Fund von PUP.Optional.Wajam.A, Neuinstallation fällig oder eher "nur" unerwünschte Software
 

Hi@all,

eine von mir betreute, liebe, alte Dame (70 Jahre +) benötigte Hilfe zur Deinstallation unerwünschter Software, dabei fielen mir leider ein paar unschöne Autostarts auf.
Das System:
Windows 7 HP 64 Bit auf Samsung G700 (?!) Laptop.
Habe dann in folgender Reihenfolge diese und noch ein paar andere Komponenten deaktiviert/deinstalliert, teilweise normal per Systemsteuerung:
Malware Bytes, Avira Free, Hijackthis und Threatfire (letzterer hatte schon nichts auffälliges gefunden, deswegen spare ich mir/euch dessen Log).
MBAM:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2013.11.14.07
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16736
User :: -LAPTOP [Administrator]
14.11.2013 18:25:12
MBAM-log-2013-11-15 (14-13-21).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 523267
Laufzeit: 2 Stunde(n), 4 Minute(n), 49 Sekunde(n)
Infizierte Speicherprozesse: 1
C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe (PUP.Optional.Wajam.A) -> 2896 -> Keine Aktion durchgeführt.
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 37
HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCR\CLSID\{11111111-1111-1111-1111-110311341138} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{44444444-4444-4444-4444-440344344438} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCR\Interface\{55555555-5555-5555-5555-550355345538} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0033438.BHO.1 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110311341138} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110311341138} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110311341138} (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCR\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCR\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCR\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCR\wajam.WajamBHO.1 (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCR\wajam.WajamBHO (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
HKCR\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634} (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCR\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5} (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCR\wajam.WajamDownloader.1 (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCR\wajam.WajamDownloader (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0} (PUP.Optional.QuickShare.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{31AD400D-1B06-4E33-A59A-90C2C140CBA0} (PUP.Optional.QuickShare.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0033438.BHO (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0033438.Sandbox (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0033438.Sandbox.1 (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\AppID\priam_bho.DLL (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Keine Aktion durchgeführt.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
HKCU\Software\InstalledBrowserExtensions\Plus HD (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\WAJAM (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Plus-HD-2.5 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\WAJAM (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Plus-HD-2.5 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
Infizierte Registrierungswerte: 2
HKCU\Software\Wajam|affiliate_id (PUP.Optional.Wajam.A) -> Daten: 4220 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Wajam|red (PUP.Optional.Wajam.A) -> Daten: 4 -> Keine Aktion durchgeführt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 5
C:\Users\User\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\IE (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\Updater (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
Infizierte Dateien: 53
C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-bho.dll (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-bho64.dll (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\IE\priam_bho.dll (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-bg.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-buttonutil.dll (PUP.Optional.Crossrider) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-buttonutil.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-buttonutil64.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-codedownloader.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-enabler.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-updater.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\utils.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\Updater\update.exe (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
C:\ProgramData\DSearchLink\DSearchLink.exe (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\80SZ3GU1\wajam_install[1].exe (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF1IV41L\vbmz10[1].exe (MSIL.Solimba) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ID4XA10B\DeltaTB_20130715[1].exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ID4XA10B\pack[1].7z (PUP.Optional.PerformerSoft.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WP4KYVI6\plus-hd-2-5-de[1].exe (PUP.Optional.CrossRider) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WP4KYVI6\QuickShare1[1].exe (PUP.Optional.QuickShare.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WP4KYVI6\wajam_download[1].exe (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\GetCC.dll (MSIL.Solimba) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\Installer.exe (PUP.Optional.SmartBar.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\plus-hd-2-5-de.exe (PUP.Optional.CrossRider) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\vbmz10.exe (MSIL.Solimba) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\ccp.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\DSearchLink.exe (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\MyDeltaTB.exe (PUP.Optional.Delta) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\263107E9-BAB0-7891-81A4-6BD25FB52984\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\A5DDE575-BAB0-7891-81F6-509ED15ABA20\Setup.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\A5DDE575-BAB0-7891-81F6-509ED15ABA20\Latest\MyBabylonTB.exe (PUP.Optional.BabylonToolBar.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\InstallShare13891\bab_setup.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Local\Temp\mia9867.tmp\data\Streaming-Option\4F7F8004\7ED90097\cole2k_7_9_5.exe (PUP.Dealio.TB) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.5-codedownloader.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.5-enabler.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.5-updater.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Roaming\pack.exe (Backdoor.Agent.Gen) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Roaming\Babylon\_uninstaller_1st.log (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\User\AppData\Roaming\Babylon\_uninstaller_2nd.log (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\uninstall.exe (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\IE\favicon.ico (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Wajam\IE\wajamLogo.bmp (PUP.Optional.Wajam.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\background.html (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Installer.log (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-buttonutil64.dll (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5-helper.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Plus-HD-2.5.ico (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Plus-HD-2.5\Uninstall.exe (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
(Ende)

Avira:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 14. November 2013 18:25

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : User
Computername :
Versionsinformationen:
BUILD.DAT : 13.0.0.4052 55009 Bytes 29.08.2013 17:56:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 04.09.2013 11:20:36
AVSCANRC.DLL : 13.6.20.2174 63032 Bytes 04.09.2013 11:20:36
LUKE.DLL : 13.6.20.2174 65080 Bytes 04.09.2013 11:21:04
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 04.09.2013 11:20:36
AVREG.DLL : 13.6.20.2174 250424 Bytes 04.09.2013 11:20:11
avlode.dll : 13.6.20.2174 497720 Bytes 04.09.2013 11:19:46
avlode.rdf : 13.0.1.48 27867 Bytes 13.11.2013 14:53:06
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 14:44:34
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 18:29:43
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 13:17:22
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 14:34:22
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 09:20:10
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 14:01:03
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 19:25:31
VBASE007.VDF : 7.11.111.18 3598336 Bytes 06.11.2013 19:37:58
VBASE008.VDF : 7.11.111.19 2048 Bytes 06.11.2013 19:37:58
VBASE009.VDF : 7.11.111.20 2048 Bytes 06.11.2013 19:37:58
VBASE010.VDF : 7.11.111.21 2048 Bytes 06.11.2013 19:37:58
VBASE011.VDF : 7.11.111.22 2048 Bytes 06.11.2013 19:37:58
VBASE012.VDF : 7.11.111.23 2048 Bytes 06.11.2013 19:37:58
VBASE013.VDF : 7.11.111.150 168448 Bytes 07.11.2013 16:24:41
VBASE014.VDF : 7.11.112.47 247808 Bytes 08.11.2013 07:46:00
VBASE015.VDF : 7.11.112.139 323584 Bytes 11.11.2013 15:35:49
VBASE016.VDF : 7.11.113.39 221696 Bytes 13.11.2013 14:53:03
VBASE017.VDF : 7.11.113.40 2048 Bytes 13.11.2013 14:53:03
VBASE018.VDF : 7.11.113.41 2048 Bytes 13.11.2013 14:53:03
VBASE019.VDF : 7.11.113.42 2048 Bytes 13.11.2013 14:53:03
VBASE020.VDF : 7.11.113.43 2048 Bytes 13.11.2013 14:53:03
VBASE021.VDF : 7.11.113.44 2048 Bytes 13.11.2013 14:53:03
VBASE022.VDF : 7.11.113.45 2048 Bytes 13.11.2013 14:53:03
VBASE023.VDF : 7.11.113.46 2048 Bytes 13.11.2013 14:53:03
VBASE024.VDF : 7.11.113.47 2048 Bytes 13.11.2013 14:53:03
VBASE025.VDF : 7.11.113.48 2048 Bytes 13.11.2013 14:53:04
VBASE026.VDF : 7.11.113.49 2048 Bytes 13.11.2013 14:53:04
VBASE027.VDF : 7.11.113.50 2048 Bytes 13.11.2013 14:53:04
VBASE028.VDF : 7.11.113.51 2048 Bytes 13.11.2013 14:53:04
VBASE029.VDF : 7.11.113.52 2048 Bytes 13.11.2013 14:53:04
VBASE030.VDF : 7.11.113.53 2048 Bytes 13.11.2013 14:53:04
VBASE031.VDF : 7.11.113.126 225280 Bytes 14.11.2013 15:51:23
Engineversion : 8.2.12.144
AEVDF.DLL : 8.1.3.4 102774 Bytes 13.06.2013 13:44:52
AESCRIPT.DLL : 8.1.4.168 520574 Bytes 14.11.2013 15:51:31
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 19:58:12
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 12:25:00
AERDL.DLL : 8.2.0.128 688504 Bytes 13.06.2013 13:44:51
AEPACK.DLL : 8.3.3.4 758136 Bytes 16.10.2013 15:39:23
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 18:06:56
AEHEUR.DLL : 8.1.4.758 6275450 Bytes 14.11.2013 15:51:30
AEHELP.DLL : 8.1.27.8 266617 Bytes 07.11.2013 16:24:46
AEGEN.DLL : 8.1.7.20 446839 Bytes 13.11.2013 14:53:05
AEEXP.DLL : 8.4.1.100 369016 Bytes 01.11.2013 16:17:49
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.32.2 201081 Bytes 07.11.2013 16:24:45
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:16:31
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 04.09.2013 11:19:07
AVPREF.DLL : 13.6.20.2174 48184 Bytes 04.09.2013 11:19:52
AVREP.DLL : 13.6.20.2174 175672 Bytes 04.09.2013 11:20:35
AVARKT.DLL : 13.6.20.2174 258104 Bytes 04.09.2013 11:19:29
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 04.09.2013 11:19:37
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 04.09.2013 11:20:37
NETNT.DLL : 13.6.20.2174 13368 Bytes 04.09.2013 11:21:05
RCIMAGE.DLL : 13.6.20.2174 4786744 Bytes 04.09.2013 11:19:07
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 04.09.2013 11:19:07
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, Q:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +, +, +, +, +, +, +, +,
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Donnerstag, 14. November 2013 18:25
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTHSAmpPalService.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'BBSvc.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'devmonsrv.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTHSSecurityMgr.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'ExpressCache.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'WajamUpdater.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'obexsrv.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '187' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVBg64.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrl.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'IncMail.exe' - '185' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediasrv.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTPlayerCtrl.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'pcee4.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'adm_tray.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ModeShift.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrlHelper.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '203' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'YCMMirage.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'MovieColorEnhancer.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmartSetting.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'ImApp.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'tv_w32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'tv_x64.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Desktop.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCScheduler.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSCKbdHk.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\windows\system32\svchost.exe'
Signiert -> 'C:\windows\system32\winlogon.exe'
Signiert -> 'C:\windows\explorer.exe'
Signiert -> 'C:\windows\system32\smss.exe'
Signiert -> 'C:\windows\system32\wininet.DLL'
Signiert -> 'C:\windows\system32\wsock32.DLL'
Signiert -> 'C:\windows\system32\ws2_32.DLL'
Signiert -> 'C:\windows\system32\services.exe'
Signiert -> 'C:\windows\system32\lsass.exe'
Signiert -> 'C:\windows\system32\csrss.exe'
Signiert -> 'C:\windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\windows\system32\spoolsv.exe'
Signiert -> 'C:\windows\system32\alg.exe'
Signiert -> 'C:\windows\system32\wuauclt.exe'
Signiert -> 'C:\windows\system32\advapi32.DLL'
Signiert -> 'C:\windows\system32\user32.DLL'
Signiert -> 'C:\windows\system32\gdi32.DLL'
Signiert -> 'C:\windows\system32\kernel32.DLL'
Signiert -> 'C:\windows\system32\ntdll.DLL'
Signiert -> 'C:\windows\system32\ntoskrnl.exe'
Signiert -> 'C:\windows\system32\drivers\beep.sys'
Signiert -> 'C:\windows\system32\ctfmon.exe'
Signiert -> 'C:\windows\system32\imm32.dll'
Signiert -> 'C:\windows\system32\dsound.dll'
Signiert -> 'C:\windows\system32\aclui.dll'
Signiert -> 'C:\windows\system32\msvcrt.dll'
Signiert -> 'C:\windows\system32\d3d9.dll'
Signiert -> 'C:\windows\system32\dnsapi.dll'
Signiert -> 'C:\windows\system32\mshtml.dll'
Signiert -> 'C:\windows\system32\regsvr32.exe'
Signiert -> 'C:\windows\system32\rundll32.exe'
Signiert -> 'C:\windows\system32\userinit.exe'
Signiert -> 'C:\windows\system32\reg.exe'
Signiert -> 'C:\windows\regedit.exe'
Die Systemdateien wurden durchsucht ('34' Dateien)
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '8938' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
[0] Archivtyp: RSRC
--> C:\Program Files (x86)\Samsung\Easy Support Center\Drv\drv3x86\WUDFUpdate_01009.dll
[1] Archivtyp: RSRC
--> C:\Program Files (x86)\Samsung\ModeShift\Win7\WUDFUpdate_01009.dll
[2] Archivtyp: RSRC
--> C:\Program Files (x86)\Samsung\ModeShift\Win7_64bit\WUDFUpdate_01009.dll
[3] Archivtyp: RSRC
--> C:\Program Files (x86)\Samsung\Samsung Recovery Solution 5\WUDFUpdate_01009.dll
[4] Archivtyp: RSRC
--> C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ID4XA10B\pack[1].7z
[5] Archivtyp: 7-Zip
--> bprotect.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BProtector.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> protector.dll
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BProtector.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ID4XA10B\pack[1].7z
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BProtector.Gen
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\' <2ndHDD>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Beginne mit der Desinfektion:
C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ID4XA10B\pack[1].7z
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BProtector.Gen
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!

Ende des Suchlaufs: Freitag, 15. November 2013 14:16
Benötigte Zeit: 2:30:36 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
38389 Verzeichnisse wurden überprüft
1190724 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1190721 Dateien ohne Befall
21621 Archive wurden durchsucht
2 Warnungen
1 Hinweise

HiJackthis:HiJackthis Logfile:
--- --- ---


Nach meinen Recherchen (bin zwar in der IT tätig, gottlob ist Virenbekämpfung aber nicht mein tägliches Brot) handelt es sich ja eher um unerwünschte, aber nicht um besonders schädliche Software (ausser dem im Betreff genannten gab es ja doch noch ein zwei drei Warnmeldungen).
Meine Fragen:
Laptop neu aufsetzen, oder ist der jetzt sauber ?!
Ich habe aktuell keinen physischen Zugriff auf das Gerät, habe alles per Teamviewer angeworfen und die Logs ebenso geholt.
Bei Bedarf kann ich auch noch ne Desinfec´t über das System jagen..

Danke und Gruß

Carsten

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 4 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Ich sehe bisher keinen Grund für Neuaufsetzen, wir schauen uns den Rechner am besten an und dann sehen wir weiter:



Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo M-K-D-B,

gerne würde ich auf dein Angebot zurückgreifen, mein Problem:
Ich muss mir erst das Laptop "aneignen", díes kann aber noch bis zum Wochenende dauern.
Wäre das OK ?!
Danke und Gruß

Carsten

Servus,


ok, dann bis zum Wochenende. :)

HI,
Laptop befindet sich jetzt bei mir, Morgen werde ich besagte Software installieren, dann könnten wir loslegen.
Wie wird das vonstatten gehen (Uhrzeit, Fernwartung, etc.)!?

Gruß

Carsten

Servus,


Fernwartung über TV oder ähnliches wird es nicht geben. Ich poste Anleitungen von Tools, die du auf deinem Rechner ausführen musst. Abschließend musst du mir die Logdateien der Tools posten. So läuft das hier. :)
Ich geb dir dann Bescheid, wenn dein Rechner sauber ist.

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Servus,




Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4
Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/

• Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen
• Starte Zoek.exe mit einem Doppelklick.
• Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und könnte andere Computer beschädigen.
• Kopiere den Text der folgenden Box in das Skriptfenster von zoek:
  
  Code:

  ---

  FFdefaults;
CHRdefaults;
iedefaults;
emptyclsid;
autoclean;

  ---

• Nun klicke auf "Run script" und sei geduldig bis das Skript durchläuft.
• Wenn das Tool fertig ist wird sich Notepad mit dem Logfile öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:
• Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken)

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von MBAM,
• die Logdatei von Zoek.

Hallo,

ZOEK startet nicht, Fehlerhinweise:
Sysprop.dll konnte nicht gefunden werden (oder ähnlich)..
Kann ich noch etwas für dich von hier aus tun ?!

Gruß

Carsten

Servus Carsten,





Wir spüren die letzten Reste auf, damit wir sie später entfernen können:





Schritt 1
Kontrollscan mit FRST
Führe wie zuvor beschrieben einen Scan mit FRST aus.
Setze dazu eine Haken bei Addition.txt rechts unten und klicke auf Scan.
Es werden wieder zwei Logdateien erzeugt. Poste mir diese.





Schritt 2
Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  

  Code:

  ---

  :filefind
*Babylon*
*Browser Manager*
*DSearchLink*
*simplitec*
*VisualBee*
*Conduit*
*MyPC Backup*
*Wajam*
*WiseConvert*
*PriceGong*
*Advanced System Protector*
*Systweak*
*ilivid*
*crossrider*
*DataMngr*

:folderfind
*Babylon*
*Browser Manager*
*DSearchLink*
*simplitec*
*VisualBee*
*Conduit*
*MyPC Backup*
*Wajam*
*WiseConvert*
*PriceGong*
*Advanced System Protector*
*Systweak*
*ilivid*
*crossrider*
*DataMngr*

:regfind
Babylon
Browser Manager
DSearchLink
simplitec
VisualBee
Conduit
MyPC Backup
Wajam
WiseConvert
PriceGong
Advanced System Protector
Systweak
ilivid
crossrider
DataMngr

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Gibt es noch Probleme mit Malware? Wenn ja, welche?
Wie läuft der Rechner derzeit?





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von FRST,
• die Logdatei von SystemLook,
• die Beantwortung der gestellten Fragen.

Hallo,

Ich kann nur sagen, dass das Laptop stabil läuft, aber der Leistung wohl eher unangemessen langsam.
Allerdings läuft es auch in eine Art Drosselmodus (es handelt sich um eine reinrassige Gamingmaschine, bei der du per Drehschalter Leistungsprofile einstellen kannst).
Trotz Caching SSD und Core i7 finde ich es nicht überragend schnell, das ist aber subjektiv (habe selbst nur noch SSD-befeuerte Rechner)..
Die Userin selbst ist sehr zufrieden, gibt sich aber aktuell mit einem Athlon X2 zufrieden, die fällt also als Referenz auch aus ....
Zusammenfassend:
Es läuft, ausreichend schnell und stabil, aber (evt.) ausgehend von der Original-Samsung-Vorinstallation finde ich meinen ähnlich (ausser der SSD) ausgestatteten Laptop deutlich angenehmer.

Gruß und Danke

Carsten
BTW:
Habe vorhin noch die DesinfeC´t im Lesemodus drüber gejagt, dort wurde (ausser in einer kopierten, aber nicht genutzten Exe) nichts gefunden.
Was mich aktuell stört ist aber die Meldung vom MRST, dass der Avia aktuell, aber deaktiviert sei...
Zumindest der Avira und das Sicherheitscenter gehen nicht davon aus..
Fehlmeldung oder wurde er beim scannen temporär deaktiviert ?!

Servus,


FRST deaktiviert dein AV Programm nicht.


du hast mir zweimal die "Addition.txt" gepostet. Bitte poste mir noch die FRST.txt, dann kann es weitergehen. ;)

hi..

keine Absicht mit dem doppelpost.
heute wird das aber nix mehr.
in diesem Sinne: schönen Feierabend :-)
Gruß

Carsten


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Servus,



Wir entfernen die letzten Reste und kontrollieren nochmal alles. ESET kann länger (> 2 h) dauern.
Im Anschluss daran räumen wir auf und ich gebe dir noch ein paar Tipps mit auf den Weg.




Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

• Starte die HitmanPro.exe
• Klicke auf
  
• Entferne den Haken bei
  
• Klicke auf
  und
• Akzeptiere die Lizenzbedingungen und klicke auf
• Klicke auf
  
  und auf
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

 

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.






Bitte poste mit deiner nächsten Antwort

• die Logdatei von FRST,
• die Logdatei von HitmanPro,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.