Hallo Matthias,

Entschuldigung, dass ich mich noch einmal melde.
Im Nachhinein kam es mir komisch vor, dass die Datei-Suche "Search all: Web Companion"
so schnell ging, nur einige Sekunden.
Es sollte doch länger dauern. Ich habe die Suche noch einmal durchgeführt.
Und nun kam ein anderes Ergebnis. Ich weiß nicht, warum.
Kannst Du mir bitte noch einmal helfen, das wegzukriegen?
Und wie gesagt, ich hatte 2015 schon einmal das Vergnügen mit WebCompanion, da habe ich mir seinerzeit woanders Hilfe gesucht.

Hier die Datei:

Code: Alles auswählenAufklappen

ATTFilter

Datei:
========
C:\Windows\Temp\WebCompanion.zip
[2019-03-27 17:57][2019-03-27 17:58] 009497831 _____ () 3F66E63890EE63EF801A751899466AA3 [Datei ist nicht signiert]

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\WebCompanion.exe.log
[2019-03-27 17:58][2019-03-27 17:58] 000002546 _____ () E448454FCAA1A51D1A889596A1426A99 [Datei ist nicht signiert]

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\WebCompanionInstaller.exe.log
[2019-03-27 17:57][2019-03-27 17:57] 000002135 _____ () 12227180CD638394534E039D5B8BD4DB [Datei ist nicht signiert]

C:\Users\marion\Documents\Logfiles\Web Companion uninstall.reg
[2015-09-12 19:25][2015-09-12 19:25] 000003932 _____ () F66AE494511F6C4F1B81E56629A74387 [Datei ist nicht signiert]

C:\Users\marion\AppData\Roaming\Microsoft\Windows\Recent\Web Companion Beitrag Dr. Windows.xlsx.lnk
[2019-03-30 21:16][2019-03-30 21:16] 000001261 _____ () 3572102A458A61100727DAA5EACBC3B4 [Datei ist nicht signiert]

C:\Users\marion\AppData\Roaming\Microsoft\Windows\Recent\Web Companion uninstall.reg.txt.lnk
[2019-03-30 21:17][2019-03-30 21:17] 000001226 _____ () 8AF61F21D8CC3925F32CCA8CC47DB9A0 [Datei ist nicht signiert]

C:\Users\marion\AppData\Roaming\Microsoft\Windows\Recent\web companion.lnk
[2019-03-31 22:08][2019-03-31 22:08] 000002868 _____ () 52E6BA49279FB94DC6F2640EE3E1DF85 [Datei ist nicht signiert]

C:\Users\marion\AppData\Roaming\Microsoft\Office\Recent\Web Companion Beitrag Dr. Windows.xlsx.LNK
[2019-03-30 21:16][2019-03-30 21:16] 000001376 _____ () 2B3F2DFE06A914CD191D203959776C37 [Datei ist nicht signiert]

C:\Users\marion\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\WebCompanion.exe.log
[2019-03-24 13:52][2019-03-27 18:03] 000000226 _____ () 40B4A1711B3C6E98B7331D9A9A2415F1 [Datei ist nicht signiert]

C:\Users\marion\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\WebCompanion.exe.log
[2019-03-24 13:52][2019-03-27 18:03] 000003802 _____ () 4D63565C08A15E44F6365E5F29D7FBC7 [Datei ist nicht signiert]

C:\Users\marion\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\WebCompanionInstaller.exe.log
[2019-03-24 13:52][2019-03-27 18:04] 000002582 _____ () F0C534850ED860D313AB4A134BA283C4 [Datei ist nicht signiert]

C:\ProgramData\Application Data\Lavasoft\Web Companion\Logs\Webcompanion\webcompanion.log
[2019-03-24 13:52][2019-03-27 17:58] 000038651 _____ () 5A5534C9FE7FFAEA5715AD2B5C3061EC [Datei ist nicht signiert]


Ordner:
========
2019-03-27 17:58 - 2019-03-27 17:58 _____ C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Lavasoft\WebCompanion.exe_Url_siq0lwf3tzgxp2khfkllybk3idtbehng
2019-03-24 13:52 - 2019-03-24 13:52 _____ C:\ProgramData\Application Data\Lavasoft\Web Companion
2019-03-24 13:52 - 2019-03-24 13:52 _____ C:\ProgramData\Application Data\Lavasoft\Web Companion\Logs\Webcompanion

Registry:
========

===================== Suchergebnis für "Web Companion" ==========

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\IntelliType Pro\AppSpecific\WebCompanion.exe]
"Path"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe"

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"4"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
--startmenu"

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]
"C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe"="0x534143500100000000000000070000002800000020FD04002657050001000000000000000000000A0021000067077CBAC54CD401000000000000000002000000280000000000000000000040000000000000000000000000000000006E680000000000000100000001000000"


===================== Suchergebnis für "WebCompanion" ==========

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\IntelliType Pro\AppSpecific\WebCompanion.exe]

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\IntelliType Pro\AppSpecific\WebCompanion.exe]
"Path"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe"

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"4"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
--startmenu"

[HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]
"C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe"="0x534143500100000000000000070000002800000020FD04002657050001000000000000000000000A0021000067077CBAC54CD401000000000000000002000000280000000000000000000040000000000000000000000000000000006E680000000000000100000001000000"


====== Ende von Suche ======
         

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Lavasoft\WebCompanion.exe_Url_siq0lwf3tzgxp2khfkllybk3idtbehng
  C:\ProgramData\Application Data\Lavasoft\Web Companion
  DeleteKey: HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\IntelliType Pro\AppSpecific\WebCompanion.exe
  DeleteValue: HKEY_USERS\S-1-5-21-3140415436-1100377458-3732027645-1000\Software\Microsoft\Windows\CurrentVersion\UFH\SHC|4
  C:\Users\marion\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\*WebCompanion*.*
  C:\Users\marion\AppData\Roaming\Microsoft\Windows\Recent\web companion.lnk
  C:\Windows\Temp\WebCompanion.zip
  C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\*WebCompanion*.*
  DeleteQuarantine:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.