einen den Rechner mit Adware zuknallt.

der sich aus Windows heraus nicht ohne weiteres löschen liess. Da half auf die Schnelle ein Live-Linux, mit dem die Datei entfernt wurde.

Meist wegen aktiver Prozesse/Diensten, die natürlich beendet sein müssen. Auch der Adw-Cleaner sollte damit klar kommen.
Die Live-Linux-Lösung funktioniert natürlich nur, wenn Bitlocker angehalten oder deaktiviert wurde.

 

[fakiauso]

Meist wegen aktiver Prozesse/Diensten, die natürlich beendet sein müssen. Auch der Adw-Cleaner sollte damit klar kommen.
Die Live-Linux-Lösung funktioniert natürlich nur, wenn Bitlocker angehalten oder deaktiviert wurde.

Da habe ich schon geforscht. Autostart, Registry etcpp. waren aber alles o.E.

Die Nutzer selber hatten wegen der Scam-Nachricht Avira(sic) draufgebügelt, das natürlich genau wie der Defender nichts genutzt haben und auch einen Deinstallationsversuch mit Revo gemacht. Am Ende hing trotz Entfernen aller Einträge eben noch im Nutzerverzeichnis unter AppData m.E. der Programmordner mit der *ini und der *exe, die sich nicht aushebeln liess. Mir war dann ehrlich gesagt nur das gefrickel mit Ordnerübernahme zu dumm, deswegen quick´n´dirty mit dem Livesystem.

Und wie gesagt Adwcleaner und mehrere AV mit aktuellsten Signaturen haben das Ding entweder nicht gesehen oder nicht entfernen können - echt übel.

das ist mittlerweile echt der letzte Dreck, da kann man absolut nichts mehr runterladen ohne sich irgendwas einzufangen

Das geht ja schon ewig so bei denen. Aber eher unbedarftere User und mit der "richtigen" Suchmaschine bekommen eben nahezu immer CHIP als eine der ersten Downloadquellen präsentiert. Wer dann noch ohne Ad- und Scriptblocker auf deren Seite herumgurkt und auf den fetten Downlaod-Button drückt statt des direkten Links darunter, hat dann das zweite Mal verloren. Klar schreiben die irgendwohin, dass per Installer u.U. zusätzliche und ungewollte Software mit installiert wird, aber das ist ja genauso gemacht wie die drölfzig Seiten AGB bei Verträgen, das liest eh keiner:-(

Ich sage ja immer bei meinen Bekannten, Kollegen usw., dass sie nur von den Originalseiten laden sollen oder im Zweifel eben gar nicht. Wenn dann so ein Greenhorn aber wegen diesem "AV fehlt" die Panik schieben und auf alles draufklicken, was blinkt. Da kann man hundertmal darauf hinweisen, dass sie Ruhe bewahren sollen und erstmal eine Mail mit Screenshot oder einen Anruf machen sollen. Ist aber wie in der Politik, erstmal Aktionismus und so tun wie handeln. Aufräumen können hinterher ja immer noch Andere;-)

 

[Ravensberger]

Die Zeiten, in denen man "weiß", was mit seinem Rechner passiert, wenn Maleware oder irgend etwas anderes Unerwünschtes passiert, sind lange vorbei, sofern es diese jemals gab. Erst einmal findet niemand irgendwelche Registry-Werte, welche Ports öffnen oder eine Adresse ansteuern. Dazu wird, je nach Installer, eine durch externe Tools beschädigte Installation des Schadprogramms einfach wieder herstellen, sprich, die unerwünschten Dateien sind auf einmal wieder da.

roter-flitzer hat die Notbremse gezogen. Das war in dieser nicht überschaubaren Situation einfach die pragmatisch beste Lösung, da bleibe ich bei.

 

[fakiauso]

roter-flitzer hat die Notbremse gezogen. Das war in dieser nicht überschaubaren Situation einfach die pragmatisch beste Lösung, da bleibe ich bei.

Ja klar, im Zweifel ist das sowieso die beste Lösung und angesichts des Umgangs mit einem kompromittierten System die einzige.

Erkläre das mal denen, die auf jede Frage nach Backup, Datensicherung generell oder habt ihr irgendwo draufgeklickt, die horizontale Kopfbewegung machen und die noch nicht einmal wissen, dass man Mails auch ohne Browser lesen kann;-)