UserLayoutOne.exe öffnet Werbung im Browser (Spamware, Adware)
 

Hallo,
seit einigen Tagen habe ich ein unerwünschtes Programm auf dem PC, es heißt UserLayoutOne.exe, erscheint nur im Taskmanager unter Prozesse und öffnet ab und zu Werbung im Internet (z.B. Youtube durch AdFly link etc.). Der Prozess startet immer automatisch mit Windows.

Im Taskmanager sind manchmal bis zu 6 Prozesse dieses Programmes aufgelistet. Dateipfad lautet C:\ProgramData (Versteckter Ordner mit Systemdateien). Um die Datei zu sehen, musste ich unter den Ordner-Optionen die Option Geschützte Systemdateien ausblenden (empfohlen) deaktivieren und die Option Ausgeblendete Dateien, Laufwerke und Ordner anzeigen aktivieren. Die Datei war zudem auch administrativ geschützt, ich musste also mir selber (dem einzigen Benutzer sowie Administrator auf diesem Rechner) Administratoren-Rechte zuweisen. Danach hab ich die Datei gelöscht, nach einem PC neustart tauchte sie jedoch wieder auf (wieder (schreib-)geschützt und versteckt). Der Virusscanner Avast hat nichts es nicht als Virus erkannt bzw. keine Funde gehabt. Ich habe eine Abbilddatei erstellt, nach dem erstellen stürzte die exe ab. (RAR-Archiv 22,6MB - hxxp://www.file-upload.net/download-8989821/UserLayoutOne.rar.html)

Alles was ich selbst versucht/gemacht hab:
- Die Datei zu löschen (taucht nach System-Neustart wieder auf)
- Prozess beenden (Prozess taucht nach beenden doppelt auf)
- Durch suche im Internet über Webungsviren etc. auf Adware gekommen
- Mit CCleaner den automatischen Start mit Windows verhindert/deaktiviert
- Mit Virustotal gescannt (Ergebnis am ersten Tag (8/53) Heute: (20/53) https://www.virustotal.com/de/file/0da5431e3cc61d35cc5017575c4da7c4200c4abe1adb3083e5156badbc9fcc6b/analysis/1401648805/ )
Infos falls nötig:
Windows 7 Ultimate (SP1) - 64 Bit
Eigentschaften von UserLayoutOne.exe
Dateibeschreibung: UserLayoutOne Environment
Größe: 812 KB (831.488 Bytes)
Attribute: [x] Schreibgeschützt [X] Versteckt (<- ausgegraut)
Copyright: Copyright (c) 2004 Fantasie Software

PS: Bitte falls möglich eine Lösung ohne System zurück zu setzen oder Windows Neuinstallation finden.

PSS: Ich habe nicht viel Ahnung von Software oder Coding, nur von Bildbearbeitung. Hoffe, dass das kein zu langer Text ist, und mir möglichst schnell geholfen wird.

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Schritt 1 (Scan mit FRST)
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST Logfile:
--- --- ---

Jup, da ist einiges los...

Bis Du ein "clean" bekommst bitte von diesem PC aus keine sensiblen Logins (Bank, paypal etc.) mehr vornehmen. Passwortänderungen von einem sauberen System aus sind grundsätzlich empfehlenswert.

Ich melde mich vermutlich morgen wieder mit weiteren Anweisungen. Bis dahin bitte keine Tools etc. ohne Anweisung verwenden, OK? ;)

Wir machen so weiter....

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

OK, gut gemacht. Weitere Anweisungen folgen....

Ich bedanke mich schon mal für die bisherige Hilfe.
Weitere Infos: Der Prozess der UserLayoutOne.exe war nach dem Neustart nicht mehr vorhanden, in CCleaner unter Autostart ebenfalls nicht. Ich denke Combofix hat das jetzt erledigt.

Ich warte natürlich noch auf weitere Anweisungen und werde am System nichts verändern.

:daumenhoc
Das wäre prima! ;)

Ja, deswegen haben wir es auch verwendet. Du hast/hattest auf Deinem PC aber noch ganz andere Malware laufen. Bekommen wir aber schon hin... ;)

Weiter geht's so....

Schritt 1
http://filepony.de/icon/malwarebytes_anti_malware.png Malwarebytes Antimalware

• Download-Link
• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Klicke im Anschluss auf "Suchlauf", wähle den Bedrohungssuchlauf aus, aktualisiere die Datenbanken und klicke auf "Suchlauf jetzt starten".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. (geht so...)
• Poste mir den Inhalt der Logdatei (geht so...). Klicke dazu auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Klicke auf "In Zwischenablage kopieren" poste mir den Inhalt in Code-Tags als Antwort in den Thread.

Schritt 2
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte starte FRST erneut und drücke auf Scan.

Malware Schutz etc. war wegen Combofix deaktiviert, wieder aktiviert.


FRST Logfile:
--- --- ---

FRST Logfile:
--- --- ---

Warum zweimal gepostet? :)

Weitere Anweisungen folgen vermutlich am Nachmittag... ;)

Tut mir leid, ich hab zuerst nicht bemerkt, dass der Beitrag schon die zweite Seite gebildet hat. Dachte erst er wäre nicht gespeichert worden.

Alles klar, bis später.

Kein Problem... ;)

Wir machen so weiter....
(Dauert etwas der Scan...:pfeiff:)


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset