AdwCLeaner war/ist(?) befallen mit Win 32 AddLyrics-AM (Adw)
 

Hallo,

der Kampf mit meinem Laptop ist wohl noch nicht beendet :aufsmaul:
Ich hatte bis Anfang der Woche (?) ein Thema offen, wobei mir Schrauber geholfen hat. Vielleicht kann er mir noch weiterhelfen, weil der jetzige Befall wohl mit dem AdwCleaner, den ich bei der Hilfe runtergeladen hatte, zusammenhängt.

Der Laptop war nach der Hilfe von Schrauber clean.
Aber am 02.09. ging es los, dass mein Laptop über 10 Minuten gebraucht hat, bis er mal hochgefahren ist. Außerdem kam einmal ein blauer Bildschirm mit weißer Schrift (den ich nur vom Neuaufsetzen eines Laptops kenne (BIOS???)) mit dem Hinweis "Page_Fault_in_Nonpaged_Area"; Techn. Info: ***Stop: 0x00000050(0xFFFFFFE8, 0x0000001, 0x805267B2, 0x0000000)

Dachte erst, dass es an der ganzen neuen Software liegt, die ich runtergeladen habe und die sich halt im Hintergrund erst aufbauen müssen, bis der Laptop betriebsbereit ist (Avast, Winpatrol, SpywareBlaster, MVP hosts file, WOT, Mozilla Firefox + zwei Addons (NoScript und AdblockPlus) und Secunia Personal Software Inspector). Naiv, ich weiß :lach: vor allem weil ich dachte, dass wenn was auf dem PC wäre, dann ja Avast oder malwarebytes Alarm schlagen würde :stirn:

Aber die Zeit, die mein Laptop brauchte wurde immer länger. Habe am 04.09. dann endlich einen Scan mit Avast gemacht, wobei eine Infizierung festgestellt wurde (Win32 AddLyrics-AM(Adw) u. a.)

Die beiden Reports (Quickscan + Startzeitüberprüfung) von Avast (vor Löschen und nach löschen der Infizierungen) hänge ich als eine Pdf.-Datei mit den jeweiligen Screenshots an, weil sie leider nicht als txt-Datei abgerufen werden können (wenn doch, bitte kurz ein Hinweis, wo ich sie finde und ich reiche sie brav über die korrekte Art (Code) nach.


Hier noch der letzte Scan von Malwarebytes, nachdem ich den Befall mit Avast gelöscht habe:
Frage:
Muss ich noch was machen (manuell löschen)? Der AdwCleaner ist nicht unter Software zufinden (logisch, denkt ihr euch jetzt bestimmt, denn der AdwCleaner ist ja auch keine software sondern eine ???) Vielleicht sollten wir den auch runterkicken? Sobald Avast fertig gescannt hat, gebe ich auch noch den Log hier rein (oder halt als Anhang, wenn sich keine Txt-Datei öffnet...

LG


Danke schon mal für eure Hilfe.

hi,

nur weil in der BEschreibung ADW steht heisst das nit es kommt vom AdwCleaner :)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Ja, das habe ich mir im Nachhinein auch gedacht, dass der Befall net unbedingt vom ADW kommen muss. Warscheinlich hat sich der virus nur auf dem Cleaner festgebissen :)

Hatte bevor du geantwortet hast, den Defogger runtergeladen und Disable gedrückt, dann FRST und dann GMER. Hoffe, das war so richtig.

Logs vom FRST:



FRST Logfile:
--- --- ---

--- --- ---


GMER im Anhang, weil sonst die Zeichenlänge überschritten war...

nee, das sind zwei völlig unterschiedliche Dinge.

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

:headbang: Scheiße scheiße scheiße :headbang:

Ich habe meine WLan Verbindung ausgeschaltet, dann bei Avast die Schutzfunktionen alle angehalten und bei Malwarebytes auch das Schutzsystem ausgeschaltet. Dann habe ich vergessen, mein WLan wieder anzustellen und Combofix gestartet. Irgendwann kam der Moment, an dem Combofix die Wiederherstellungskonsole installieren wollte und es kam eine Infobox, dass man erst WLan wieder akivieren soll, BEVOR man OK klickt. Ich war zu schnell, klickte erst OK und dann hat Combofix schon weitergemacht und keine Wiederherstellungskonsole runtergeladen.

