Snap.do und eventuell Folgeinfektionen!
 

Hallo,
ich brauche Hilfe!

Auf dem PC meiner Tochter ist das Tool Snap.Do ziemlich hartnäckig hereingebrochen. Die potentielle Ursache liegt wahrscheinlich erst zwei Tage zurück und war ein Download bei CHIP. Heruntergeladen wurde das Spiel Icytower.

Danach hat sich Snap.Do gemütlich eingerichtet - und lässt sich hartnäckig nicht beseitigen.

Im ersten Schritt habe ich die Komponenten von Snap.Do, die sich ordnungsgemäß als Programm in Windows registrieren, wieder deinstalliert. Nachhaltig ist das aber nicht.

Im nächsten Schritt habe ich das System auf eine Sicherung zurückgesetzt, die ein paar Tage älter ist, als der Download des oben genannten Spieles. Das zeigt kurzfristig Erfolg - aber nach wenigen Minuten installiert sich Snap.Do erneut.

Dabei nutzt Snap.Do konkret wohl auch den Update-Mechanismus der Antivirensoftware. Ich habe hier den begründeten Verdacht, dass AVIRA nicht mehr richtig arbeitet, sondern der Updatemechanismus gezielt genutzt wird, um weitere Malwarekomponenten in Folge der Infektion nachzuladen.

Ein Indiz hierfür ist, dass ein normaler Update des Avira nach der Infektion nun so abläuft, dass der Update anstartet, dann einige Minuten auf den Download wartet (noch nicht ungewöhnlich), sich dann aber ein zweites Update-Fenster für AVIRA öffnet, und dieses keinen Abbruch mehr vorsieht. Nach dem Nachladen entsprechend dem zweiten Update-Fenster wird generell ein Neustart des Rechners erwartet - mit der Folge, dass man auch nach einem Löschen von Snap.Do dieses in der Folge erneut installiert bekommt.

Es ist also wohl nicht nur eine Infektion mit Snap.Do, sondern dahinter dürfte sich leider mehr verbergen....und das übersteigt mein Wissen bei weitem.

In einzelnen ungewöhnlichen Dateien findet man auch Hinweise darauf, dass nicht übliche Software sich im System verewigt hat.

Ich wende mich deshalb vertrauensvoll an dieses Forum mit der Bitte um Hilfe.


Wie gefordert, als erstes also hier das Log von Malwarebytes, wobei Malwarebytes nichts findet.....ich traue aber hier Malwarebytes auch nicht mehr, da AVIRA auch nichts findet, und der AVIRA-Browserschutz beim Download von Icytower installiert war, genau wie Malwarebytes und die Firewall etc. etc.....


Ich fürchte, dass die Infektion ziemlich umfänglich ist.....die normalen Sicherheitsmaßnahmen wie Virenprogramm und den normalen Windows-Schutz inklusive Firewall habe ich eigentlich auch bei dem PC meiner Tochter beachtet....

Kritische Daten sind nicht auf dem PC - eine Datensicherung auf einem externen Medium von allen relevanten Anwendungsdaten existiert.

Bewußt halte ich die Software auf dem PC halbwegs aktuell - Chrome ist der üblich genutzte Browser, wiewohl sich Snap.do auch auf dem IE10 eingenistet hat.....und das trotz AVIRA Browserschutz. Chrome ist aktuell!

Auch JAVA ist FAST aktuell. Welches konkretes Sicherheitsleck nun genutzt wurde, ist mir derzeit unklar.

Also: Hier das Protokoll von Malwarebytes:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.28.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Clara :: CLARA-COMPUTER [Administrator]

28.03.2013 23:25:18
mbam-log-2013-03-28 (23-25-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 458062
Laufzeit: 1 Stunde(n), 31 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Zwei Ergänzungen:

Bei jedem System-Shutdown und Neustart wird Windows-Update aufgerufen.

AVIRA generiert auch dann eine erfolgreiche UPDATE-Meldung, wenn es keine Netzverbindung hat. Gleichzeitig merkt Windows, dass AVIRA veraltet ist.

Oh oh oh ...



:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:




Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:

• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort, möglichst in CODE-Tags.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Schritt 3:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread (bitte dringend in CODE-Tags mit dem #-Symbol im Editor).

