Hallo,

nachdem beim Löschen des Browserverlaufs, der Cookies usw. mehrmals eine Fehlermeldung auftauchte, habe ich mich daran gemacht, den PC auf Viren zu scannen.

Folgendermaßen bin ich vorgegangen:
Avira Internet Security: Ergebnis keine Funde.

Dann habe ich mich belesen und wollte zur Sicherheit noch einen anderen Scan durchführen und habe diesen mit Malwarebytes Anti Malware getan. Das war ein Vollscan, der folgendes Ergebnis erbrachte:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.06.04

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
schuster :: SCHUSTER-PC [Administrator]

Schutz: Aktiviert

06.02.2013 12:42:40
MBAM-log-2013-02-06 (16-56-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 365383
Laufzeit: 2 Stunde(n), 19 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65bcd620-07dd-012f-819f-073cf1b8f7c6} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Komischerweise wurde nun auch gleichzeitig mein Avira aktiv und meldete mir während des Suchlaufs von Malwarebytes Anti Malware folgende zwei Probleme:
In der Datei 'C:\Users\schuster\Downloads\PDFCreatorSetup.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallCore.Gen' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern
In der Datei 'C:\$Recycle.Bin\S-1-5-21-2871055284-1522799788-3628763077-1000\$RIOSQMJ.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallCore.5.41' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern



Weil ich keine Erfahrung mit so etwas habe, habe ich nun in eurem Forum Hilfe suchen wollen. Ich hoffe, ich habe soweit alle Anweisungen richtig befolgt und stelle jetzt hier noch die Ergebnisse OTL.txt, Extras.txt und GMER.txt rein. Ich binde sie per Anhang ein.

Kann mir jemand helfen und einerseits sagen, was ich für Probleme auf meinem PC habe und wie ich diese gegebenenfalls beheben kann.

Vielen Dank an alle Helfer!

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Das "Problem" ist, dass dein Rechner mit unerwünschter Software und Adware infiziert ist.
Wir kümmern uns darum.






Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf ? > Optionen.
• Setze einen Haken bei Disable Ask Detection und bestätige mit Ok.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt. (x = fortlaufende Nummer)

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von OTL.

Hallo Matthias,

erst einmal vielen Dank für deine schnelle Antwort. Und danke für die bisherige Hilfe und die wirklich super verständnisvollen Informationen.

Wie gewünscht stelle ich nun zuerst das Ergebnis des ADWCleaners ein. Du findest das im Anhang.

Ich warte nun zuerst deine Antwort ab. Vielen Dank bereits im Voraus.

Jana.

Servus Jana,



das sieht schon mal gut aus.


Du kannst mit JRT und OTL weitermachen.

Hallo Matthias,

hier nun die gewünschten weiteren beiden Ergebnisse im Anhang.

Vielen Dank im Voraus und viele Grüße
Jana.

Servus Jana,




Schritt 1
Ich sehe, dass du sog. Registry Cleaner auf dem System hast.
In deinem Fall TuneUp Utilities 2013.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.
Am Ende empfehle ich dir ein anderes Tool, mit dem du deine temporären Dateien entfernen kannst.





Schritt 2
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix.

Hallo Matthias,

hier kommt nun wie gewünscht das nächste Ergebnis.

Noch zwei Hinweise, von denen ich nicht weiß, ob diese für dich relevant sind: Einen Neustart hat der PC nicht gemacht und ich habe bei Avira zwar alles deaktiviert, es kam aber dennoch eine Meldung, die ich jetzt aber auch leider nicht mehr genau wieder geben kann. So etwas in der Art, dass ein Programm versucht auf die Registry zuzugreifen und es blockiert wurde.

Ist dabei etwas problematisch oder stimmen die Ergebnisse trotzdem soweit?

Viele Grüße und weiterhin in Dankbarkeit,
Jana.