Adware.Elex kommt immer wieder
 

Guten Abend werte Community & Profis,

ich bin neu hier, benutze schon seit ewigkeiten Windows (seit 95, strenggenommen aber seit XP) und habe mir erstmals einen Virus eingefangen, den ich nicht los werde. (woher er kommen kann? keine ahnung, mir ist nichts auffälliges aufgefallen)

Bemerkt das etwas nicht stimmt habe ich dadurch, dass sich der Browser Firefox ohne mein Wissen installiert hat (mein Windows 10 ist noch nicht allzu alt, da ich es vor ein paar Monaten neu installiert habe). Mein PC läuft auch generell sehr sehr lange und mir ist ebenfalls in Abwesenheit aufgefallen, dass sich mein Chrome geschlossen hatte.
Das war am 21.04.17, also habe ich Malwarebytes durchlaufen gelassen und der hat auch Adware.Elex erkannt und gelöscht, anschließend hab ich noch ein paar mal den Scan durchlaufen lassen, und er hat insgesamt nun relativ oft was erkannt, zwischendurch schien aber alles mal wieder "clean" zu sein, und er hat nichts erkannt. Seitdem schaue ich auch regelmäßig was so im Taskmanager offen ist, da ist mir allerdings auch nichts aufgefallen (außer am anfang ein Dienst und ein Prozess vom Firefox, welchen ich deaktiviert und geschlossen habe).

Sicherheitshalber habe ich auch Chrome komplett neu installiert (inkl. die Addons uMatrix(hier nur geändert, dass Scripts standartmäßig geblockt werden) und uBlock Origin, ansonsten verwende ich i.d.R. nur das E-Mail Addon von Web.de, welches mir derzeit aber zu riskant zu benutzen ist, eben aufgrund der Viren)

hier mal eine genaue Auflistung der Scan-Berichte, betroffene Log Dateien poste ich natürlich unten:

18.04.17 06:45 clean
>21.04.17 01:19 nicht clean, individuell (alle festplatten), (Adware.Ghokswa
Regestrierungswert & schlüssel, adware.Elex als firefox), der scan hat 2
Stunden gedauert, deswegen der nächste scan so spät

>21.04.17 03:20 nicht clean, bedrohung, viel Adware.Elex, PUP.Optional.Elex und
PUP.Optional.Ghokswa und ein mal PUP.Optional.SearchInMe

21.04.17 03:24 clean, bedrohung, ist 4 Minuten nach dem Scan davor.
21.04.17 03:27 clean, bedrohung
21.04.17 03:29 clean, hyper
21.04.17 03:29 clean, bedrohung
21.04.17 03:32 clean, inviduell(alle Festplatten) inkl. Rootkits, 2 Std. Scanzeit
21.04.17 05:32 clean, bedrohung

>22.04.17 02:25 nicht clean, bedrohung, Trojan.WisdomEyes als Regestrirungswert & Schlüssel, auch als Datei in Appdata\Roaming\SSMgre\SSRec & SSRec\JTFW & JTFW\JTFW.dll. Zudem noch Adware.Ghokswa (ich denke getarnt als Chrome, sah zmd. vom Ordnerinhalt danach aus unter den Namen "Everbean") Zuvor hab ich selbst schon im Programme (x86) den Everbean Ordner gelöscht, die Ergebnisse hier beziehen sich auf den Pfad Appdata\Local\Everbean

22.04.17 04:24 clean, bedrohung inkl. rootkits
22.04.17 04:26 clean, hyper
22.04.17 04:41 clean, bedrohung inkl. rootkits
22.04.17 04:28 clean, hyper
22.04.17 04:51 clean, Individuell inkl. rootkits, weiß nicht mehr welche Festplatten, C war dabei
22.04.17 05:59 clean, bedrohung inkl. rootkits
22.04.17 06:05 clean, hyper
22.04.17 06:28 clean, bedrohung inkl. rootkits
22.04.17 07:50 clean, hyper
22.04.17 07:52 clean, hyper
22.04.17 08:00 clean, individuell inkl. rootkits, weiß nicht mehr welche Festplatten, C war dabei
22.04.17 08:36 clean, individuell, ohne rootskits, nur externe Festplatte

Mein Daten Backup Server im Netzwerk ließ sich leider nicht via Malwarebytes überprüfen, sondern nur via. Windows defender, der hat nichts gefunden.

22.04.17 09:56 clean, bedrohung inkl. rootkits
22.04.17 11:13 clean, bedrohung inkl. rootkits

23.04.17 02:24 clean, bedrohung
>23.04.17 23:19 nicht clean, bedrohung inkl. rootkits, Adware.Elex Prozessmodul & Datei & Regestrierungsschlüssel, in Programdata\microsoft\office\packagelocker.dll

23.04.17 23:26 clean, bedrohung inkl. rootkits
24.04.17 00:19 clean, bedrohung inkl. rootkits
laufend: individuell inkl. rootskits, alle festplatten

was habe ich in dem Zeitraum gemacht?
Eigentlich nicht viel, nur auf sicheren Seiten gewesen und die Steam Version von Resident Evil4 HD Remaster gespielt, allerdings mit von der Community gemoddeten HD Texturen inkl. gepatchter .exe Datei. (scheint für mich aber sehr seriös, in deren Kommentar-Sektion scheint keiner Probleme damit in Verbindung zu bringen, Virenscans haben dahingehend auch nichts ergeben.)
Es ist mir generell ein Rätsel, wie und wo ich mir den eingefangen habe, da ich eigentlich immer sehr behutsam vorgehe...

Vielen lieben Dank schonmal im voraus, dass sich die Mühe gemacht wird, mir und anderen Leuten zu helfen, auch wenn ich gehofft habe, niemals eure Hilfe zu brauchen :)

Liebe Grüße,

Andy

Hier noch die Log-Dateien:

Addition.txt

FRST.txt

Malwarebytes infizierter Scan 1

die 2 Weiteren Malwarebyte Scans, einer ist leider zu groß, wäre nr. 3 von 4:

Malwarebytes infizierter Scan 2:

Malwarebytes Infizierter Scan 3 (Zu groß, 600KB Textdatei, kommt in Anhang als .zip)

Malwarebytes infizierter Scan 4:

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo und :hallo:

Bevor wir beginnen beachte bitte Folgendes:

• Installiere/Deinstalliere bitte nichts während wir hier an deinem Problem arbeiten
• Speicher alle unsere Tools auf dem Desktop ab (das ist später wichtig!)
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach auf mehrere Posts aufteilen
• Falls vorhanden: Logs die jünger als 1 Monat sind bitte posten
• Verwende keine weiteren Tools ohne Aufforderung
• Wichtig: Auch wenn dein Problem behoben scheint kann dein System noch infiziert sein, arbeite also bitte weiter bis ich dir ein "Clean" gebe

Schritt 1:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel
  • Proxy
  • Winsock
  • Internet Explorer Richtlinien
  • Chrome Richtlinien
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2:

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3:

• Starte die FRST.exe erneut (diesmal vom Desktop!). Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hallo Tician und vielen Dank für deine Hilfe.

Hier die neuen Logs:

AdwCleaner (AdwCleaner[C0].txt):

JRT.txt:

FRST.txt:

Addition.txt:

hier war der Winodws defender noch vom JRT deaktiviert. Ansonsten hab ich wieder nichts gemacht, außer online auf sicheren Seiten gewesen zu sein und resident evil 4, die Steamversion gespielt. Der Malwarebytes Scan, der am laufen war, als ich den post geschrieben habe war übrigens ebenfalls clean.

Hi,

na dann machen wir uns ans Werk :)


Schritt 1:

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2:

Hinweis: Der Scan mit ESET kann länger dauern!

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3:

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Macht der PC noch Probleme?

Ich habe leider vergessen, dass ich das Premium Trial von Malwarebytes noch aktiviert hatte, der hat heute früh nämlich einen automatischen Suchlauf gestartet. Das gefundene habe ich nicht in Quarantäne versetzt, da ich deine Meinung abwarten möchte.

Hier die neuen Logs:

Malwarebytes:

Fixlog:
nur aus Interesse, war hier der Ursprung mit dabei, der mich quasi immer wieder mithilfe des explorers infiziert hat, also das mit dem "hxxp://point.orangeiloveyou.com/" zeug?

ESET:

und hier noch vom FRST:

Addition.txt:

ich sehe hier gerade, dass in der Firewall noch rules sind von Programmen, die ich bereits deinstalliert habe (Firefox und Apowersoft\Streaming Audio Recorder).
Was hat es mit dem Treiber (ehdrv.sys) konnte nicht geladen werden auf sich? Sehe grade, dass es erst bei diesem FRST Durchlauf kommt. (muss nicht beantwortet werden, frage nur aus Interesse)

FRST.txt:

Probleme macht der PC eigentlich keine, hat er davor ja auch nicht wirklich, nur positive(oder eher negative?) Scans gemacht. Frage am Rande, da ich momentan sehr eingeschränkt den PC benutze, sind Passwörter derzeit gefährdet (insb. wenn ich sie eingebe, also keylogger ähnlich)?

Hi,

der 2. Teil von FRST (Addition.txt) fehlt noch, den bitte noch nachreichen. Danach gehe ich gerne auf deine Fragen ein :)

warum fehlt? Der ist doch über FRST.txt, der vorletzte CODE.

hier nochmal, sofern du das meintest, habs wohl oben etwas unvorteilhaft formuliert.

Addition.txt:

Hi,

entschuldige, du hast recht das Log war da, ich muss nur die Augen aufmachen :stirn:

Es tut mir leid das es so lange gedauert hat.

Ja, den hat Malwarebytes zwar nun auch gefunden, aber wir haben es entfernt.

Die .sys-Datei (der Treiber) gehört zu ESET (deshalb tauchen die Error-Meldungen auch erst jetzt auf) und ESET scheint ja gut durchgelaufen zu sein. Warum die Meldung da steht kann ich nicht sagen, Windows versucht da etwas das nicht funktioniert (das muss nichts wichtiges sein), Sorgen musst du dir keine machen.

Soweit ich aus den Logs erkennen kann war da nichts das Passwörter ausspioniert, trotzdem solltest du regelmäßig deine Passwörter ändern - jetzt wäre ein guter Zeitpunkt damit anzufangen :)


Ein paar Reste müssten noch weg, dann sind wir durch :)

Schritt 1:

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

-------------------------------------------------------

Wichtig für dich: Java aktualisieren.

Dein PC ist nun clean :daumenhoc

Lade dir jetzt Delfix http://filepony.de/icon/tiny/delfix.png herunter:

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte deinen Rechner abschließend neu.

Malwarebytes Anti-Malware http://filepony.de/icon/tiny/malware...ti_malware.png und ESET http://filepony.de/icon/tiny/eset_online_scanner.png kannst du über die Systemsteuerung deinstallieren, ich würde dir allerdings raten beides zu behalten und deinen PC damit ab und an zu scannen.

Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Lass mich dir einen Rucksack voll mit Tipps und Hinweisen geben um ein Wiedersehen so gut wie möglich zu vermeiden :)


Absicherung:

• Achte immer darauf einen Virenscanner zu verwenden und diesen aktuell zu halten.
  Meine persönlichen Empfehlungen:
  • Emsisofthttp://filepony.de/icon/tiny/emsisoft_anti_malware.png
  • Windows Defenderhttp://www.trojaner-board.de/picture...&pictureid=733
  
  
• Der Internet Explorer ist nicht bekannt für seine Sicherheit, halte ihn aber trotzdem aktuell da einige Programme ihn benutzen. Benutze zum Surfen stattdessen einen der folgenden Browser:
  • Mozilla Firefoxhttp://www.trojaner-board.de/picture...&pictureid=734
  • Google Chromehttp://www.trojaner-board.de/picture...&pictureid=735
  Dazu kannst du noch das Add-On Adblock Plushttp://www.trojaner-board.de/picture...&pictureid=736 verwenden, damit werden Werbungen und Pop-Ups blockiert.
  
  
• Zu guter Letzt halte deine Software aktuell, die Updates gibt es nicht ohne Grund, mit ihnen werden wichtige Sicherheitslücken geschlossen.
  Dazu gehören vor allem:
  • Windowshttp://www.trojaner-board.de/picture...&pictureid=737 - stelle sicher das die automatischen Updates aktiviert sind
  • Java x64 oder/und Java x86http://www.trojaner-board.de/picture...&pictureid=738
  • PDF Readerhttp://www.trojaner-board.de/picture...&pictureid=739 (Achtung: Häkchen vor dem Download entfernen)
  • Flash Playerhttp://www.trojaner-board.de/picture...&pictureid=740 (Achtung: Häkchen vor dem Download entfernen)
  • Browser (Opera, Safari, Firefox, Chrome,...)

Dein Verhalten im Internet:

• Lade dir deine Software entweder direkt von der Herstellerseite oder von übersichtlichen und sauberen Seiten wie FilePony.de herunter.
  Download-Seiten wie Chip oder Softonic mögen bequem erscheinen, sind aber nicht vertrauensvoll. Lies dir dazu am Besten das hier durch: CHIP-Installer - was ist das? - Anleitungen
  
  
• Klicke nicht auf alles nur weil es groß ist und bunt leuchtet. Wenn die Möglichkeit besteht, dann wähle eine benutzerdefinierte Installation, in der wird dir meist die Gelegenheit gegeben zusätzliche Software (Toolbars, Suchmaschinen, etc) ab zu wählen.
  
  
• Benutze nicht dasselbe Passwort für mehrere Seiten. Ein gutes Passwort besteht aus 7+ Zeichen und beinhaltet Großbuchstaben, Kleinbuchstaben und Sonderzeichen. Ein guter Weg sich ein Passwort zu erstellen ist die Anfangsbuchstaben eines Satzes zu nehmen.
  Ein Beispiel: Ich sitze vor dem PC, und denke mir ein Passwort aus
  Passwort: IsvdPC,udmePa
  
  
• Solltest du bei Dateien/Downloads/Internetseiten mal nicht sicher sein ob diese sicher sind, dann schau doch einfach hier nach: https://www.virustotal.com/
  
  
• Halte dich von Tools fern die versprechen deinen PC zu beschleunigen oder zu optimieren

Unterstütze uns!

Wenn du mit meiner Bereinigung zufrieden warst würden wir uns über eine Spende freuen. Dies kannst du hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html.

Auch über Feedback und Verbesserungsvorschläge freuen wir uns, schau dazu doch hier vorbei!


Ansonsten bleibt mir nur noch dir alles Gute zu wünschen und bedanke mich für deine Mitarbeit und dein Vertrauen :abklatsch:

Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine Profilnachricht inklusive Link zum Thema.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.