|
[Windows 8.1] "Eigene Dateien" verschwunden Guten Tag, ich musste gestern erschreckt feststellen dass all meine eigenen Dateien verschwunden sind. Diese befanden sich nicht auf der Systempartition, sondern auf der Datenpartition von meinem Laptop. Es handelt sich um ca. 100GB Bilder, 20GB Musik und 2 GB Dokumente. Obwohl ich den Laptop erst ca. einen Monat habe läuft dieser nicht sehr flüssig. Hier im Forum wurde ein ähnliches Thema mal behandelt. http://www.trojaner-board.de/67803-e...geloescht.html Es wäre toll wenn wir das hier auch mal angehen könnten. Was ich bereits gemacht habe: 1. Ordneroption auf "Alle Ordner sichtbar" gestellt 2. Im abgesicherten Modus gestartet 3. AntiVir drüber laufen lassen, hat einen Amonetize.kpa gefunden 4. Malewarebites drüber laufen lassen, hat ne ganze Menge gefunden Soll ich euch die Berichte mal anfügen? Soll ich HijackThis mal drüber laufen lassen? LG und Danke im Voraus :) matsch |
Hallo und :hallo: Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten! Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht! Zudem bitte auch ein Log mit Farbars Tool machen: Scan mit Farbar's Recovery Scan Tool (FRST) Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
 Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Vielen Dank, hier mal die Logs: Avira AntiVir 05/12/2014 20:51 [System-Scanner] Malware gefunden Die Datei 'C:\Users\matsch\AppData\Local\Microsoft\Windows\INetCache\IE\F32SYBDM\EUS.10.x REG.rar__3516_i1382485897_il4440978.exe' enthielt einen Virus oder unerwünschtes Programm 'Adware/Amonetize.kpa' [adware]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52dba298.qua' verschoben! Malewarebytes Malwarebytes Anti-Malware Malwarebytes | Free Anti-Malware & Internet Security Software Scan Date: 06/12/2014 Scan Time: 18:17:37 Logfile: Malewarebites Bericht.txt Administrator: Yes Version: 2.00.4.1028 Malware Database: v2014.12.06.07 Rootkit Database: v2014.12.03.01 License: Free Malware Protection: Disabled Malicious Website Protection: Disabled Self-protection: Disabled OS: Windows 8.1 CPU: x64 File System: NTFS User: matsch Scan Type: Threat Scan Result: Completed Objects Scanned: 385213 Time Elapsed: 7 min, 22 sec Memory: Enabled Startup: Enabled Filesystem: Enabled Archives: Enabled Rootkits: Disabled Heuristics: Enabled PUP: Enabled PUM: Enabled Processes: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Registry Keys: 11 PUP.Optional.Outbrowse, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{6D4506CE-F855-4657-AA38-DB6B1F733982}, Quarantined, [ffa08dd26f0d4cea15753fc6e61da858], PUP.Optional.Outbrowse, HKLM\SOFTWARE\CLASSES\TYPELIB\{03771AEF-400D-4A13-B712-25878EC4A3F5}, Quarantined, [ffa08dd26f0d4cea15753fc6e61da858], PUP.Optional.Outbrowse, HKLM\SOFTWARE\CLASSES\INTERFACE\{3408AC0D-510E-4808-8F7B-6B70B1F88534}, Quarantined, [ffa08dd26f0d4cea15753fc6e61da858], PUP.Optional.Outbrowse, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{3408AC0D-510E-4808-8F7B-6B70B1F88534}, Quarantined, [ffa08dd26f0d4cea15753fc6e61da858], PUP.Optional.Outbrowse, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{03771AEF-400D-4A13-B712-25878EC4A3F5}, Quarantined, [ffa08dd26f0d4cea15753fc6e61da858], PUP.Optional.Snapdo.T, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{006ee092-9658-4fd6-bd8e-a21a348e59f5}, Delete-on-Reboot, [c7d82837463658deafd8768f4cb708f8], PUP.Optional.Snapdo.T, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{006EE092-9658-4FD6-BD8E-A21A348E59F5}, Quarantined, [c7d82837463658deafd8768f4cb708f8], PUP.Optional.SystemSpeedup, HKLM\SOFTWARE\WOW6432NODE\SYSTWEAK\ssd, Quarantined, [1e8117486d0f2a0ce7f698ca10f356aa], PUP.Optional.WeDownLoadManager.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WeDlMngr, Delete-on-Reboot, [ffa0a3bcabd1ed49165206579f64ec14], PUP.Optional.ShoppingHelper.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SMARTBAR, Delete-on-Reboot, [a5fadb848def6cca9aa9348b8183e719], PUP.Optional.SystemSpeedup, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SYSTWEAK\ssd, Delete-on-Reboot, [2e71a5badaa20c2aa23a8bd7ae557888], Registry Values: 4 PUP.Optional.SmartBar, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{ae07101b-46d4-4a98-af68-0333ea26e113}, Smartbar, Quarantined, [abf4ee71bac2b77f48ddf16611f258a8] PUP.Optional.SmartBar, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{ae07101b-46d4-4a98-af68-0333ea26e113}, Smartbar, Quarantined, [b6e997c83b419b9b978eafa80ef512ee] PUP.Optional.Snapdo.T, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {006ee092-9658-4fd6-bd8e-a21a348e59f5}, Delete-on-Reboot, [f7a81d425626e74f03c2df81a95a32ce] PUP.Optional.ShoppingHelper.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SMARTBAR|publisher, ShoppingHelper, Delete-on-Reboot, [a5fadb848def6cca9aa9348b8183e719] Registry Data: 7 PUP.Optional.SnapDo.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|Default, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62go,&q={searchTerms}, Good: (Google), Bad: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62go,&q={searchTerms}),Replaced,[9a05431c7efe33034b6b80d78b7aea16] PUP.Optional.SnapDo.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}, Good: (Google), Bad: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}),Delete-on-Reboot,[009faab5a1db58de3188084f2bda30d0] PUP.Optional.SnapDo.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, Search,, Good: (Google), Bad: (Search,[445b1c43afcd47ef6357e77062a3a15f] PUP.Optional.SnapDo.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Bar, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}, Good: (Google), Bad: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}),Delete-on-Reboot,[356a96c9215bf93d3484fd5a669f8779] PUP.Optional.SnapDo.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|Default_Search_URL, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}, Good: (Google), Bad: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}),Delete-on-Reboot,[435c69f60c705cdaefcc6bec877ec63a] PUP.Optional.SnapDo.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}, Good: (Google), Bad: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}),Delete-on-Reboot,[c0df94cb89f38bab24982e29cc39b749] PUP.Optional.SnapDo.A, HKU\S-1-5-21-3495729476-3499689536-3439204416-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|Default, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}, Good: (Google), Bad: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q={searchTerms}),Delete-on-Reboot,[b2edbaa5d9a34beb2295c98e976eae52] Folders: 3 Rogue.Multiple, C:\ProgramData\374311380, Quarantined, [d5ca96c93547053148f2f70ffc0707f9], PUP.Optional.OpenCandy, C:\Users\Benutzer\AppData\Roaming\OpenCandy, Quarantined, [edb2e47bc8b42016f4dab65f49ba34cc], PUP.Optional.OpenCandy, C:\Users\Benutzer\AppData\Roaming\OpenCandy\2750098AC47E42A792A94F10D6D36126, Quarantined, [edb2e47bc8b42016f4dab65f49ba34cc], Files: 9 PUP.Optional.Outbrowse, C:\Users\Benutzer\AppData\Local\Temp\revs.exe, Quarantined, [ffa08dd26f0d4cea15753fc6e61da858], PUP.Optional.SmartBar, C:\Users\Benutzer\AppData\Local\Temp\MSI8CD5.tmp-\Smartbar.Installer.CustomActions.dll, Quarantined, [cbd4e27d95e78caa304af33b6898e21e], PUP.Optional.SmartBar, C:\Windows\Installer\MSI8CD5.tmp, Quarantined, [7e21a8b7b2ca2d09403a9896f907738d], PUP.SoftwareUpdater.A, C:\Windows\System32\Tasks\AmiUpdXp, Quarantined, [4d52134caece142262008dd870932fd1], PUP.Optional.WebSearch.A, C:\Users\matsch\AppData\Roaming\Mozilla\Firefox\Profiles\kdd4rj1h.default\searchplugins\Web Search.xml, Quarantined, [acf3d788a2da85b10e0cf38bc043758b], PUP.Software.Updater, C:\Windows\Tasks\AmiUpdXp.job, Quarantined, [158a530c0c70c76fd96b355a61a28b75], Rogue.Multiple, C:\ProgramData\374311380\BIT628A.tmp, Quarantined, [d5ca96c93547053148f2f70ffc0707f9], PUP.Optional.OpenCandy, C:\Users\matsch\AppData\Roaming\OpenCandy\2750098AC47E42A792A94F10D6D36126\OptimizerPro.exe, Quarantined, [edb2e47bc8b42016f4dab65f49ba34cc], PUP.Optional.SnapDo.A, C:\Users\matsch\AppData\Roaming\Mozilla\Firefox\Profiles\kdd4rj1h.default\prefs.js, Good: (), Bad: (user_pref("keyword.URL", "hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3dkT2K4VV56JPpk9r_rC-oE6h4twEo8nBjeed4PVoqZoogIg6agGcHZDBdVItmSYOCOGE8Sps62g0,&q=");), Replaced,[940b63fcabd1af877bc52d6c49bc7f81] Physical Sectors: 0 (No malicious items detected) (end) FRST LogFRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 07-12-2014 01 |
FRST.txt fehlt |
FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-12-2014 01 |
