Trojaner-Board - Jeder Ordner mit gleichnamiger exe-Datei

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Jeder Ordner mit gleichnamiger exe-Datei (https://www.trojaner-board.de/195439-ordner-gleichnamiger-exe-datei.html)

Code:



Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 02-05.2019

durchgeführt von Gnadenkranz (03-05-2019 00:09:53) Run:1

Gestartet von C:\Users\Gnadenkranz\Desktop

Geladene Profile: Gnadenkranz (Verfügbare Profile: Gnadenkranz)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

CHR Extension: (Avast SafePrice | Vergleich, Angebote, Gutscheine) - C:\Users\Gnadenkranz\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-10-24]

CHR Extension: (Avast Online Security) - C:\Users\Gnadenkranz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-10-24]

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschr�nkung <==== ACHTUNG

FF Extension: (Avast SafePrice | Vergleich, Angebote, Gutscheine) - C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\sp@avast.com.xpi [2019-03-27] [UpdateUrl:hxxps://firefoxext.avcdn.net/firefoxext/avast/sp/update.json]

FF Extension: (Avast Online Security) - C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\wrc@avast.com.xpi [2019-04-29]

FF Extension: (Katatonia -  Last Fair Deal Gone Down) - C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\{6a4fc005-fe4d-43d3-aac8-a539196f3876}.xpi [2019-03-22]

FF Extension: (last fair deal gone) - C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\{e2812322-7542-4e80-9932-9d1b4f4576c1}.xpi [2019-03-22]

FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

FF Extension: (HP Smart Web Printing) - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2014-03-18] [Legacy] [ist nicht signiert]

FF HKU\S-1-5-21-4274201026-1765966304-180541597-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

Task: {35AA8B2D-FAF5-41F4-A92F-927016BC1D44} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2380088 2019-04-03] (AVAST Software s.r.o. -> AVAST Software)

Task: {8DEB2C92-B395-4C7B-B93A-C0A55C212425} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei

C:\Program Files\CCleaner

C:\Users\Gnadenkranz\AppData\Local\AVAST Software

C:\Windows\System32\Tasks\AVAST Software

C:\ProgramData\AVAST Software

C:\Program Files\Common Files\AV\avast! Antivirus

C:\Program Files\Common Files\Avast Software

AlternateDataStreams: C:\ProgramData\TEMP:7C784982 [296]

emptytemp:

*****************
 

CHR Extension: (Avast SafePrice | Vergleich, Angebote, Gutscheine) - C:\Users\Gnadenkranz\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-10-24] => Fehler: Kein automatisierter Fix für diesen Eintrag gefunden.

CHR Extension: (Avast Online Security) - C:\Users\Gnadenkranz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-10-24] => Fehler: Kein automatisierter Fix für diesen Eintrag gefunden.

HKLM\SOFTWARE\Policies\Mozilla => erfolgreich entfernt

C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\sp@avast.com.xpi => erfolgreich verschoben

C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\wrc@avast.com.xpi => erfolgreich verschoben

C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\{6a4fc005-fe4d-43d3-aac8-a539196f3876}.xpi => erfolgreich verschoben

C:\Users\Gnadenkranz\AppData\Roaming\Mozilla\Firefox\Profiles\hclwmcxb.default\Extensions\{e2812322-7542-4e80-9932-9d1b4f4576c1}.xpi => erfolgreich verschoben

"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\smartwebprinting@hp.com" => erfolgreich entfernt

C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => erfolgreich verschoben

"HKU\S-1-5-21-4274201026-1765966304-180541597-1000\Software\Mozilla\Firefox\Extensions\\smartwebprinting@hp.com" => erfolgreich entfernt

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{35AA8B2D-FAF5-41F4-A92F-927016BC1D44}" => erfolgreich entfernt

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{35AA8B2D-FAF5-41F4-A92F-927016BC1D44}" => erfolgreich entfernt

C:\Windows\System32\Tasks\Avast Software\Overseer => erfolgreich verschoben

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software\Overseer" => erfolgreich entfernt

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8DEB2C92-B395-4C7B-B93A-C0A55C212425}" => erfolgreich entfernt

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8DEB2C92-B395-4C7B-B93A-C0A55C212425}" => erfolgreich entfernt

C:\Windows\System32\Tasks\AVAST Software\Avast settings backup => erfolgreich verschoben

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software\Avast settings backup" => erfolgreich entfernt

