Zitat:

Zitat von troja-1

Ich möchte diese Frage noch in Erinnerung bringen.

Zitat:

Wenn es vor der Bereinigung schon so war, dann hat es wohl nichts mit der Malware zu tun, sondern ist ein Windows-internes Problem.

Wir können ein paar Tests durchführen, weiß aber nicht, ob dies helfen wird.


Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Mojen, so Matthias hier deine nächste Aufgabe.

WIN hat eine Aktualisierung gefahren, deshalb sende ich Dir eine neue FSS Logdatei damit du auf dem aktuellsten Stand bist.

Der Rechner ist aber sauber?

FSS

Code: Alles auswählenAufklappen

ATTFilter

Farbar Service Scanner Version: 27-01-2016
Ran by Herr ******** (administrator) on 11-05-2016 at 14:58:45
Running from "C:\Users\Herr ********\Desktop"
Microsoft Windows 7 Professional  Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Policy: 
========================


Action Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => File is digitally signed
C:\Windows\System32\drivers\nsiproxy.sys => File is digitally signed
C:\Windows\System32\dhcpcore.dll => File is digitally signed
C:\Windows\System32\drivers\afd.sys => File is digitally signed
C:\Windows\System32\drivers\tdx.sys => File is digitally signed
C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\System32\dnsrslvr.dll => File is digitally signed
C:\Windows\System32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\System32\mpssvc.dll => File is digitally signed
C:\Windows\System32\bfe.dll => File is digitally signed
C:\Windows\System32\drivers\mpsdrv.sys => File is digitally signed
C:\Windows\System32\SDRSVC.dll => File is digitally signed
C:\Windows\System32\vssvc.exe => File is digitally signed
C:\Windows\System32\wscsvc.dll => File is digitally signed
C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\System32\wuaueng.dll => File is digitally signed
C:\Windows\System32\qmgr.dll => File is digitally signed
C:\Windows\System32\es.dll => File is digitally signed
C:\Windows\System32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\System32\ipnathlp.dll => File is digitally signed
C:\Windows\System32\iphlpsvc.dll => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed


**** End of log ****
         

Servus,



ja, der Rechner ist jetzt sauber.

• Lade Dir bitte Windows Repair - All in one von tweaking.com hier herunter und installiere es.
• Deaktiviere bitte (wenn möglich) Dein Antivirusprogramm.
• Bedenke, dass die einzelnen Reparaturen einige Zeit benötigen. Starte keine anderen Anwendungen in dieser Zeit.
• Starte das Programm und führe die Punkte 1-7 durch. (Siehe Bildanleitung)

Hi Matthias,
ich habe die Punkte 1-7 durchgeführt, dabei wurde eine Logdatei erstellt, aber nicht auf dem Desktop abgespeichert. Nach dem Repair ist der Rechner von selbst nach unten gefahren und somit ist die Logdatei futsch.
Wie geht es jetzt weiter?

Servus,



hast du immer noch das Problem mit dem Herunterfahren?
Wenn nein, dann freut es mich, wenn wir es beheben konnten.
Wenn ja: mir fällt leider nichts mehr ein.




Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Cleanup:
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.





Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.




Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.




Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.




Optional:
Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .




Abschließend noch ein paar grundsätzliche Bemerkungen:

• Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias,
danke für Deine Hilfe. Probleme habe ich im Moment keine mehr, außer, dass nach der Reparatur bei jedem herunterfahren des PC, immer eine "Logdatei****.xml" auf dem Desktop abgelegt wird. Diese startet nach einem Doppelklick immer den WE.
Wie kann dies abgestellt werden?
Wenn Du willst oder, es für Dich wichtig ist, sende ich Dir die Datei mit Klarname per PN.

HitmanPro, wurde nicht mit Delfix deinstalliert.
Zur Info sende ich Dir noch die Logdatei von Delfix.

Code: Alles auswählenAufklappen

ATTFilter

# DelFix v1.011 - Datei am 15/05/2016 um 11:55:12 erstellt
# Aktualisiert am 18/08/2015 von Xplode
# Benutzer : Herr ******** - HERR********-PC
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)

~ Aktiviere die Benutzerkontensteuerung ... OK

~ Entferne die Bereinigungsprogramme ...

Gelöscht : C:\FRST
Gelöscht : C:\AdwCleaner
Gelöscht : C:\Users\Herr ********\Desktop\FRST-OlderVersion
Gelöscht : C:\Users\Herr ********\Desktop\Addition.txt
Gelöscht : C:\Users\Herr ********\Desktop\AdwCleaner_5.115.exe
Gelöscht : C:\Users\Herr ********\Desktop\esetsmartinstaller_deu.exe
Gelöscht : C:\Users\Herr ********\Desktop\FRST.txt
Gelöscht : C:\Users\Herr ********\Desktop\FRST64.exe
Gelöscht : C:\Users\Herr ********\Desktop\FSS.exe
Gelöscht : C:\Users\Herr ********\Desktop\FSS.txt
Gelöscht : C:\Users\Herr ********\Desktop\JRT.exe
Gelöscht : C:\Users\Herr ********\Desktop\SystemLook_x64.exe
Gelöscht : C:\Users\Herr ********\Documents\Downloads\REPORT_701942.PDF

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #607 [Windows Update | 05/12/2016 08:17:19]
Gelöscht : RP #608 [Tweaking.com - Windows Repair | 05/13/2016 17:25:29]
Gelöscht : RP #609 [Tweaking.com - Windows Repair | 05/13/2016 17:27:53]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########
         

Servus,


evtl. kommt die .xml Datei von Windows Repair. Hast du das Programm schon wieder enternt/deinstalliert?