Adware/Junkware/Toolbars entfernen (alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!) 1. Schritt: adwCleaner Downloade Dir bitte  AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hier ist der JRT-Log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.4.0 (11.29.2014:1) OS: Windows 8.1 x64 Ran by matsch on 08/12/2014 at 20:47:10.85 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders Successfully deleted: [Folder] "C:\Users\matsch\AppData\Roaming\systweak" ~~~ FireFox Successfully deleted: [File] C:\Users\matsch\AppData\Roaming\mozilla\firefox\profiles\kdd4rj1h.default\user.js Successfully deleted the following from C:\Users\matsch\AppData\Roaming\mozilla\firefox\profiles\kdd4rj1h.default\prefs.js user_pref("browser.search.selectedEngine", "Web Search"); user_pref("keyword.URL", "hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnmvfmKS_-Tjyw3P0szxEn0q_j7mEFQfYqc8phuj9dSzaU6kDg6p06bTRwkPLj4ovs-buhdhZxFwRRl3 Emptied folder: C:\Users\matsch\AppData\Roaming\mozilla\firefox\profiles\kdd4rj1h.default\minidumps [9 files] ~~~ Event Viewer Logs were cleared ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 08/12/2014 at 20:48:38.19 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Hatte den adwCleaner-log hier erst abgespeichert. Der wurde durch ausführen des JRT leider gelöscht. Jetzt hab ich anschliessend nochmal adwCleaner Bericht erstellt.AdwCleaner Logfile: Code: # AdwCleaner v4.104 - Bericht erstellt am 08/12/2014 um 20:54:59FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-12-2014 01--- --- --- |
Bitte auch ne neue Addition.txt erstellen, dazu FRST starten und einen Haken setzen bei Addition.txt, dann auf Scan klicken. http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Schonmal vielen Dank für den Einsatz! Hier die add.txtFRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 07-12-2014 01 |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\S-1-5-21-3495729476-3499689536-3439204416-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-12-2014 01 Ran by matsch at 2014-12-10 19:39:48 Run:1 Running from D:\ Loaded Profile: matsch (Available profiles: UpdatusUser & matsch) Boot Mode: Normal ============================================== Content of fixlist: ***************** HKU\S-1-5-21-3495729476-3499689536-3439204416-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION EmptyTemp: Hosts: ***************** "HKU\S-1-5-21-3495729476-3499689536-3439204416-1002\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully. C:\Windows\System32\Drivers\etc\hosts => Moved successfully. Hosts was reset successfully. EmptyTemp: => Removed 1 GB temporary data. The system needed a reboot. ==== End of Fixlog ==== Nach dem Reboot waren alle Sachen bei Firefox gelöscht, Passwörter, Cookies, Lesezeichen ... macht das Sinn? |
Okay, dann Kontrollscans mit MBAM und ESET bitte: Downloade Dir bitte  Malwarebytes Anti-Malware
ESET Online Scanner
|
Malwarebytes Anti-Malware Malwarebytes | Free Anti-Malware & Internet Security Software Suchlauf Datum: 12/12/2014 Suchlauf-Zeit: 17:18:43 Logdatei: mbam.txt Administrator: Ja Version: 2.00.4.1028 Malware Datenbank: v2014.12.12.05 Rootkit Datenbank: v2014.12.08.03 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 8.1 CPU: x64 Dateisystem: NTFS Benutzer: matsch Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 386560 Verstrichene Zeit: 8 Min, 5 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (Keine schädliche Elemente erkannt) Module: 0 (Keine schädliche Elemente erkannt) Registrierungsschlüssel: 0 (Keine schädliche Elemente erkannt) Registrierungswerte: 0 (Keine schädliche Elemente erkannt) Registrierungsdaten: 0 (Keine schädliche Elemente erkannt) Ordner: 0 (Keine schädliche Elemente erkannt) Dateien: 0 (Keine schädliche Elemente erkannt) Physische Sektoren: 0 (Keine schädliche Elemente erkannt) (end) ESETSmartInstaller@High as downloader log: all ok # product=EOS # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.7623 # api_version=3.0.2 # EOSSerial=d6ef36bde870734c97be7fe32d8bfb99 # engine=21527 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2014-12-12 05:49:47 # local_time=2014-12-12 06:49:47 (+0100, Mitteleuropäische Zeit) # country="United Kingdom" # lang=1031 # osver=6.2.9200 NT # compatibility_mode_1='Avira Desktop' # compatibility_mode=1810 16777213 100 99 173006 6851127 0 0 # compatibility_mode_1='' # compatibility_mode=5893 16776574 100 94 2460024 8710906 0 0 # scanned=207530 # found=1 # cleaned=0 # scan_time=4122 sh=F659145EC3AE2128DFD51FAE8128EC7932C0726F ft=1 fh=cce1d111b935f89a vn="NSIS/StartPage.CC Trojaner" ac=I fn="D:\vlc-2.1.5-win32.exe" |
Nur Müll Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Hallo Cosinus, vielen lieben Dank für deinen Einsatz und die Tips! Ich weiss nicht ob das auch dein Fachgebiet ist, aber die verschwundenen Eigenen Dateien sind leider nicht wieder aufgetaucht. Weisst du ob ein Zusammenhang zwischen den Schädlingen um dem Verschwinden bestehen kann? Hast du sonst vielleicht eine Idee, woran es liegen könnte? Schönen Abend noch! Matsch |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board
