Hallo,
habe in einem Blackoutmoment geistiger Umnachtung den Anhang folgender Mail geklickt:

"Der Status Ihrer Bestellung hat sich geändert. Nähere Informationen können Sie dem DOC-Dokument im Anhang entnehmen.

Sobald sich der Status wieder ändert, werden wir Sie informieren.

Dieses Mail im Browser anschauen

Für Fragen und andere Anliegen steht Ihnen unser Online-Shop Kundendienst gerne über das Kontaktformular oder unter der Nummer 776166307981 zur Verfügung.

Ihr MediaMarkt Online-Team"

Recherche ergab, dass da 2016 finstere Krypto-Trojaner Cerber oder sowas abgegangen sind.

Antivir und Malwarebytes haben harmlos aussehende Sachen gefunden. Siehe Logfile. Emisoft funktioniert nicht (Betriebssystem nicht unter Win 7) Merkwürdig, obwohl ich Win 7 benutze.
Eset hab ich noch nicht benutzt, da ich zuerst Antivir löschen müsste. Hoffe ich schiebe nur Paranoia. Und ansonsten bin ich für jede Hilfe dankbar.

LG Manumano

Hier den Log für Avira

Code: Alles auswählenAufklappen

ATTFilter

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Prüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: 

Beginn des Suchlaufs: Freitag, 9. Juni 2017  12:42

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:)'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'HDD1(D:, E:, F:)'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'HDD2(I:)'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '203' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaSuite.exe' - '183' Modul(e) wurden durchsucht
Durchsuche Prozess 'OV3Monitor.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.SystemSpeedup.UI.Systray.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50RPB.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'HeciServer.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSvcHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'perfhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.SystemSpeedup.SpeedupService.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'viakaraokesrv.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.ServiceHost.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'iusb3mon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TapinRadio.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.Systray.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'swriter.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PrivacyIconClient.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv64.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'DigitalEditions.exe' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'swriter.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'swriter.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4025' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
    [0] Archivtyp: RSRC
    --> C:\alte festplatte\E\Tobit ClipInc\Setup\Player\ClipInc. Pocket Setup.exe
        [1] Archivtyp: RSRC
      --> C:\alte festplatte\F\PROGRAMME\Mobile Phone Manager\SETUP\Data1.cab
          [2] Archivtyp: CAB (Microsoft)
        --> C:\Program Files (x86)\PC Connectivity Solution\WUDFUpdate_01009.dll
            [3] Archivtyp: RSRC
          --> C:\Users\User\Documents\Downloads\FreeStudio_6.5.3.713.exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeStudio_6.5.3.713.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeDownload.exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(1).exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(1).exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(2).exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713(2).exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713.exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeDownload3.2.60.713.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter(1).exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter(1).exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter.exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter_3.12.60.713.exe
              [4] Archivtyp: Inno Setup
            --> {tmp}\OCSetupHlp.dll
                [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Documents\Downloads\FreeYouTubeToMP3Converter_3.12.60.713.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
          --> C:\Users\User\Documents\Downloads\MediathekView - CHIP-Installer.exe
              [4] Archivtyp: RSRC
            --> C:\Users\User\Documents\Downloads\MediathekView - CHIP-Installer.exe
                [5] Archivtyp: Runtime Packed
              --> C:\Users\User\Downloads\FreeStudio.exe
                  [6] Archivtyp: Inno Setup
                --> {tmp}\OCSetupHlp.dll
                    [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                    [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Downloads\FreeStudio.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
              --> C:\Users\User\Downloads\FreeYouTubeToMP3Converter(1).exe
                  [6] Archivtyp: Inno Setup
                --> {tmp}\OCSetupHlp.dll
                    [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                    [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Downloads\FreeYouTubeToMP3Converter(1).exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
              --> C:\Users\User\Downloads\FreeYouTubeToMP3Converter.exe
                  [6] Archivtyp: Inno Setup
                --> {tmp}\OCSetupHlp.dll
                    [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
                    [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\Downloads\FreeYouTubeToMP3Converter.exe
  [FUND]      Enthält Muster der Software PUA/OpenCandy.Gen
Beginne mit der Suche in 'D:\' <Volume>
Beginne mit der Suche in 'E:\' <Volume>
Beginne mit der Suche in 'F:\' <Volume>

Beginne mit der Desinfektion:
         

Für Malwarebyte

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Scan Date: 09.06.2017
Scan Time: 13:45
Logfile: malwarebytes.txt
Administrator: Yes

Version: 2.2.1.1043
Malware Database: v2017.06.09.04
Rootkit Database: v2017.05.27.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: User

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 295524
Time Elapsed: 35 min, 59 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Warn
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 2
PUP.Optional.VLCUpdaterDE, C:\Program Files (x86)\VLC Updater\vlc-updater.exe, Quarantined, [a88090adfeab330328fbafc751af44bc], 
PUP.Optional.Conduit, C:\$Recycle.Bin\S-1-5-21-1881819009-79504248-1289345385-1000\$RP1HKVH\Brothersoftdownloader_for_Sprite_Backup.exe, Quarantined, [0523ba83179249ed55b2706761a06799], 

Physical Sectors: 0
(No malicious items detected)


(end)
         

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.