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Schritt 1:Defogger



Schritt 2: Scan mit aswMBR
Schritt 3: Scan mit dem TDSS-Killer

Schritt 4:Scan mit DDS+ (mit attach)
dds.txt
DDS Logfile:
--- --- ---


attach.txt

Auffällig war:
Das Beenden der Programme habe ich zusätzlich über den Taks-Manager gemacht. Dort war eine Anwendung mit dem schönen Namen BOOT (C:) gestartet. Diese habe ich beendet.

Beim späteren Herunterfahren des Laptops kam damit keine Windows-Update-Meldung mehr.


Ich habe auch noch kurz über die gestarteten Prozesse geschaut. Ungewöhnlich war für mich, dass sowohl die Prozesse für CHROME als auch für den Virenscanner AVGNT jeweils die zusätzliche Eintragung *32 aufwiesen. Vielleicht ist das aber auch normal - ich habe selbst einen 32-Bit-Rechner unter Win7, der Laptop der Tochter hingegen läuft wohl schon auf 64 Bit.

Ansonsten keine Auffälligkeiten.


An dieser Stelle schon mal ganz ganz vielen Danke für deine Arbeit!!!!

Das heißt einfach nur, dass sie im 32 bit -Modus laufen.

Also das sieht erstmal unkritisch aus.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, FireJump, SearchAnonymizer, SpeedMaxPC

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 1: Deinstallation von Programmen

Toolbars: Ich hatte nur die Toolbar von Avira selbst, die habe ich zunächst nicht gelöscht, weil der den Browserschutz laut AVIRA bieten soll.
Das hat dann im Schritt 2 der AdwCleaner gemacht...

Weitere Toolsbars waren nicht zu deinstallieren.

Als Downloader konnte ich nur den Downloader von Seiko identifizieren - der aber ist Bestandteil der Druckersoftware und mir eigentlich bekannt. Insofern habe ich ihn installiert gelassen.

JAVA habe ich komplett deinstalliert - die Bezeichnungen der Version waren für mich nicht eindeutig. Wenn ich JAVA später brauchen sollte, installiere ich es in der neuesten Version nach.

Bei der Software ist noch Icy Tower 1.5 installiert - ich habe das zunächst nicht deinstalliert, obwohl ich es unter Verdacht habe, dass es der Auslöser war.

Den CCCleaner habe ich deinstalliert. Sonstige Programme aus der Liste sind nicht installiert.


Schritt 2: AdwCleaner
Der AdwCleaner hat wie oben schon angekündigt die Chrome-Toolbar von Avira als beschädigt gemeldet und gelöscht. In der Folge sind die Chrome-Einstellungen beim nächsten Start des Browsers als beschädigt gemeldet worden. Das ist ok. Der Standard ist ok, und wenn ich später Anpassungen brauche, kann ich die vornehmen.

Ein Durchlauf des Programmes reichte aus.

Die LOG-Datei:


Schritt 3: Scan mit Combofix

Hatte den Virenscanner über die Taskleiste deaktiviert. Allerdings gibt es ein Registry-Schutz von Avira, der wohl auch dann noch aktiv bleibt. Combofix hat auf die Registry zugegriffen, und die Warnmeldung von AVIRA kam. Laut dieser Meldung wurde verhindert, dass die Registry verändert wurde. Muss ich Combofix also nochmals laufen lassen?

Nach der Ausführung von Combofix habe ich den Virenscanner wieder aktiviert.

Das LOG-File von Combofix:

Ja, sehr schön.

Bevor es weiter geht: Besteht das Problem noch?

Nein, derzeit ist nichts auffälliges mehr zu sehen. In Chrome gibt es die Toolbar ja nicht mehr, die wird auch von Avira angemeckert. Ich soll sie nachinstallieren....

Ansonsten keine Auffälligkeit.

Ach vergiss Avira... das hat eh keine Ahnung :) Tipps gibts später.

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Schritt 1: Quick-Scan mit Malwarebytes

Kein Befund.


Schritt 2: ESET Online Scanner

Ein Befund im Download-Ordner - Ramnit.A wurde entdeckt.

In diesem Fall ist das aber eine Altlast. Meine Tochter hatte vor mehr als 12 Monaten einen Befall mit Ramnit.A, den ich mit Hilfe des Trojaner-Boards lösen konnte. Die Ursache war der Download eines Spiels. Der Befall wurde beseitigt - das originäre Download-File hingegen nicht. Diese Exe wurde seitdem nie wieder aufgerufen - auch nicht jetzt vor den aktuellen Problemen. Mein Vorschlag: Das gesamte Download-Verzeichnis kann gelöscht werden. Ich würde das tun und den Papierkorb leeren, und ansonsten davon ausgehen, dass kein weiterer Befall mit Ramnit.A vorliegt. Ich bin mir hier aufgrund der Vorgeschichte ziemlich sicher!!!!

Schritt 3: Scan mit SecurityCheck


Ergänzung:
Ich habe die Firewall wieder eingeschaltet.


Meinem Avira traue ich noch immer nicht!!!!
Obwohl ich den Schutz per Taskleiste ausgeschaltet hatte, hat er ihn wieder (scheinbar) aktiviert. Dazu kommt, dass ein Update ausgelöst wurde, der jetzt auch hartnäckig nach einem Restart des Rechners verlangt. Ich würde den AVIRA gerne deinstallieren.

Danach könnte ich eine aktuelle Version von AVIRA oder einem anderen Virenscanner aufsetzen - aber ich mache hier erst mal nichts, und warte die Vorschläge ab.



Ich sage im Moment mal schon Danke! Ich wünsche ein frohes Osterfest. Ich bin selbst über Ostern nur bedingt erreichbar - und auf ein oder zwei Tage kommt es beim Rechner der Tochter nicht an.


Noch eine Anmerkung: Ich habe auch meinen Rechner im selben Netz wie den meiner Tochter. Macht es Sinn, meinen Rechner nach der Analyse des Laptops der Tochter einmal quer zu checken? Bis dato konnte ich auf meinem Laptop noch nichts auffälliges feststellen - aber im Moment bin ich dann doch etwas verunsichert - und von meinem Rechner mache ich dann doch mehr, was weh tun könnte, wenn es gehackt wäre.....


Noch ein Punkt:
Ich habe seit ca. 1 Monat Probleme mit meinem Provider. Meine Internetverbindung (im Router) bricht immer wieder ab. Teilweise im 5-Minuten Rhythmus, teilweise geht auch mal 2-3 Stunden gar nichts. Am Dienstag misst nun ein Techniker die Leitungen aus.....ich hatte deshalb größte Bedenken, dass ich die Online-Scans gar nicht machen kann. Merkwürdiger Fakt ist aber, dass entgegen dem Verhalten der letzten Tage nun die Internetleitung seit 17:52 Uhr heute nachmittag scheinbar stabil ist.

Ist das Zufall? Oder wäre denkbar, dass ein Problem auf dem Rechner meiner Tochter bis zu unserem Router durchschlägt?
Der Techniker kommt so oder so...für eine Einschätzung wäre ich dennoch dankbar. In der Tendenz bin ich eher der Meinung, dass es keinen Zusammenhang zwischen den Problemen am Laptop meiner Tochter und den Problemen mit der Leitung gibt - halte es eher für Zufall. Die Meldungen der Fritz-Box klingen eher nach einem Technischen Problem mit der Leitung....ein synchronisierungsproblem. Ich werde es im Auge behalten.....





Grüße und Danke

Atue

Update 30.03.


Alles zurück auf Anfang.
Snap.do ist wieder da.

Hat sich erneut installiert.

Ich war nur auf dem trojaner-board....also schlummerte er wahrscheinlich noch irgendwo im Hintergrund.....eventuell doch beim AVIRA, der ja nicht deinstalliert war und gestern dann wohl noch seinen Update gemacht hat????

Du bastelst dir da zwar was schönes zusammen aber deine Bedenken kann ich zerstreuen.

Also fein.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstalliere Avira

Entferne Avira über die Systemsteuerung. Danach führe den Avira Registry Cleaner aus.

Schritt 2:
Installiere Avast.

Lade dir den Scanner und installiere ihn nach dieser Anleitung.

Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 1: Deinstalliere Avira

erledigt!

Schritt 2: Installiere Avast.

erledigt.


Schritt 3: AdwCleaner: Werbeprogramme suchen und löschen


Mag sein, dass der Verdacht gegen Avira nicht wirklich richtig war. Ich konnte halt beobachten, dass auf zwei nahezu identisch installierten Rechnern einmal Avira ein Update mit 3 Dateien macht (der wahrscheinlich saubere), während er auf diesem infizierten Rechner immer wieder neu 135 Dateien upgedatet hatte....

Und die erneute Infektion mit snap.do war halt auch präsent....

Jetzt also mal mit AVAST!

Das ist WERBUNG und keine Infektion! Bitte Schluß mit der Panik!

Siehst du jetzt noch Spuren von Snap? Wenn ja in allen Browsern oder nur in einem?

Alle Browser (Chrome und IE9) sind ohne Befund

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist