Anzeige

Am Puls von Microsoft

Sicherheit: PUP.Optional.DllFilesFixer

To-Fu

treuer Stammgast
Nach Jahren hat Malwarebytes (Free) heute was gefunden und zwar folgendes:
PUP.Optional.DllFilesFixer
Ort:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLRULES|{Zahlen/Buchstaben}
Bedrohungstyp:
Potenziell unerwünschtes Programm

Ich mache jeden Montag einen Scan mit Malwarebytes, letzten Montag wurde nix gefunden. Nun überlege ich, was in der Woche passiert ist, wie ich mir das eingefangen habe? Ich habe nix runtergeladen (mache ich sehr selten) und bin auch sonst recht achtsam im Internet, E-Mail-Anhänge öffne/runterlade ich auch nicht einfach mal so.

Was ich im Internet fand, soll DllFilesFixer ein sog. "System-Optimizer" sein, ein Programm, eine App - manche schreiben auch von einem gefälschten Sicherheitsprogramm. Ich habe sowas nie installiert, unter Programme, in der Taskleiste, auf dem Desktop finde ich sowas auch nicht.

Malwarebytes hat dieses DllFilesFixer in die Quarantäne verschoben.

Muss ich nun noch was machen?
Kennen andere dieses Programm, diese Adware? Ist das gefährlich?
Was kann ich machen, dass sowas nicht wieder passiert, installiert wird?

Das alles ist auf einem Lenovo G510 mit Windows 8.1.
 
Anzeige

Ari45

gehört zum Inventar
Hallo @To-Fu! :)
Diese PUP (PotetialUnwantedProgram) müssen nicht zwangsläufig gefährlich sein.
Schau dir in der Meldung vom Defender den Pfad zu der aufrufenden Anwendung an. Da bekommt man meistens heraus, zu welchem Prozess dieses PUP gehört.

Ich habe zB eine Tools von NirSoft und von Sysinternals. Das sind teilweise sehr Systemnahe Tools. Und bei einigen kommt auch die Fehlermeldung vom Windows Defender. Würde ich da keine Ausnahme festlegen, würde der Defender das Tool in die Quarantäne schieben.

Ich will also sagen: überlege genau, ob du in letzter Zeit ein "Helferlein" installiert hast. ZB das Tool "Unlocker" verursacht auch solch eine Fehlermeldung.
 

To-Fu

treuer Stammgast
Ari45 schrieb:
Schau dir in der Meldung vom Defender den Pfad zu der aufrufenden Anwendung an. Da bekommt man meistens heraus, zu welchem Prozess dieses PUP gehört.
Den Pfad bzw. Ort habe ich ja hier gepostet, das sagt mir aber nix.

Ari45 schrieb:
Ich will also sagen: überlege genau, ob du in letzter Zeit ein "Helferlein" installiert hast. ZB das Tool "Unlocker" verursacht auch solch eine Fehlermeldung.
Ich habe in letzter Zeit gar nix installiert und irgendwelche "Helferlein" würde ich sowieso nicht installieren.
 

Ponderosa

Windows-Cowboy
Den Pfad bzw. Ort habe ich ja hier gepostet, das sagt mir aber nix.
Der Pfad ist ja OK. Aber der Inhalt fehlt.
Pfad Ok Inhalt fehlt.png

Wir haben ja nicht den gleichen Inhalt in dem Ordner.
 

Ari45

gehört zum Inventar
Sorry, vielleicht muss ich meine Brille mal putzen, aber ich kann keinen Pfad zu einer Anwendung entdecken.
Falls du den Registryschlüssel meinst, der hilft in dem Fall gar nicht.

Zu "Helferlein":
Unter dem Begriff verstehe ich kleine Programm, die bei der Fehlersuche und Systemanalyse sehr nützlich sind. So zum Beispiel die vielen Tools von Nirsoft (zB. ServiWin.exe, ShellExtView usw.) und Sysinternals (Autoruns.exe, ProzessExplorer usw.)
 

skorpion68

gehört zum Inventar
Hallo To-Fu,
der Fundort ist so nicht korrekt denn er müsste wie folgt lauten:
Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
Es könnte sein, sofern dein Ort richtig dargestellt wurde, dass deshalb der Registry-Schlüssel bemängelt wurde.

Für den Wert (Zahlen und Buchstaben) habe ich mal ein Beispiel nachfolgend angefügt:
Code:
"{5F4632C0-D5B1-40C3-B0D9-E3A759C81B9E}"="v2.22|Action=Allow|Active=TRUE|Dir=Out|Profile=Domain|Profile=Private|Profile=Public|Name=SonicWALL.MobileConnect|Desc=SonicWALL.MobileConnect|LUOwn=S-1-1-0|AppPkgId=S-1-15-2-1141404472-3582312691-3771565717-2155153689-4284170330-1053580937-782359393|EmbedCtxt=SonicWALL.MobileConnect|Platform=2:6:2|Platform2=GTEQ|"
Würdest du dazu bitte noch einmal genau nachschauen und berichten.
 

To-Fu

treuer Stammgast
Anbei zwei Screenshots aus Malwarebytes:
 

Anhänge

  • PUP.Optional.DllFilesFixer1-001.jpg
    787,4 KB · Aufrufe: 89
  • PUP.Optional.DllFilesFixer1-002.jpg
    788,1 KB · Aufrufe: 95

To-Fu

treuer Stammgast
Hallo To-Fu,
der Fundort ist so nicht korrekt denn er müsste wie folgt lauten:
Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
Es könnte sein, sofern dein Ort richtig dargestellt wurde, dass deshalb der Registry-Schlüssel bemängelt wurde.
Unter FirewallRules sind sehr viele Einträge. Anfangs Zahlen/Buchstaben in diesen Klammern {}. Allerdings die Zahlen/Buchstaben, die Malewarebytes gefunden hat, finde ich dort nicht. Vermutlich weil Malewarebytes die in die Quarantäne verschoben hat?
Ansonsten verstehe ich nicht, nach was ich suchen soll? Habe echt null Ahnung.
 
G

Gelöschtes Mitglied 78250

Gast
Du hast oder hattest diese Software installiert:
DLL-Files Fixer download

Dieser Mist taugt nichts, wenn dir eine DLL fehlt, bitte konkret nachfragen und nicht diesen Schund nutzen, die können das nur in den wenigsten Fällen und dann nicht mal richtig.
 

To-Fu

treuer Stammgast
Ich habe diese Software nicht selbst installiert. Falls die installiert war, nicht durch mich und mir ist die auch nie aufgefallen, bis heute Malewarebytes das fand. Und genutzt habe diese Software schon gar nicht.


Der Pfad ist ja OK. Aber der Inhalt fehlt.
Anhang anzeigen 222764


Wir haben ja nicht den gleichen Inhalt in dem Ordner.
So sieht das bei mir aus:
FirewallPolicy.jpg

Ich habe jetzt im Windows-Explorer unter DieserPC nach DllFilesFixer suchen lassen: Es wurde nix gefunden.
 
Zuletzt bearbeitet von einem Moderator:

To-Fu

treuer Stammgast
Also muss ich nix mehr machen?
Ich verstehe immer noch nicht, wie das alles passieren konnte? Wurde da was installiert ohne mein Wissen? Wie kann ich mich zukünftig davor schützen?

Was heißt "der Wert ist wesentlich länger"? Welcher Wert? Und der Name der Anwendung ist DllFilesFixer?
 
G

Gelöschtes Mitglied 78250

Gast
Tatsache bleibt, dass DLLfixer bei dir installiert wurde. Ob die Installation diesen Eintrag anlegt oder das Programm bei Ausführung, ist mir nicht bekannt. Tatsache ist aber auch, dass die Installation - von irgendwas muss es ja kommen - als Admin ausgeführt wurde, als normaler Benutzer ist das so nämlich niemals möglich. Demnach hast du irgendwo mal richtig gepennt, ob du nur ein Häkchen bei einer anderen Installation übersehen hast oder sonstiges, aber du arbeitest verdammt gefährlich.