Was meinst du, sie startet den "WE"?

Schick mir mal bitte die .xml Datei.

Mojen Matthias,

W-Repair ist deinstalliert. Einziges Tool was sich nicht mit DelFix deinstalliert hat ist Hitman.

WE, sorry Tippfehler, ich meinte den Internet Explorer IE

Als Logdatei die *.xml Datei.

mbam-log-2016-05-14 (10-52-38).xml

Code: Alles auswählenAufklappen

ATTFilter

<?xml version="1.0" encoding="UTF-16" ?>
<mbam-log>
<header>
<date>2016/05/14 10:53:26 +0200</date>
<logfile>mbam-log-2016-05-14 (10-52-38).xml</logfile>
<isadmin>yes</isadmin>
</header>
<engine>
<version>2.2.1.1043</version>
<malware-database>v2016.05.14.02</malware-database>
<rootkit-database>v2016.05.06.01</rootkit-database>
<license>free</license>
<file-protection>disabled</file-protection>
<web-protection>disabled</web-protection>
<self-protection>disabled</self-protection>
</engine>
<system>
<hostname>HERR*********-PC</hostname>
<ip>192.168.1.209</ip>
<osversion>Windows 7 Service Pack 1</osversion>
<arch>x64</arch>
<username>Herr *********</username>
<filesys>NTFS</filesys>
</system>
<summary>
<type>custom</type>
<result>completed</result>
<objects>798746</objects>
<time>19579</time>
<processes>0</processes>
<modules>0</modules>
<keys>0</keys>
<values>0</values>
<datas>0</datas>
<folders>0</folders>
<files>0</files>
<sectors>0</sectors>
</summary>
<options>
<memory>enabled</memory>
<startup>enabled</startup>
<filesystem>enabled</filesystem>
<archives>enabled</archives>
<rootkits>enabled</rootkits>
<deeprootkit>disabled</deeprootkit>
<heuristics>enabled</heuristics>
<pup>enabled</pup>
<pum>enabled</pum>
</options>
<items>
</items>
</mbam-log>
<?xml version="1.0" encoding="UTF-16" ?>
<mbam-log>
<header>
<date>2016/05/14 10:53:26 +0200</date>
<logfile>mbam-log-2016-05-14 (10-52-38).xml</logfile>
<isadmin>yes</isadmin>
</header>
<engine>
<version>2.2.1.1043</version>
<malware-database>v2016.05.14.02</malware-database>
<rootkit-database>v2016.05.06.01</rootkit-database>
<license>free</license>
<file-protection>disabled</file-protection>
<web-protection>disabled</web-protection>
<self-protection>disabled</self-protection>
</engine>
<system>
<hostname>HERR*********-PC</hostname>
<ip>192.168.1.209</ip>
<osversion>Windows 7 Service Pack 1</osversion>
<arch>x64</arch>
<username>Herr *********</username>
<filesys>NTFS</filesys>
</system>
<summary>
<type>custom</type>
<result>completed</result>
<objects>798746</objects>
<time>19579</time>
<processes>0</processes>
<modules>0</modules>
<keys>0</keys>
<values>0</values>
<datas>0</datas>
<folders>0</folders>
<files>0</files>
<sectors>0</sectors>
</summary>
<options>
<memory>enabled</memory>
<startup>enabled</startup>
<filesystem>enabled</filesystem>
<archives>enabled</archives>
<rootkits>enabled</rootkits>
<deeprootkit>disabled</deeprootkit>
<heuristics>enabled</heuristics>
<pup>enabled</pup>
<pum>enabled</pum>
</options>
<items>
</items>
</mbam-log>
         

Servus,


ah das ist eine Logdatei von MBAM.

Kommt die immer noch nach jedem Neustart?

Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Sorry Matthias,
das ich mich erst jetzt melde.

Die MBAM-Logdatei kommt nicht mehr bei dem Neustart.
HitmanPro, wurde nicht mit Delfix deinstalliert, und erscheint in der Liste von Revoinsta. nicht als Software auf.
Wie werde ich dieses Restlos los?

Deine Arbeit war hervorragend.

Servus,


die .exe von HitmanPro kannst du löschen, das sollte genügen.

Zitat:

Zitat von M-K-D-B

Servus,


die .exe von HitmanPro kannst du löschen, das sollte genügen.

Danke für die Antwort und Hilfe, die *.exe Datei werde ich löschen.