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw => erfolgreich entfernt

HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => nicht gefunden

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast => erfolgreich entfernt

HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => nicht gefunden

C:\Program Files\CCleaner => erfolgreich verschoben

C:\Users\Gnadenkranz\AppData\Local\AVAST Software => erfolgreich verschoben

C:\Windows\System32\Tasks\AVAST Software => erfolgreich verschoben

C:\ProgramData\AVAST Software => erfolgreich verschoben

"C:\Program Files\Common Files\AV\avast! Antivirus" => nicht gefunden

C:\Program Files\Common Files\Avast Software => erfolgreich verschoben

C:\ProgramData\TEMP => ":7C784982" ADS erfolgreich entfernt
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 8388608 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 16218828 B

Java, Flash, Steam htmlcache => 44410433 B

Windows/system/drivers => 4208508 B

Edge => 0 B

Chrome => 170902 B

Firefox => 229849411 B

Opera => 0 B
 

Temp, IE cache, history, cookies, recent:

Users => 0 B

Default => 0 B

Public => 0 B

ProgramData => 0 B

systemprofile => 66356 B

systemprofile32 => 70254 B

LocalService => 0 B

NetworkService => 67552 B

Gnadenkranz => 254544749 B
 

RecycleBin => 0 B

EmptyTemp: => 532.1 MB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 00:10:23 ====

Ich muss jetzt leider afk... aber ich schau gleich morgen mittag nach der Arbeit wieder rein!
Vielen Dank für deine Hilfe!

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:

1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

Installiere das Programm in den vorgegebenen Pfad.
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM nach dem Neustart, klicke auf Berichte.
Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

Starte die Installationsdatei.
Akzeptiere die Nutzungsbedingungen.
Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:

Code:

notepad "%tmp%\log.txt"
Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

3. Schritt: SecurityCheck

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Ok... Moment

Code:



Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 03.05.19

Scan-Zeit: 19:44

Protokolldatei: 198ff0e2-6dcb-11e9-ae4c-bcaec53e979b.json
 

-Softwaredaten-

Version: 3.7.1.2839

Komponentenversion: 1.0.586

Version des Aktualisierungspakets: 1.0.10452

Lizenz: Kostenlos
 

-Systemdaten-

Betriebssystem: Windows 7 Service Pack 1

CPU: x64

Dateisystem: NTFS

Benutzer: Gnadenkranz-PC\Gnadenkranz
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 236864

Erkannte Bedrohungen: 1

In die Quarantäne verschobene Bedrohungen: 1

Abgelaufene Zeit: 1 Min., 36 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 1

PUP.Optional.Conduit, C:\USERS\GNADENKRANZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HCLWMCXB.DEFAULT\PREFS.JS, Ersetzt, [210], [301520],1.0.10452
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Code:



19:50:13 # product=EOS

# version=8

# esetonlinescanner_deu.exe=3.0.17.0

# country="Germany"

# lang=1031

19:52:00 Updating

19:52:00 Update Init

19:52:02 Update Download

19:53:08 esets_scanner_reload returned 0

19:53:08 g_uiModuleBuild: 41267

19:53:08 Update Finalize

19:53:08 Call m_esets_charon_send

19:53:08 Call m_esets_charon_destroy

19:53:08 Updated modules version: 41267

19:53:18 Call m_esets_charon_setup_create

19:53:18 Call m_esets_charon_create

19:53:18 m_esets_charon_create OK

19:53:19 Call m_esets_charon_start_send_thread

19:53:19 Call m_esets_charon_setup_set

19:53:19 m_esets_charon_setup_set OK

19:53:19 Scanner engine: 41267

21:38:16 # product=EOS

# version=8

# flags=0

# av=0

# fw=7

# admin=1

# esetonlinescanner_deu.exe=3.0.17.0

# EOSSerial=1c7b1099ab162a44b956c715951372f3

# engine=41267

# end=finished

# bannerClicked=0

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# sfx_checked=true

# utc_time=2019-05-03 19:38:16

# local_time=2019-05-03 21:38:16 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode_1=''

# compatibility_mode=5893 16776573 100 94 6911 308542146 0 0

# scanned=371308

# found=0

# cleaned=0

# scan_time=3255

# stats_enabled=0

# scan_type=2

21:38:17 Call m_esets_charon_send

21:38:17 Call m_esets_charon_destroy

Code:



 Results of screen317's Security Check version 1.009  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 11  
 ``````````````Antivirus/Firewall Check:`````````````` 

 WMI entry may not exist for antivirus; attempting automatic update. 
 `````````Anti-malware/Other Utilities Check:````````` 

 Google Chrome (74.0.3729.131) 

 Google Chrome (SetupMetrics...) 
 ````````Process Check: objlist.exe by Laurent````````  

 Malwarebytes Anti-Malware mbamservice.exe  

 Malwarebytes Anti-Malware mbamtray.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Das hat echt lange gedauert... :wtf:

...

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Ach so... !!

Echt? :confused:

... und war da jetzt ein Virus oder nicht?
Und isser jetzt ganz sicher weg oder nicht?