WinPatrol hat am Schluss, als Combofix fertig war angezeitgt, dass

• KernelFaultCheck
• MSConfig
• CTFMON.exe
• DXDRegExe

aus Autostart entfernt wurde

Ebenso hat es angezeigt, dass C:\windows\system32\drivers\etc\hosts verändert wurde (nähere Beschreibung von HOSTS: es wäre eine HostBeispielDatei)
Ich habe es besätigt.

Dann kam eben noch eine Meldung von WinPatrol, bei der ich jetzt weder Ja noch nein angeklickt habe, weil ich nicht weiß, was das hier bedeutet (siehe Anhang). Was soll ich dort machen?

ich bin echt so dämlich :headbang:

Hier der Log von Combofix.... Hoffe, es ist nix schief gelaufen, ansonsten bin ich ja selbst schuld...

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Ich werde Malwarebytes schon mal scannen lassen. AdWCleaner auch... Habe aber noch eine Frage bevor ich den letzten Schritt mache:

Bevor ich JunkWareRemoval runterlade, muss ich da

• Malwarebites
• Avast
• SpywareBlaster
• Winpatrol
• und Firewall

deaktivieren? Und muss ich das tun, BEVOR ich mir JunkwareRemoval runterlade??? Also ungeschützt ins Netz gehen???




Und soll ich das was WinPatrol nun meldet mit JA oder NEIN bestätigen? (siehe letzter Beitrag der Anhang)

Malwarebites hat nix gefunden. Hier der log. Warte nun noch auf die Antworten bevor ich weitermache...
Hier der log von ADW:
AdwCleaner Logfile:
--- --- ---
AdwCleaner Logfile:
--- --- ---

Laden kannste es so, vor dem Lauf den Rest abschalten :)

Hier der log von JRT.


Hier von FRST

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Bitte gib mir noch ne kurze Info, was mir WinPatrol hier meldet (es ist direkt aufgetreten, nachdem ich Combofix benutzt hatte) und ob ich es zulassen soll oder nicht (siehe Anhang)

änderung zulassen :)


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

und weiter :)

Sorry, kam nicht ins Internet... jetzt geht es weiter:


FRST Logfile:
--- --- ---


Was übrigens seit gestern schon wieder auftritt, ist dass mir beim Hochfahren in der Taskleiste eine Meldung angezeigt wird, dass die Firewall nicht aktiviert ist, obwohl ich sie nicht deaktiviert habe. Klicke ich dann auf das Symbol (schutzschild rot mit x drin), öffnet sich das sicherheitscenter und die Firewall ist auf AKTIV...

Geht eigentlich TFC wieder? Letzte Woche hat es doch PRobleme gemacht...

Sollte wieder gehen.


Downloade dir bitte Windows Repair (All In One) von hier.

• Installiere das Programm. Starte es, nachdem die Installation abgeschlossen wurde.
• Klicke auf Step 2 und drücke unter Check Disk auf Do It.
  
  http://i1224.photobucket.com/albums/...3/Capture3.gif
• Wenn der Vorgang abgeschlossen ist, klicke auf Step 3 und drücke unter System File Check auf Do It.
  
  http://i1224.photobucket.com/albums/...y3/Capture.gif
• Nachdem der Vorgang abgeschlossen ist, klicke auf Start Repairs, wähle den Advanced Mode und drücke Start.
  
  http://i1224.photobucket.com/albums/...3/Capture1.gif
• Gehe bitte sicher, dass die Kästchen wie unten zu sehen angehakt sind. Bitte hake zusätzlich noch Set Windows Services to Default Startup an.
• Hake Restart System when Finished an.
• Drücke Start.
  
  http://i1238.photobucket.com/albums/...eakingtool.jpg