Scan mit SystemLook (x64)

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  *conduit*
  *softonic*
  *quickstore*
  *yontoo*
  *FunMood*
  *tarma*
  *asktool*
  *doctor*
  
  :folderfind
  *conduit*
  *softonic*
  *quickstore*
  *yontoo*
  *FunMood*
  *tarma*
  *asktool*
  *doctor*
  
  :regfind
  *conduit*
  *softonic*
  *quickstore*
  *yontoo*
  *FunMood*
  *tarma*
  *asktool*
  *doctor*
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Das Systemlook-Log:

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 16:59 on 01/06/2013 by ***
Administrator - Elevation successful

========== filefind ==========

Searching for "*conduit*"
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\iSyncConduit.dll	--a---- 1207392 bytes	[11:43 06/12/2012]	[11:43 06/12/2012] C963B2DECF0872C4A79D4E5E97062E8C

Searching for "*softonic*"
No files found.

Searching for "*quickstore*"
No files found.

Searching for "*yontoo*"
No files found.

Searching for "*FunMood*"
No files found.

Searching for "*tarma*"
No files found.

Searching for "*asktool*"
No files found.

Searching for "*doctor*"
C:\Program Files\Dell Support Center\PCDoctor.Core.dll	------- 75264 bytes	[01:19 14/12/2011]	[01:19 14/12/2011] 57DD91E86DED61C63ECE8660262F2C2E
C:\Program Files\Dell Support Center\PCDoctor.Core.Interfaces.dll	------- 51200 bytes	[01:19 14/12/2011]	[01:19 14/12/2011] 429566375716EDEE162FECEC1310CB76
C:\Program Files\Dell Support Center\PCDoctor.Core.Utilities.dll	------- 7680 bytes	[01:19 14/12/2011]	[01:19 14/12/2011] 45E7AF41DD505C2F7711224DC366E283
C:\Program Files\Dell Support Center\PCDoctor.Utilities.dll	------- 284672 bytes	[01:19 14/12/2011]	[01:19 14/12/2011] 5B40DF77150AD939C4CB52D08D4B4A39
C:\Program Files\Dell Support Center\AddOns\PCDoctor.AddOns.dll	------- 24576 bytes	[01:19 14/12/2011]	[01:19 14/12/2011] 0FF277E76CB1327B615A75067A2E97F7
C:\Program Files\Dell Support Center\AddOns\PCDoctor.AddOns.Dsc.dll	------- 290304 bytes	[01:19 14/12/2011]	[01:19 14/12/2011] 201A11D5B91446146BEC83AD8F84ECF1
C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Doctor 2014\System Doctor 2014 support.url	--a---- 112 bytes	[14:21 30/05/2013]	[16:26 31/05/2013] D201ABAD2D2DCA1CCD401E4419421267
C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Doctor 2014\System Doctor 2014.lnk	--a---- 896 bytes	[14:21 30/05/2013]	[16:26 31/05/2013] CBAA802919CE4F0DF7359ED46AAA96F4
C:\Users\Internet\Desktop\System Doctor 2014 support.url	--a---- 112 bytes	[14:21 30/05/2013]	[16:26 31/05/2013] D201ABAD2D2DCA1CCD401E4419421267
C:\Users\Internet\Desktop\System Doctor 2014.lnk	--a---- 904 bytes	[14:21 30/05/2013]	[16:26 31/05/2013] F7271F17BDA57AC0950BD31131073F5A
C:\Users\Internet\Desktop\Martin Luther King\Englisch 7\UB Englisch 07.03.13\Doctor Who easy.jpg	--a---- 81795 bytes	[12:32 02/03/2013]	[12:32 02/03/2013] D6C8713486CA3615BA72C92D76F8A553
C:\Users\Internet\Desktop\Martin Luther King\Englisch 7\UB Englisch 07.03.13\Doctor Who.jpg	--a---- 100495 bytes	[12:02 02/03/2013]	[12:32 02/03/2013] F3E741BC4E6360BFCB9717202D65A683
C:\Windows\System32\Tasks\PCDoctorBackgroundMonitorTask	--a---- 3950 bytes	[15:19 17/09/2012]	[15:19 17/09/2012] 5F66EEAAC0B589AA43197D27BDBA7A83
C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job	--a---- 564 bytes	[15:19 17/09/2012]	[06:47 08/04/2013] 77DD145E37A1A71A2D4F07B0FF36D2AB

========== folderfind ==========

Searching for "*conduit*"
No folders found.

Searching for "*softonic*"
No folders found.

Searching for "*quickstore*"
No folders found.

Searching for "*yontoo*"
No folders found.

Searching for "*FunMood*"
No folders found.

Searching for "*tarma*"
No folders found.

Searching for "*asktool*"
No folders found.

Searching for "*doctor*"
C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Doctor 2014	d------	[14:21 30/05/2013]

========== regfind ==========

Searching for "*conduit*"
No data found.

Searching for "*softonic*"
No data found.

Searching for "*quickstore*"
No data found.

Searching for "*yontoo*"
No data found.

Searching for "*FunMood*"
No data found.

Searching for "*tarma*"
No data found.

Searching for "*asktool*"
No data found.

Searching for "*doctor*"
No data found.

