About the author

admin

Seit über 16 Jahren betreibe ich mit anderen Experten auf dem Gebiet der Malware und Trojaner Entfernung in Windows das größte deutschsprachige Internetforum zum Thema PC Sicherheit.

Related Articles

18 Comments

  1. 1

    roger

    download protect 2.2.8

    Nach einem download von Softtonic (nie wieder) hatte ich sowohl in firefox als auch in chrome das
    Add on „Download protect 2.2.8“ mir eingefangen. In vielen Foren wurde dargelegt, dass das Löschen des Unterschlüssels „Extensions“ bei firefox und das Löschen des Unterschlüssels „ExtensionInstallForcelist“ bei chrome in der Registry das Problem behebt, jedoch nur bis zum nächsten Neustart, da war alles wieder da. (Hinweis : xpi Dateien, windowsinstaller..).

    Überprüfen Sie nach einem Neustart die Registry bei:
    chrome:
    regjump HKLM\Software\Policies\Google\Chrome\ExtensionInstallForcelist
    regjump HKLM\software\Wow6432Node\Policies\Google\Chrome\ExtensionInstallForcelist

    firefox:
    regjump HKCU\Software\Mozilla\Firefox\Extensions
    regjump HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions

    (Hinweis für regjump: regjump.exe auf D: kopieren, dann Start Cmd, dann D:, dann regjump HKLM… rechte Maustaste Kopieren, dann rechte Maustaste Einfügen, dann Enter. Nicht CTRL C oder CTRL V)

    Ist Extensions oder ExtensionInstallForcelist vorhanden, ist der Übeltäter aktiv.

    Beim Starten des PC’s werden über Autostart, Registry (Run, Run Once …) und Dienste Programme gestartet. Autostart und Registry wären zu offensichtlich, also bleiben nur die Dienste, (Start Dienste) denn kaum ein normaler Benutzer traut sich an diese Dienste ran.

    so können Sie vorgehen:
    Wenn Sie einen Laptop besitzen so vergleichen Sie die Liste der Dienste, merken Sie sich den
    Unterschied.

    Lesen Sie die Beschreibung der Dienste, wenn der Text unklar ist, merken Sie sich den Dienst.

    Mit der rechten Maustaste auf den Dienst klicken, Sie sehen das Programm mit dem der Dienst gestartet wird, ist dies „svchost.exe“ so ist dies ein Programm des Systems und damit ok.

    In meinen Fall fand ich den Dienst DnsBlockUpdateService ohne eine Beschreibung. Mit der rechten Maustaste, Eigenschaften ist das dazugehörige Programm: C:\Windows\system32\DnsBlockUpdateSvc.exe zu finden. Das Datum des Programmes stimmte mit dem Download von Softtonic überein. Dies musste der Täter sein. Also den Dienst deaktiviert.

    In der Registry die Unterschlüssel Extensions und ExtensionInstallForcelist gelöscht und den PC neu gestartet und die Unterschlüssel, mit denen firefox oder chrome das Add on installiert haben waren nicht mehr vorhanden, also ist der PC clean.

    Nun zur Desinfektion des PC`s
    Löschen Sie noch keine Dateien, sondern benennen Sie sie um:
    Bsp: C:\Windows\system32\DnsBlockUpdateSvc.exeabc

    Im gleichen Verzeichnis System32 sind mit dem gleichen Datum noch zu finden:
    dns.Block
    DnsBlockA.dll
    DnsBlockB.dll
    Diese Dateien ebenfalls umbenennen.
    nun zu:

    regjump HKLM\SYSTEM\CurrentControlSet\Services\
    und den Dienst DnsBlockUpdateSvc ebenfalls umbenennen.

    Löschen Sie nun die Unterschlüssel Extensions und ExtensionInstallForcelist und starten sie den PC neu.
    Wenn alles ok ist, können alle umbenannten Dateien und der Dienst gelöscht werden.
    In einer neuen Version des Add on werden wahrscheinlich wieder andere Dateinamen und Dienstnamen verwendet werden.
    Ich konnte aber nicht herausfinden welchen Schaden das Add on anrichtet oder angerichtet hat.

    Gruß roger

    Reply
    1. 1.1

      admin

      Hallo Roger, danke für Deinen Beitrag. Hast Du die empfohlenen Tools eingesetzt?

      Reply
  2. 2

    Karl47

    Ich habe mir am 30.07.2015 auch das hartnäckige Add on „Download Protect“, Version 2.2.11 eingefangen. Mit den bisher gefundenen Anleitungen konnte ich es nicht entfernen. Malwarebytes findet es zwar, kann es aber auch nicht entfernen. Nach jedem Neustart ist es wieder da. DownloadProtectCleaner.exe bewirkt ebenfalls nichts. Hat jemand noch eine Idee?

    Reply
    1. 2.1

      admin

      Hallo Karl, dann hat Download-Protect eine neue Lücke gefunden. Bitte starte im Forum ein Thema, damit wir diese finden und in das Tool aufnehmen können. Danke.

      Reply
  3. 3

    Karl47

    Mit Hilfe der Anleitung von Roger und zusätzlicher Unterstützung von Malwarebytes bin ich das Add on offenbar jetzt wieder los. Auch bei mir hatte sich die DnsBlockUpdateSvc.exe im Windows32-Ordner eingenistet und den Dienst DnsBlockUpdateService installiert. Der Dienst versuchte ständig eine Verbindung ins Internet aufzubauen. Was da übertragen wurde konnte ich nicht feststellen. Eine „normale“ Entfernung des Add ons war nicht möglich. Zu meiner Verwunderung wird die Datei DnsBlockUpdateSvc.exe lt. virustotal.com von allen Antivirusprogrammen als unbedenklich bewertet. Das Programm DownloadProtectCleaner.exe konnte bei mir das Add on nicht entfernen. Angeblich soll das Add on vor schädlichen Downloads schützen. In Wirklichkeit entfernt es ungefragt andere Add ons, insbesondere alle Werbeblocker und verbindet sich ständig mit dem Internet.

    Reply
  4. 4

    M-K-D-B

    Hallo,

    es wäre interessant zu wissen:
    Welches Programm wurde von Softonic geladen, so dass man DownloadProtect mit auf den Rechner bekommt?

    Dass der Dienst DnsBlockUpdateSvc die Browser-Erweiterungen schützt, ist mir bekannt.

    Reply
  5. 5

    M-K-D-B

    Habe DownloadProtect (DP) 2.2.11 selbst auf einem Testrechner analysiert und DownloadProtectCleaner aktualisiert.
    DP 2.2.11 wird auf meinem Testrechner entfernt.

    Reply
  6. 6

    sassi

    Hallo,
    DownloadProtect ladet Ihr euch nach jedem Neustart vom Firefox und dem dazugehörigen Firefox Adblock neu auf euren Rechner. Ist von Mozilla so gewollt …. wegen der Werbung…..DownloadProtect setzt sich so verzweigt und getarnt in eurem Rechner fest, wenn Ihr denkt Ihr habt den Virus komplett gelöscht…. 😉 . Keine Chance…. am besten komplett löschen und überhaupt nicht mehr runter laden….

    Reply
    1. 6.1

      admin

      Hast du den hier verlinkten Download Protect Cleaner ausprobiert?

      Reply
  7. 7

    Dirk

    Habe mir das Teil auf freeware.de mit der Datei „coretemp.exe“ eingefangen.
    Alle manuellen Versuche (aus unendlichen Foren), es aus dem Firefox und Internetexplorer zu entfernen schlugen nach einem Neustart des Rechners fehl.
    Erst „Malwarebytes Anti-Malware“ hat es geschafft! Insgesamt 27 Einträge in Registry und die eigentliche Datei konnten damit entfernt werden.

    Reply
    1. 7.1

      admin

      Danke für die Info!

      Reply
  8. 8

    M-K-D-B

    Aus mehreren Themen auf Trojaner-Board.de kann ich sagen, dass Malwarebytes‘ Anti-Malware auch nicht alles von DownloadProtect enternt.

    Bei mehreren Tests hat das Tool DownloadProtectCleaner alles entfernt.

    Reply
    1. 8.1

      San_Do22

      Mit Download Protect Cleaner ist der Dienst und das add-ons im Firefox endlich deinstalliert, Danke!!!

      Reply
  9. 9

    striker

    Nach der Anwendung aller aufgelisteter Software auf dieser Seite konnte ich Download Protect entfernen!

    „Gott sei dank“ *durchatem*

    Danke für die Hilfe!

    Reply
  10. 10

    Dirk B.

    Dank dem kleinen Cleaner-Programm bin ich diesen Aufdringlichen Software-Müll endlich los. Grosses Lob und vielen Dank an den Autor.

    Reply
  11. 11

    Dimi_Trijs

    DownloadProtectCleaner.exe hat vorerst geholfen.

    Reply
  12. 12

    Chris M

    Ich habe den DownloadProtectCleaner gestartet; er hat das Add on entfernt – jetzt bin ich gespannt ob dieses fiese Vieh DownloadProtect zurückkommt. Falls nicht, Tausend Dank an den Author der Cleaner Software !
    Falls ja, poste ich hier erneut.

    Reply
  13. 13

    M-K-D-B

    Hallo Dirk,

    es freut mich, wenn mein Programm dir geholfen hat.

    Vielen Dank für die Rückmeldung.

    Reply

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *