Servus,


Internetverbindung aktivieren.




Schritt 1

• Deaktiviere dein Anti-Viren-Programm.
• Gehe zum Ordner C:\FRST\Quarantine.
• Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > Zip-komprimierter Ordner.
• Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
• Lade die Quarantine.zip im Upload-Channel hoch.
• Klicke dazu auf Durchsuchen, navigiere zu der zip-Datei ( C:\FRST\Quarantine.zip ) und klicke auf Öffnen.
• Klicke abschließend auf Hochladen.
• Vielen Dank für deine Hilfe.
• Aktiviere dein Anti-Viren-Programm wieder.

Schritt 2
Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  

  Code: Alles auswählenAufklappen

  ATTFilter

  :regfind
  WinZip Driver Updater
  SparkTrust
  Free Registry Cleaner
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Schritt 3

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• eine Rückmeldung bezüglich des Uploads,
• die Logdatei von SystemLook,
• die beiden neuen Logdateien von FRST.

Hallo M-K-D-B,
Upload Schritt 1 hat funktioniert.
Die 3 Dateien im Anhang.
Merci und herzlichen Dank für Geduld und Mühe.
VG
Henner

Servus,



danke für den Upload. Aber die Schadsoftware hat sich wieder nachgeladen.

Wir versuchen es jetzt nochmal im normalen Modus, aber ich denke, wir müssen nochmal offline gehen.

Aber zuerst versuchen wir es online:




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

start
CloseProcesses:
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\Run: [booster-3] => C:\ProgramData\booster-30\booster-1.exe [599544 2016-03-08] (OpenOffice.org)
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\RunOnce: [ycbcr-01] => C:\Users\hentschel\AppData\Roaming\ycbcr-31\ycbcr-09.exe [627754 2016-03-08] (Fabio Martin)
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\MountPoints2: {4cbef17d-d76b-11e4-a000-b00594efc540} - E:\Startme.exe
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\MountPoints2: {cedb8f11-7f49-11e4-8b41-b00594efc540} - E:\LaunchU3.exe -a
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\Winlogon: [Shell] C:\ProgramData\framers-9\framers-4.exe -gt,explorer.exe <==== ACHTUNG
HKU\S-1-5-18\...\Run: [EEDSpeedLauncher] => rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher
C:\ProgramData\booster-30
C:\Users\hentschel\AppData\Roaming\ycbcr-31
C:\ProgramData\framers-9
C:\Users\hentschel\AppData\Roaming\gravity-10
C:\ProgramData\sfh
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\uus3url-st
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Eusing Free Registry Cleaner
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die beiden neuen Logdateien von FRST.

Upload wie gewünscht. Danke

Servus,


bei der Schadsoftware scheint es sich um eine neuere Variante von Zbot zu handeln.

Ich wüsste nicht, wie wir im normalen Modus (mit oder ohne Internet) eine Chance haben. Diese Schadsoftware überwacht sich gegenseitig und erstellt sofort neue Varianten bzw. lädt diese nach, sobald man etwas davon entfernt.

Im Reparaturmodus ist aber alles deaktiviert, dort sollten wir eine Chance haben.




Daher machen wir jetzt nacheinander folgendes:

1) Wir führen FRST über einen USB-Stick im Reparaturmodus aus
2) Wir führen einen Fix mit FRST im Reparaturmodus aus
3) Wir machen einen Kontrollscan mit FRST im Reparaturmodus

Erst wenn die Logdatei von 3) wieder sauber ist, kannst du normal starten und Internet verwenden und dann werden wir sehen...

Während der ganzen Prodzedur darfst du auf KEINEN FALL den Rechner normal starten.





1) Wir führen FRST über einen USB-Stick im Reparaturmodus aus

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!