Problem: Ich habe für meine Eltern einen neuen Windows 8.1 PC fit gemacht (Daten vom alten übertragen, etc.). Beim Herunterladen einer Freeware (Teamviewer, VLC Player, und weitere) ist wohl dieses "RRsavings" Programm mit installiert worden. Jetzt bekomme ich das Mistding nicht mehr weg. Nachdem ich das Addon bereits aus dem Internetexplorer gelöscht habe und danach gleich Firefox installiert habe, besteht das Problem weiterhin. Ich habe es auch über [Systemsteueurung] --> [Programme und Features] gelöscht. Leider ohne Erfolg. Bevor ich auf euer Forum (http://www.trojaner-board.de/152867-...entfernen.html) gestoßen bin, habe ich schon die Information gelesen, Malwarebytes zu verwenden. Das Habe ich auch getan. Allerdings habe ich die in Quarantäne verschobenen Datein dort auch über das Programm gelöscht. Anscheinend aber ohne Erfolg. Hier also die Logdateien.


Malwarebytes Anti-Malware Log

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 27.04.2014
Suchlauf-Zeit: 13:25:34
Logdatei: Malware Logdatei_01.txt
Administrator: Ja

Version: 2.00.1.1004
Malware Datenbank: v2014.04.27.02
Rootkit Datenbank: v2014.03.27.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Chameleon: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: *****

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 247047
Verstrichene Zeit: 21 Min, 55 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Shuriken: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 2
Adware.Adpeak, C:\Program Files\002\bukgmhvrux64.exe, 1636, , [26da00008c74e51b2e3279aca460b54b]
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\RrFilterService64.exe, 1880, , [da265ea28a76b7495df2fc73e31f1ae6]

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 3
Adware.Adpeak, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\bukgmhvrux64, , [26da00008c74e51b2e3279aca460b54b], 
PUP.Optional.RRSavings.A, HKLM\SOFTWARE\rrsavings, , [af51916f847c6d939c395e13c63c9967], 
PUP.Optional.RRSavings.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\RrFilterService64, , [da265ea28a76b7495df2fc73e31f1ae6], 

Registrierungswerte: 0
(No malicious items detected)

Registrierungsdaten: 1
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Schlecht: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[946c52ae34cc20e0779c939e04008779]

Ordner: 2
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\SSL, , [da265ea28a76b7495df2fc73e31f1ae6], 

Dateien: 12
Adware.Adpeak, C:\Program Files\002\bukgmhvrux64.exe, , [26da00008c74e51b2e3279aca460b54b], 
PUP.Optional.SkyTech.A, C:\Users\Brigitte\AppData\Local\Temp\sweetpage_294wld.exe, , [58a8857bab55e41cf244e86a28d9d62a], 
PUP.Optional.SkyTech.A, C:\Users\Brigitte\AppData\Local\Temp\fullpackage_temp1398518186\alilog.dll, , [4ab633cd01ffa06033e1bd7546ba857b], 
PUP.Optional.SkyTech.A, C:\Users\Brigitte\AppData\Local\Temp\fullpackage_temp1398518186\package1.zip, , [20e018e8718fe41ce52f1e144cb4fc04], 
PUP.Optional.IePluginService.A, C:\Users\Brigitte\AppData\Local\Temp\fullpackage_temp1398518186\tmp\SupTab.exe, , [7b85db25ff01b050c690bb972bd640c0], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\Installbat64.dll, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\Microsoft.Deployment.WindowsInstaller.dll, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\Microsoft.Deployment.WindowsInstaller.xml, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\nfapi.dll, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\ProtocolFilters.dll, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\RrFilterService64.exe, , [da265ea28a76b7495df2fc73e31f1ae6], 
PUP.Optional.RRSavings.A, C:\Program Files\RrFilter\sample.dll, , [da265ea28a76b7495df2fc73e31f1ae6], 

Physische Sektoren: 0
(No malicious items detected)


(end)
         

ADWcleaner Log:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v3.204 - Report created 27/04/2014 at 13:39:41
# Updated 26/04/2014 by Xplode
# Operating System : Windows 8.1  (64 bits)
# Username : *****
# Running from : C:\Users\*****\Downloads\adwcleaner.exe
# Option : Clean

***** [ Services ] *****


***** [ Files / Folders ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****


***** [ Browsers ] *****

-\\ Internet Explorer v11.0.9600.16384


-\\ Mozilla Firefox v28.0 (de)

[ File : C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\mfq3l940.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [6246 octets] - [26/04/2014 15:17:20]
AdwCleaner[R1].txt - [785 octets] - [26/04/2014 15:28:40]
AdwCleaner[R2].txt - [989 octets] - [27/04/2014 13:39:03]
AdwCleaner[S0].txt - [4608 octets] - [26/04/2014 15:18:17]
AdwCleaner[S1].txt - [845 octets] - [26/04/2014 15:29:24]
AdwCleaner[S2].txt - [911 octets] - [27/04/2014 13:39:41]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [970 octets] ##########
         

JRT Scan:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.4 (04.06.2014:1)
OS: Windows 8.1 x64
Ran by ***** on 27.04.2014 at 13:53:23,48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 27.04.2014 at 13:55:42,39
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

Shortcut Cleaner Log:

Code: Alles auswählenAufklappen

ATTFilter

Shortcut Cleaner 1.3.3 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2014 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
 hxxp://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows 8.1 
Program started at: 04/27/2014 01:57:05 PM.

Scanning for registry hijacks:

 * No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\*****\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Users\Public\Desktop\

Searching C:\Users\*****\Desktop


0 bad shortcuts found.

Program finished at: 04/27/2014 01:57:05 PM
Execution time: 0 hours(s), 0 minute(s), and 0 seconds(s)
         

Hallo marmeladenom,

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:

Regeln zum Ablauf der Bereinigung

• Arbeite die Anleitungen und Schritte sorgfältig und nacheinander ab.
• Wenn du etwas nicht verstehst oder du dir unsicher bist, frage nach und schildere das Problem, so gut es geht. Handle nicht auf eigene Faust.
  • Die Ausführung diverser Bereinigungsprogramme (mit Scripts aus anderen Threads) können dein Betriebssystem zerschießen!
• Die Bereinigung eines Rechners in verschiedenen Foren zur selben Zeit ist verboten (Crossposting).

• Installiere oder deinstalliere keine zusätzlichen Programme, lösche keine Dateien und führe nicht selbstständig Systemupdates durch.

• Die Symptome können verschwunden sein, jedoch bedeutet das Verschwinden von äußeren Merkmalen einer Infektion nicht, dass du wieder clean bist.
  • Ich werde dir ein eindeutiges Clean geben, solange arbeite bitte mit.

Hinweis

• Die von uns benutzten Programme erstellen meist ein Ergebnisprotokoll (Logfile genannt). Bitte füge alle von mir in einem Schritt geforderten Logfiles in einer Antwort/einem Post ein.
  • http://www.trojaner-board.de/137229-...code-tags.html; Falls das Logfile zu groß für einen Post ist, teile es in zwei/mehrere Posts.

Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus.



Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST.txt und Addition.txt

Log file zu groß, daher als Archiv angehängt.

Bitte direkt in deinen Thread posten. Da die Logfiles zu groß sind, auf mehrere Posts aufteilen .

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion ermöglichen.

Fehlende Rückmeldung

Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten. Falls du weitermachen willst, schicke mir bitte eine private Nachricht.

Jeder andere bitte folgendes lesen: http://www.trojaner-board.de/69886-a...-beachten.html und einen eigenen Thread erstellen.