Dass MBAM es jetzt findet (Premium oder Free*), besagt nur, dass deren Datenbank diese Software jetzt so auch erkennt.

* MBAM Premium lohnt unter Windows 10 nicht.
 

To-Fu

treuer Stammgast
Also könnte DllFilesFixer schon länger drauf gewesen sein und Malewarebytes hat das erst heute erkannt, z. B. durch eine Aktualisierung?
Ich installiere sehr selten etwas und nicht einfach so. Suche vorher lange, von wo am sichersten zum Runterladen ist. Wüsste nicht wie ich noch vorsichtiger sein kann? Mal muss halt auch was installiert werden. Aber irgendwelche Optimierungstools habe ich noch nie installiert.
Mir absolut rätselhaft, wie das als Admin ausgeführt wurde?? Mir ist dieses Programm bisher nie aufgefallen, hat sich nie gemeldet oder so. Unter Programme, in der Taskleiste, auf dem Desktop war da sowas nicht (ab und zu schaue ich da mal rein bzw. rauf). Ist DllFilesFixer bei irgendwelcher Software dabei?

Kann DllFilesFixer auf meinem Notebook einen Schaden angerichtet haben? Vorhin habe ich noch Scans von AVG, AdwCleaner und erneut Malewarebytes laufen lassen - nix gefunden. Das mache ich alles jede Woche und seit Jahren wurde nix gefunden.
 
G

Gelöschtes Mitglied 78250

Gast
Ach AVG, na das erklärt vieles, vor allem Adware, die durchgelassen wird.

PS es heisst immer noch Malware, "die" Malware". "Maleware" ist männlich und Dengel und Dangel sind nicht daran beteiligt ;)
 

To-Fu

treuer Stammgast
Aus dem o. g. Link (Malwarebytes-Forum):
How do I know if I am infected with Dll-Files Fixer?
[...]
You will find these icons in your taskbar, your startmenu, and on your desktop:
War bei mir nie gewesen. Den Desktop sehe ich jeden Tag, der ist nicht besonders voll, eher übersichtlich, von dort starte ich täglich auch Programme. Beim Desktop wäre mir das auf jeden Fall aufgefallen, aber auch auf die Taskleiste schaue ich mehrmals täglich.

and see this type of warnings during install:
So einen Install-Wizard habe ich bei mir nie gesehen, geschweige denn gestartet.

How did Dll-Files Fixer get on my computer?

These so-called system optimizers use different methods of getting installed. This particular one was downloaded from their website:
Habe nie so einen Download gemacht.

How do I remove Dll-Files Fixer?
[...]
Click Scan to start a Threat Scan.
When the scan is finished click Quarantine to remove the found threats.
Reboot the system if prompted to complete the removal process.

Is there anything else I need to do to get rid of Dll-Files Fixer?
No, Malwarebytes removes Dll-Files Fixer completely.
This PUP creates some scheduled tasks. You can read here how to check for and, if necessary, remove Scheduled Tasks.
Malwarebytes hatte das bei mir gefunden und in Quarantäne verschoben. Neustart Notebook. Das müsste es doch dann eigentlich gewesen sein?
Nur mit diesen "Scheduled Tasks" habe ich noch nicht verstanden, das ist für mich zu schwierig.

EDIT:
So, diese Aufgabenplanung habe ich nun auch bei mir gefunden, aber von DllFilesFixer sehe bzw. finde ich dort nix.
 
G

Gelöschtes Mitglied 78250

Gast
Und mit welcher Begründung "entsorgt" der Defender das EEK? Wäre ja mal interessant zu wissen, weil das EEK nicht schlecht ist für solche Zwecke.
Und was willst Du damit sagen? Obwohl im Trojaner-Board empfohlen, taugt es nix?
Dass der Defender irrt.
 
Oben