Scheinbar Schadsoftware an Bord
 

Hallo, scheinbar habe ich Schadsoftware an Bord.


Googel als Suchmaschien funktoniert nicht mer richtig, hat sich search (Blau) encrypt (Grau) bei mir eingeschlichen, und ich bekomms nicht mer runter. Und wahrscheinlich habe ich weitere Malware hier auf meinem System.


Windows 7 64 Bit Pro.


THN

Nur weil irgendwas nicht funktioniert geht man mal wieder von Pest aus? Was soll das?

Und wer soll was mit dieser Info anfangen? Du hast nichtmal genannt, wie du Google benutzt, mit welchem Browser etc. pp.

Entschuldiging cosinus. Ich benutze den Fire Fox in der regel, Vivaldi ist davon nicht betroffen, denke ich.FRST Additions Logfile:
--- --- ---
FRST Logfile:
--- --- ---

Ja, Ich weiß das ist falsch so, aber Ich weiß nicht mer wie das geht mit dem Code-Tag.


Sind es die Informationen, die ihr braucht ?


THN

Ne doch richtig so, denke Ich.


THN

Also zuerst würde ich diesen Unsinn von GDATA deinstallieren.

Muss das wirklich sein ?


Habe ich erst vor kurzen verlängert, bzw. für ein Jahr bezahlt.


Können wir das umgehen, und doch mein System zu bereinigen ???


THN

Oder meint ihr wirklich mein System ist sauber ?


Das denke Ich nicht.


THN

Hallo, zum Beispiel, das Bild davon:


THN

Hier mal eine Anleitung. Hättest Du auch selber finden können.

Geht leider nicht mit Malwarebytes Anti-Malware .


THN

Die ganze Anleitung lesen, ansonsten Daten sichern und eine saubere Neuinstallation durchführen und beim nächsten Mal nicht jede freie Software sorglos installieren.

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 09.02.19
Scan-Zeit: 23:27
Protokolldatei: e3cf2a9c-2cb9-11e9-94b2-00ff8c143edd.json

-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.538
Version des Aktualisierungspakets: 1.0.9190
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: XXXXXXXXXXXXX

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 250809
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 9 Min., 23 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Oh man, du musst ja extremes Vertrauen in dein GDATA-Schlagenöl haben. :balla:

@cosinus:
entferne einfach die PUP vom PC und gut ist es.

@TrojanerHunterNEW:
du musst ja große Panik haben, wenn du absolut sinnlos zahlreiche Tools runterlädst und ausführst... :D ;)
Stinger, RootRepeal, TDSSKiller, rKill, etc... absolute Zeitverschwendung in diesem Fall. ;)
Lass diesen Blödsinn, wenn du keine Ahnung hast... du machst dich nur verrückt. :)

@TrojanerHunterNEW
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Bereinigen & Neu Starten.
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Bereinigen & Neu Starten.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Nein! :) Ich muss immer einen Kommentar zu depperten AVs hinterlassen :D

Danke das du mir helfen willst.


Komisch die ersten beiden Sachen, und das mit der Winsock (Einstellungen) finde ich beim Cleaner nicht.


Aber hier das Log:


# -------------------------------
# Malwarebytes AdwCleaner 7.2.7.0
# -------------------------------
# Build: 01-30-2019
# Database: 2019-02-07.2 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 02-11-2019
# Duration: 00:00:17
# OS: Windows 7 Professional
# Scanned: 31844
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.





Bitte nicht schimpfen, ioch verzweifel noch an den Code-Tag.


Hat nichts gefunden, und nichts gelöscht.


THN

Wechseln wir uns jetzt bei den Schritten ab? :twak: :twak: :rofl: :rofl:


Deine "XXXXXXXX" habe ich im Fix durch den internen FRST-Platzhalter "CurrentUserName" ersetzt. Du musst also diesbezüglich nichts mehr tun. :D



Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden:

• Deinstalliere über Start > Einstellungen > Apps (Windows 10) bzw. Start > Systemsteuerung > Programme deinstallieren (Windows 7) die folgenden Programme:
  • RogueKiller
  • Diag version
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
VirusTotal: C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi
VirusTotal: C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi
FF Extension: (ZugriffEmail) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi [2019-02-08]
FF Extension: (Flaѕհ Plаyeг) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi [2019-02-04]
FF HomepageOverride: Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025 -> Disabled: web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc
FF NewTabOverride: Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025 -> Disabled: web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc
C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\prefs.js
S3 aswArKrn; \??\C:\Users\CurrentUserName\AppData\Local\Temp\aswArKrn.sys [X] <==== ACHTUNG
U3 aswbdisk; kein ImagePath
S3 BlueStacksDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
Task: {51B24A2F-C114-40D5-9D62-AF2CDD1485B7} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
c:\windows\System32\Tasks\AVAST Software
C:\Program Files\Common Files\AV
Task: {F2469996-1C84-4881-9A36-8D04D623B42A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
C:\Program Files\AVAST Software
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc;{cff698d3-beae-4ec6-b34f-e9fda9c119a9}

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• eine Rückmeldung bezüglich des Deinstallationen,
• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei des FRST-Suchlaufs (Search.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo,


zu erst mal das fixlog.txt:


Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10.02.2019 01
durchgeführt von XXXXXX (11-02-2019 19:20:01) Run:1
Gestartet von C:\Users\XXXXXX\Desktop
Geladene Profile: XXXXXX (Verfügbare Profile: XXXXXX)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
VirusTotal: C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi
VirusTotal: C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi
FF Extension: (ZugriffEmail) - C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi [2019-02-08]
FF Extension: (Flaѕհ Plаyeг) - C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi [2019-02-04]
FF HomepageOverride: Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025 -> Disabled: web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc
FF NewTabOverride: Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025 -> Disabled: web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc
C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\prefs.js
S3 aswArKrn; \??\C:\Users\XXXXXX\AppData\Local\Temp\aswArKrn.sys [X] <==== ACHTUNG
U3 aswbdisk; kein ImagePath
S3 BlueStacksDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
Task: {51B24A2F-C114-40D5-9D62-AF2CDD1485B7} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
c:\windows\System32\Tasks\AVAST Software
C:\Program Files\Common Files\AV
Task: {F2469996-1C84-4881-9A36-8D04D623B42A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
C:\Program Files\AVAST Software
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
VirusTotal: C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi => https://www.virustotal.com/file/1232e5415a5862f1e09847540ba228c214a0889c5b41b1e32e1795e213d50336/analysis/1530021616/
VirusTotal: C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi => https://www.virustotal.com/file/8dda3673715bf251df5eee11fef9eecee428c605053f590b849e25307cbe4290/analysis/1549909205/
C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi => erfolgreich verschoben
C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi => erfolgreich verschoben
"Firefox HomepageOverride (web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc) " => erfolgreich entfernt
"Firefox NewTabOverride (web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc) " => erfolgreich entfernt
C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\prefs.js => erfolgreich verschoben
HKLM\System\CurrentControlSet\Services\aswArKrn => erfolgreich entfernt
aswArKrn => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\aswbdisk => erfolgreich entfernt
aswbdisk => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\BlueStacksDrv => erfolgreich entfernt
BlueStacksDrv => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\VMnetAdapter => erfolgreich entfernt
VMnetAdapter => Dienst erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{51B24A2F-C114-40D5-9D62-AF2CDD1485B7}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51B24A2F-C114-40D5-9D62-AF2CDD1485B7}" => erfolgreich entfernt
C:\Windows\System32\Tasks\AVAST Software\Avast settings backup => erfolgreich verschoben
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software\Avast settings backup" => erfolgreich entfernt
c:\windows\System32\Tasks\AVAST Software => erfolgreich verschoben
"C:\Program Files\Common Files\AV" => nicht gefunden
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F2469996-1C84-4881-9A36-8D04D623B42A}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F2469996-1C84-4881-9A36-8D04D623B42A}" => erfolgreich entfernt
C:\Windows\System32\Tasks\Avast Emergency Update => erfolgreich verschoben
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Emergency Update" => erfolgreich entfernt
"C:\Program Files\AVAST Software" => nicht gefunden
================== ExportKey: ===================

[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes]

=== Ende von ExportKey ===

========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========= Ende von CMD: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlieáen.


========= Ende von CMD: =========


========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-3214318506-529363610-2749938587-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-3214318506-529363610-2749938587-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 81114994 B
Java, Flash, Steam htmlcache => 4166 B
Windows/system/drivers => 69010666 B
Edge => 0 B
Chrome => 0 B
Firefox => 1100474649 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 66356 B
systemprofile32 => 66520 B
LocalService => 0 B
NetworkService => 66228 B
XXXXXX => 2857312587 B

RecycleBin => 6814607488 B
EmptyTemp: => 10.2 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 19:27:54 ====


Die beiden anderen Programme, solltzen entfernt sein.


THN

So, nun der search.txt:


Farbar Recovery Scan Tool (x64) Version: 10.02.2019 01
durchgeführt von XXXXXX (11-02-2019 19:40:07)
Gestartet von C:\Users\XXXXXX\Desktop
Start-Modus: Normal

================== Datei-Suche: "SearchAll: web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc;{cff698d3-beae-4ec6-b34f-e9fda9c119a9}" =============

Datei:
========
C:\FRST\Quarantine\C\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc.xpi.xBAD
[2019-02-08 15:44][2019-02-08 15:44] 000025164 _____ () C61E17C4BF77F50D087238E6C9ED123C [Datei ist nicht signiert]

C:\FRST\Quarantine\C\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\Extensions\{cff698d3-beae-4ec6-b34f-e9fda9c119a9}.xpi.xBAD
[2019-02-04 10:23][2019-02-04 10:23] 000070697 _____ () 764A63893ABB30CBEE6BC17BF518F3C8 [Datei ist nicht signiert]


Ordner:
========
2019-02-08 15:44 - 2019-02-08 15:45 _____ C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\browser-extension-data\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc

Registry:
========

===================== Suchergebnis für "web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc" ==========


===================== Suchergebnis für "{cff698d3-beae-4ec6-b34f-e9fda9c119a9}" ==========


====== Ende von Suche ======


THN

So jetzt die beiden, anderen Log´s.
FRST Logfile:
--- --- ---
FRST Additions Logfile:
--- --- ---

Habe Ich alles richtig gemacht ?


Danke für deine Mühe.


THN

Servus,


du hast alles richtig gemacht bis auf eine Sache:
Die Formatierung der beiden neuen Logdateien von FRST passt nicht. Da sind reihenweise Zeilen verschoben... was hast du da gemacht? :wtf: :wtf:


Gibt es noch Probleme mit Firefox?


Noch ein kleiner FRST-Fix:

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\browser-extension-data\web@8842eb7c-5f5c-4d33-aabe-81c27ae87dcc
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Keine Ahnung was ich da gemacht hatte. Soll ich irgend welche Schritte wiederholen ?


Ja diese search crypt habe ich immer noch drauf, denke Ich.


Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10.02.2019 01
durchgeführt von XXXXXX (11-02-2019 20:33:17) Run:2
Gestartet von C:\Users\XXXXXX\Desktop
Geladene Profile: XXXXXX (Verfügbare Profile: XXXXXX)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\browser-extension-data\web@8842eb7c-5f5c-

4d33-aabe-81c27ae87dcc

*****************

C:\Users\XXXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\asq6z383.Holger-1540666586025\browser-extension-data\web@8842eb7c-5f5c-

4d33-aabe-81c27ae87dcc => erfolgreich verschoben

==== Ende von Fixlog 20:33:17 ====





Ich mache noch mal einen Neustart, und schaue nach ...


THN

Leider habe ich den Search Encrypt immer noch ?


Was soll Ich nun tuhen ?


THN

Servus,


das hier machen:
Firefox zurücksetzen


Wie sieht es danach aus?

Hallo,


Ich glaune jetzt ist es weg, denke Ich.


Sind wir jetzt durch, oder ist da noch was üngewöhnliches drauf bei mir ?




THN

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hm, gelanng nicht.


Bei der aktion meldet sich G-Data, hatte ein problem oder zugriff, mit der Datei: Patch-(MalwareByte).exe. Und EEK vom Emsisoft meldet auch diese Datei, und kann wirklich nichts damit anfangen. Ich sollte dort im Forum nachfragen....Tat ich aber nicht.





Und nein das ist kein Crack für Malwarebytes Anti-Malware, Ich nehme an das ist ein Fehlarlarm von beiden Av Programmen.


Ich nehme an diese Datei kommt von diesen Repair Tool, mb-support-1.3.1.553.exe, oder stammt seit kurzen von Malwarebytes Anti-Malware selber. Es ist kein Crack!


Und zu FRST, was sollte es bewirken ?


FRST ist weg und es wurde, kein fixlog.txt erstellt, bzw finde ich keins.


THN

Hallo,


EEK sagt volgendes:


Emsisoft Emergency Kit – Version 2018.6
Letztes Update: 13.02.2019 12:09:48
Benutzerkonto: XXXXXXXX
Computername: XXXXXXXX
Betriebssystemversion: Windows 7x64 Service Pack 1

Scan-Einstellungen:

Scan-Methode: Eigener Scan
Objekte: Rootkits, Speicher, Spuren, C:\, R:\, T:\, D:\

PUPs-Erkennung: An
Archive scannen: An
E-Mail-Archive scannen: An
ADS-Scan: An
Dateiendungen: Aus
Direkter Festplattenzugriff: An

Scan-Beginn: 13.02.2019 12:14:45
C:\Users\XXXXXXXXX\AppData\Local\Mozilla\Firefox\Profiles\ix029isd.XXXXXXXXX-1549959586396\cache2\entries\4CF44C26CA6C1CBDD46D9AADAE10CB48B7974A65 -> download.zip -> download.exe Gefunden: Gen:Variant.Symmi.89444 (B) [krnl.xmd]
C:\Users\XXXXXXXXX\AppData\Local\Temp\7pSfRXjC.zip.part -> download.zip -> download.exe Gefunden: Gen:Variant.Symmi.89444 (B) [krnl.xmd]
C:\Users\XXXXXXXXX\Downloads\Patch (MalwareByte).exe -> (ZIP Sfx o) -> (ZIP comment) Gefunden: Trojan.ScriptKD.6607 (B) [krnl.xmd]

Gescannt: 189339
Gefunden 3

Scan-Ende: 13.02.2019 13:24:28
Scan-Zeit: 1:09:43

C:\Users\XXXXXXXXX\AppData\Local\Mozilla\Firefox\Profiles\ix029isd.XXXXXXXXX-1549959586396\cache2\entries\4CF44C26CA6C1CBDD46D9AADAE10CB48B7974A65 Gen:Variant.Symmi.89444 (B)
C:\Users\XXXXXXXXX\AppData\Local\Temp\7pSfRXjC.zip.part Gen:Variant.Symmi.89444 (B)

In Quarantäne: 2



Ich hoffe es handelt sich dabei, ume ein Fp.


Und anbei noch ein Bild von der meldung.



THH

Servus,



was du da schon wieder heruntergeladen hast (download.zip), musst du schon selbst wissen.


Der letzte Schritte mit FRST soll die Quarantäne von FRST entfernen.
Wenn du das TBCleanUpTool ausführst, werden die meisten der verwendeten Tools und Logdateien auch entfernt. Weitere Informationen findest du in meinem letzten Post.


Ein kleiner Tipp am Ende:
Deaktiviere doch einfach G-Data, wenn es stört. ;)


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Ja, stimmt wei ldu es geschiiben hattest, und ich sah mir den Pfad noch einmal an, verdammt. Aber da habe ich kein zugriff drauf, ist wahrscheinlich mit einem "Attribut" versehen. Denn ich wollte es bei VT hochladen, ging nicht. Werde die letzten schritte aus führen. Und mein System beobachten. Eines muss ich noch anmerken, wenn Ich JRT.exe laufen lasse tuhe, findet das Programm nichts, schlägt aber immer ein reparatur vor, und zeigt aber auch nichts an, von einer reparatur, oder sonstiges...Irgend wie komisch das ganze.




Und ja, Ich werde die letzten Schritte noch machen.


Danke für deine Hilfe.


THN

So, nun das vorletze Log von mir.


Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 12.02.2019 01
durchgeführt von XXXXXXXXXX (13-02-2019 19:10:20) Run:3
Gestartet von C:\Users\XXXXXXXXXX\Desktop
Geladene Profile: XXXXXXXXXX (Verfügbare Profile: XXXXXXXXXX)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
DeleteQuarantine:
Reboot:

*****************

"C:\FRST\Quarantine" => erfolgreich entfernt


Das System musste neu gestartet werden.

==== Ende von Fixlog 19:10:20 ====


Und nun die Sache, mit dem TBCleanup Tool....


THN