Searching for "         "
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell]
"ConfigXML"="             <PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" >                 <InitializationParameters>                     <Param Name="PSVersion" Value="2.0"/>                 </InitializationParameters>                 <Resources>                     <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" SupportsOptions="true" ExactMatch="true">                         <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/>                         <Capability Type="Shell"/>                     </Resource>                 </Res
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell32]
"ConfigXML"="<PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell32" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" Architecture="32" >                         <InitializationParameters>                             <Param Name="PSVersion" Value="2.0"/>                         </InitializationParameters>                         <Resources>                             <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell32" SupportsOptions="true" ExactMatch="true">                                 <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell32" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/>                                
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows Live\Common]
"Manufacturer"="Dell Inc.         "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_APPLE&PROD_IPOD&REV_1.62#000A270014896F77&0#]
"DeviceDesc"="iPod            "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_APPLE&PROD_IPOD&REV_1.62#000A270014896F77&0#]
"DeviceDesc"="iPod            "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_APPLE&PROD_IPOD&REV_1.62#000A270014896F77&0#]
"DeviceDesc"="iPod            "

-= EOF =-
         

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Doctor
C:\Users\Internet\Desktop\System Doctor 2014 support.url
C:\Users\Internet\Desktop\System Doctor 2014.lnk
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Es kommt sofort ein Bluescreen beim Start des Fix. Wie soll ich vorgehen?

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Hat im abgesicherten Modus funktioniert!
Das Fix-Log:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== FILES ==========
File\Folder C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Doctor not found.
C:\Users\Internet\Desktop\System Doctor 2014 support.url moved successfully.
C:\Users\Internet\Desktop\System Doctor 2014.lnk moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Internet\Desktop\cmd.bat deleted successfully.
C:\Users\Internet\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Internet
->Temp folder emptied: 12584 bytes
->Temporary Internet Files folder emptied: 258 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42929600 bytes
->Flash cache emptied: 649 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 41,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 06012013_175755
         

Danke für die vielen raschen Antworten übrigens!

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Vollscan mit Malwarebytes Anti-Malware (MBAM) (falls du vor kurzem erst einen Vollscan gemacht hast, reicht auch ein Quickscan (spart Zeit), das dann mir bitte auch mitteilen)

Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

AMWB hat nichts gefunden.

ESET Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4d61819c5839ee43b4508404fd9486cd
# engine=13971
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-02 11:37:55
# local_time=2013-06-02 01:37:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 249275 235596365 242062 0
# compatibility_mode=5893 16776573 100 94 65687 121802925 0 0
# scanned=187138
# found=1
# cleaned=0
# scan_time=6990
sh=503B7AEC9FCBFF5D7B2798A7FB187BD466B28954 ft=1 fh=67b21d37faed4374 vn="Win32/Adware.SurfSideKick application" ac=I fn="E:\Programme\Common Files\misc002\DXC.exe"
         

So weit so gut?

Die Logs von Malwarebytes sind immer zu posten

Zitat:

E:\Programme\Common Files\misc002\DXC.exe

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Zwei Probleme:

1) Ich finde die Log-Datei des Voll-Scans von Malwarebytes nicht. Unter Logs im Programm ist ein Log von heute und von gestern, allerdings sind das beides nicht Logs vom Scan. Wo kann ich die Log-Datei finden?
2) Die DXC-Datei lässt sich nicht bei VirusTotal hochladen. Windows gibt an, ich hätte nicht die Berechtigung und solle mich an den Administrator wenden. Auch "ausführen als Administrator bringt nichts.

Log von Malwarebytes findest du im Programm selber im Reiter Logdateien

Ich habe nochmal einen neuen Scan durchgeführt. Die Log-Datei vom gestrigen Voll-Scan ist nicht mehr zu finden.

Quick-Scan von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Trial) 1.75.0.1300
www.malwarebytes.org

Database version: v2013.06.01.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Internet :: ***-PC [limited]

Protection: Disabled

02.06.2013 18:38:46
mbam-log-2013-06-02 (18-38-46).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 187745
Time elapsed: 3 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Ich starte jetzt aber auch nochmal einen Voll-Scan.

Mein zweites Problem ließ sich bisher nicht beheben.

Zitat:

Internet :: ***-PC [limited]

Malwarebytes hast du irgendwie falsch gestartet. Starte es per Rechtsklick => als Administrator ausführen und wiederhole den Vollscan

So, hab endlich den Vollscan durchführen können. Danke für den Hinweis, dass es nicht als admin ausgeführt wurde. Hier der richtige Log eines Vollscans als Admin:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.06.03.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
*** :: ***-PC [Administrator]

Schutz: Aktiviert

03.06.2013 13:23:45
mbam-log-2013-06-03 (13-23-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 420059
Laufzeit: 1 Stunde(n), 6 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Das Problem mit Virustotal und dem Dateiupload besteht weiterhin - ich bekomme sie leider nicht analysiert. Statt dessen hat Antivir jetzt noch eine zweite Datei auf der externen Festplatte, die beim Eset-Suchlauf angeschlossen war, gemeckert.

Ich packe dir die Antivir-Logfile (wie gesagt "E:" ist eine externe Festplatte) auch mal hier rein (hoffe, das ist okay):

Code: Alles auswählenAufklappen

ATTFilter

Exportierte Ereignisse:

03.06.2013 14:27 [Echtzeit-Scanner] Malware gefunden
      In der Datei 'E:\Programme\Gemeinsame Dateien\Viewpoint\Toolbar 
      Runtime\3.8.0\ViewBar.dll'
      wurde ein Virus oder unerwünschtes Programm 'APPL/Agent.1304224' [program] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

03.06.2013 14:27 [Echtzeit-Scanner] Malware gefunden
      In der Datei 'E:\Programme\Common Files\misc002\DXC.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.DollarRev.F' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

03.06.2013 14:09 [Echtzeit-Scanner] Autorun blockiert
      Der Administrator hat per Sicherheitsrichtlinie den Zugriff auf die Datei 
      'E:\autorun.inf' blockiert.
         

Danke für deine Geduld!

Was ist eigentlich Laufwerk E bei dir? Ist das eine Partition von einem älteren Windows?

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:Files
E:\Programme\Gemeinsame Dateien\Viewpoint
E:\Programme\Common Files\misc002
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread