Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows 7: Malware SaveByClick; Störende Werbung

Windows 7: Malware SaveByClick; Störende Werbung


Log-Analyse und Auswertung: Windows 7: Malware SaveByClick; Störende Werbung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.01.2014, 00:54   #1
Ratio
 
Windows 7: Malware SaveByClick; Störende Werbung - Standard

Windows 7: Malware SaveByClick; Störende Werbung


Hallo ihr Helfer,

ich habe mir vor ein paar Tagen etwas ganz schön Nerviges eingefangen. Ich werde im Browser (Chrome) nur noch mit Werbung vollgespamt und meine ersten Google-Ergebnisse werden auch zugespamt. Dahinter steckt wohl irgendwas mit dem Namen "SaveByClick".

Ich lud mir bisher den AdwCleaner runter und löschte die Suchergebnisse, nach Neustart war jedoch alles beim Alten. Als ich das Junkware Removal Tool runterlud und ausführen wollte, kam nur das Fenster C:\Windows\System32\cmd.exe.

Wenn ich Antivir prüfen lasse, läuft das auch nur bis zu ca. 70% und stoppt dann immer.

Ich bin ziemlich ahnungslos und ratlos, deshalb hoffe ich nun auf Hilfe von euch.

Habe mir die Regeln durchgelesen und poste mal die Logs:

FRST.txt:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 17-01-2014 03
Ran by Kenan (administrator) on KENAN-PC on 18-01-2014 00:13:57
Running from C:\Users\Kenan\Desktop
Microsoft Windows 7 Ultimate  (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) ===================

(Lenovo) C:\Windows\System32\ibmpmsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
() C:\Program Files\1&1 Surf-Stick\AssistantServices.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Program Files\Windows NT\Accessories\wordpad.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-18] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
MountPoints2: {dddbd317-a26c-11e2-8f89-0015580a4413} - E:\LaunchU3.exe -a
AppInit_DLLs:   [ ] ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB108EF8E3CFBCD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
SearchScopes: HKLM - DefaultScope value is missing.
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{A5680517-144D-4524-B9D2-8F1CF2DA7700}: [NameServer]139.7.30.126 139.7.30.125

FireFox:
========
FF ProfilePath: C:\Users\Kenan\AppData\Roaming\Mozilla\Firefox\Profiles\gr0g4ycp.default
FF SearchEngineOrder.user_pref("browser.search.order.1", "");: user_pref("browser.search.order.1", "");
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF SelectedSearchEngine: Google
FF Keyword.URL: user_pref("keyword.URL", "");
FF DefaultSearchEngine: user_pref("browser.search.defaultenginename", "");
FF Homepage: user_pref("browser.startup.homepage", "");
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: No Name - C:\Users\Kenan\AppData\Roaming\Mozilla\Firefox\Profiles\gr0g4ycp.default\Extensions\staged [2014-01-06]

Chrome: 
=======
CHR HomePage: 
CHR RestoreOnStartup: ""
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\31.0.1650.63\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\31.0.1650.63\ppGoogleNaClPluginChrome.dll ()
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\31.0.1650.63\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 11.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Extension: (Google Wallet) - C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [440376 2013-12-18] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [440376 2013-11-25] (Avira Operations GmbH & Co. KG)
R2 UI Assistant Service; C:\Program Files\1&1 Surf-Stick\AssistantServices.exe [274208 2012-05-04] ()

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [90400 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135648 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-10-07] (Avira Operations GmbH & Co. KG)
S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd6.sys [44032 2009-07-13] (VIA Technologies, Inc.              )
S3 massfilter; C:\Windows\System32\drivers\massfilter.sys [9216 2011-08-29] (MBB Incorporated)
S3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [657408 2009-07-13] (Ralink Technology Corp.)
R3 NETw2v32; C:\Windows\System32\DRIVERS\NETw2v32.sys [2595840 2007-03-07] (Intel® Corporation)
S3 Ph3xIB32; C:\Windows\System32\DRIVERS\Ph3xIB32.sys [1311232 2009-07-13] (NXP Semiconductors)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 usbrndis6; C:\Windows\System32\DRIVERS\usb80236.sys [15872 2009-07-14] (Microsoft Corporation)
R3 VSTHWICH; C:\Windows\System32\DRIVERS\VSTICH3.SYS [242176 2009-07-13] (Conexant Systems, Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-18 00:13 - 2014-01-18 00:14 - 00007323 _____ C:\Users\Kenan\Desktop\FRST.txt
2014-01-18 00:13 - 2014-01-18 00:13 - 00000000 ____D C:\FRST
2014-01-18 00:11 - 2014-01-18 00:11 - 01220608 _____ (Farbar) C:\Users\Kenan\Desktop\FRST.exe
2014-01-18 00:09 - 2014-01-18 00:10 - 00000472 _____ C:\Users\Kenan\Desktop\defogger_disable.log
2014-01-18 00:09 - 2014-01-18 00:09 - 00000000 _____ C:\Users\Kenan\defogger_reenable
2014-01-18 00:05 - 2014-01-18 00:05 - 00050477 _____ C:\Users\Kenan\Desktop\Defogger.exe
2014-01-17 23:15 - 2014-01-17 23:15 - 01037068 _____ (Thisisu) C:\Users\Kenan\Downloads\JRTcfd.exe
2014-01-17 20:53 - 2014-01-17 23:49 - 00000000 ____D C:\AdwCleaner
2014-01-17 20:46 - 2014-01-17 20:47 - 01236282 _____ C:\Users\Kenan\Downloads\adwcleaner_3.017 (1).exe
2014-01-17 20:46 - 2014-01-17 20:46 - 01236282 _____ C:\Users\Kenan\Downloads\adwcleaner_3.017.exe
2014-01-15 15:21 - 2014-01-15 15:21 - 00000000 ____D C:\Program Files\AlLSaver
2014-01-15 15:20 - 2014-01-15 15:20 - 00000000 ____D C:\Program Files\SaverEaxttension
2014-01-06 00:24 - 2014-01-16 08:09 - 00000000 ____D C:\ProgramData\SaverEaxttension
2014-01-06 00:24 - 2014-01-06 00:24 - 00000000 ____D C:\ProgramData\fciobdocjhacehadbagdjmhjbccjcpag
2014-01-06 00:23 - 2014-01-16 08:09 - 00000000 ____D C:\ProgramData\AlLSaver
2014-01-06 00:23 - 2014-01-15 15:21 - 00000000 ____D C:\ProgramData\9917459017c7db00

==================== One Month Modified Files and Folders =======

2014-01-18 00:14 - 2014-01-18 00:13 - 00007323 _____ C:\Users\Kenan\Desktop\FRST.txt
2014-01-18 00:13 - 2014-01-18 00:13 - 00000000 ____D C:\FRST
2014-01-18 00:11 - 2014-01-18 00:11 - 01220608 _____ (Farbar) C:\Users\Kenan\Desktop\FRST.exe
2014-01-18 00:10 - 2014-01-18 00:09 - 00000472 _____ C:\Users\Kenan\Desktop\defogger_disable.log
2014-01-18 00:09 - 2014-01-18 00:09 - 00000000 _____ C:\Users\Kenan\defogger_reenable
2014-01-18 00:09 - 2013-01-25 15:10 - 00000000 ____D C:\Users\Kenan
2014-01-18 00:05 - 2014-01-18 00:05 - 00050477 _____ C:\Users\Kenan\Desktop\Defogger.exe
2014-01-17 23:49 - 2014-01-17 20:53 - 00000000 ____D C:\AdwCleaner
2014-01-17 23:36 - 2013-01-25 15:09 - 01989081 _____ C:\Windows\WindowsUpdate.log
2014-01-17 23:34 - 2013-04-06 22:16 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-17 23:17 - 2013-01-25 21:50 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2014-01-17 23:15 - 2014-01-17 23:15 - 01037068 _____ (Thisisu) C:\Users\Kenan\Downloads\JRTcfd.exe
2014-01-17 22:17 - 2013-01-25 21:49 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2014-01-17 21:08 - 2009-07-14 05:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-17 21:08 - 2009-07-14 05:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-17 21:02 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-17 21:02 - 2009-07-14 05:39 - 00072353 _____ C:\Windows\setupact.log
2014-01-17 20:51 - 2013-07-15 07:34 - 00000000 ____D C:\Users\Kenan\AppData\Local\Thunderbird
2014-01-17 20:47 - 2014-01-17 20:46 - 01236282 _____ C:\Users\Kenan\Downloads\adwcleaner_3.017 (1).exe
2014-01-17 20:46 - 2014-01-17 20:46 - 01236282 _____ C:\Users\Kenan\Downloads\adwcleaner_3.017.exe
2014-01-17 07:23 - 2013-07-10 17:03 - 00002034 ____H C:\Users\Kenan\Documents\Default.rdp
2014-01-17 07:18 - 2009-07-14 05:52 - 00000000 ____D C:\Windows\system32\FxsTmp
2014-01-16 08:10 - 2013-01-25 23:58 - 00090894 _____ C:\Windows\PFRO.log
2014-01-16 08:09 - 2014-01-06 00:24 - 00000000 ____D C:\ProgramData\SaverEaxttension
2014-01-16 08:09 - 2014-01-06 00:23 - 00000000 ____D C:\ProgramData\AlLSaver
2014-01-15 21:40 - 2013-04-06 17:22 - 00000000 ____D C:\Users\Kenan\AppData\Roaming\Spotify
2014-01-15 17:19 - 2013-04-06 17:23 - 00000000 ____D C:\Users\Kenan\AppData\Local\Spotify
2014-01-15 15:24 - 2013-07-11 22:49 - 00000000 ____D C:\Users\Kenan\AppData\Roaming\Dropbox
2014-01-15 15:21 - 2014-01-15 15:21 - 00000000 ____D C:\Program Files\AlLSaver
2014-01-15 15:21 - 2014-01-06 00:23 - 00000000 ____D C:\ProgramData\9917459017c7db00
2014-01-15 15:21 - 2013-01-28 00:55 - 00000000 ____D C:\ProgramData\InstallMate
2014-01-15 15:20 - 2014-01-15 15:20 - 00000000 ____D C:\Program Files\SaverEaxttension
2014-01-14 23:32 - 2013-07-11 22:56 - 00000000 ___RD C:\Users\Kenan\Dropbox
2014-01-07 18:54 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\NDF
2014-01-06 00:24 - 2014-01-06 00:24 - 00000000 ____D C:\ProgramData\fciobdocjhacehadbagdjmhjbccjcpag

Some content of TEMP:
====================
C:\Users\Kenan\AppData\Local\Temp\avgnt.exe
C:\Users\Kenan\AppData\Local\Temp\BI_RunOnce.exe
C:\Users\Kenan\AppData\Local\Temp\DeltaTB.exe
C:\Users\Kenan\AppData\Local\Temp\dp.exe
C:\Users\Kenan\AppData\Local\Temp\MyBabylonTB.exe
C:\Users\Kenan\AppData\Local\Temp\pricepeep_130001_1001.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2009-11-10 19:48] - [2009-08-03 06:35] - 2613248 ____A (Microsoft Corporation) B95EEB0F4E5EFBF1038A35B3351CF047

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-01-14 07:08

==================== End Of Log ============================

Addition.txt:
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 17-01-2014 03
Ran by Kenan at 2014-01-18 00:15:35
Running from C:\Users\Kenan\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Enabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Enabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

1&1 Surf-Stick (Version: 1.0.0.2 - )
Adobe Flash Player 11 Plugin (Version: 11.9.900.170 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.06) - Deutsch (Version: 11.0.06 - Adobe Systems Incorporated)
Avira Free Antivirus (Version: 14.0.2.286 - Avira)
Free YouTube to MP3 Converter version 3.12.3.610 (Version: 3.12.3.610 - DVDVideoSoft Ltd.)
Google Chrome (Version: 31.0.1650.63 - Google Inc.)
Google Update Helper (Version: 1.3.22.3 - Google Inc.) Hidden
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 25.0 (x86 de) (Version: 25.0 - Mozilla)
Mozilla Maintenance Service (Version: 25.0 - Mozilla)
OpenOffice.org 3.4.1 (Version: 3.41.9593 - Apache Software Foundation)
PDFCreator (Version: 1.7.0 - pdfforge)
Spotify (Version: 0.9.7.16.g4b197456 - Spotify AB)
ThinkPad Power Management Driver (Version: 1.43 - )

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {5C4626D6-4526-423B-91C7-9AF0F7873233} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2013-01-25] (Google Inc.)
Task: {7E0B203E-24B1-4D5C-BFB7-27EEEFBC0E5E} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-12-11] (Adobe Systems Incorporated)
Task: {A369DA62-181A-4C35-84EE-0A121E54514D} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2013-01-25] (Google Inc.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe

==================== Loaded Modules (whitelisted) =============

2013-12-05 22:26 - 2013-12-04 03:48 - 04055504 _____ () C:\Program Files\Google\Chrome\Application\31.0.1650.63\pdf.dll
2013-12-05 22:26 - 2013-12-04 03:48 - 00399312 _____ () C:\Program Files\Google\Chrome\Application\31.0.1650.63\ppGoogleNaClPluginChrome.dll
2013-12-05 22:26 - 2013-12-04 03:47 - 01619408 _____ () C:\Program Files\Google\Chrome\Application\31.0.1650.63\ffmpegsumo.dll
2013-12-05 22:26 - 2013-12-04 03:48 - 13586896 _____ () C:\Program Files\Google\Chrome\Application\31.0.1650.63\PepperFlash\pepflashplayer.dll
2013-07-08 08:42 - 2013-07-08 08:42 - 04591616 _____ () C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\SwiftShader\1.0.5.0\libglesv2.dll
2013-07-08 08:42 - 2013-07-08 08:42 - 00112128 _____ () C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\SwiftShader\1.0.5.0\libegl.dll

==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\Users\Kenan\Desktop\doku_jungbewegt_14032013-2.pdf:com.dropbox.attributes
AlternateDataStreams: C:\Users\Kenan\Desktop\jungbewegt-dein_einsatz_zaehlt_web.pdf:com.dropbox.attributes
AlternateDataStreams: C:\Users\Kenan\Documents\Aussteller-Seite.zip:com.dropbox.attributes
AlternateDataStreams: C:\Users\Kenan\Documents\Erwachsenen-Seite, Web.zip:com.dropbox.attributes
AlternateDataStreams: C:\Users\Kenan\Documents\Jugend-Seite, Web.zip:com.dropbox.attributes
AlternateDataStreams: C:\Users\Kenan\Documents\Text für die Startseite, Web (2).zip:com.dropbox.attributes
AlternateDataStreams: C:\Users\Kenan\Documents\Text für die Startseite, Web.zip:com.dropbox.attributes

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/17/2014 06:58:24 AM) (Source: MsiInstaller) (User: Kenan-PC)
Description: Produkt: Adobe Reader XI - Deutsch - Update "{AC76BA86-7AD7-0000-2550-7A8C40011006}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (01/15/2014 02:30:07 PM) (Source: Application Hang) (User: )
Description: Programm avscan.exe, Version 14.0.2.254 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c64

Startzeit: 01cf11f3d8261aed

Endzeit: 60000

Anwendungspfad: C:\Program Files\Avira\AntiVir Desktop\avscan.exe

Berichts-ID: fa376ec8-7de8-11e3-a2f1-0015580a4413

Error: (01/04/2014 00:45:52 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0x3a8
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (01/04/2014 00:45:11 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0xdc0
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (01/02/2014 07:16:49 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0xff4
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (12/25/2013 11:11:47 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0xe68
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (12/23/2013 08:09:17 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0xebc
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (12/21/2013 08:32:04 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0xcec
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (12/21/2013 08:21:15 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0xe68
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3

Error: (12/21/2013 01:21:53 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: chrome.exe, Version: 31.0.1650.63, Zeitstempel: 0x529e8b45
Name des fehlerhaften Moduls: chrome.dll, Version: 31.0.1650.63, Zeitstempel: 0x529e84ac
Ausnahmecode: 0x80000003
Fehleroffset: 0x003a19aa
ID des fehlerhaften Prozesses: 0x6c8
Startzeit der fehlerhaften Anwendung: 0xchrome.exe0
Pfad der fehlerhaften Anwendung: chrome.exe1
Pfad des fehlerhaften Moduls: chrome.exe2
Berichtskennung: chrome.exe3


System errors:
=============
Error: (01/17/2014 07:38:10 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Avira Echtzeit-Scanner" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/17/2014 07:38:10 PM) (Source: Service Control Manager) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden Fehlers fehlgeschlagen: 
%%5

Error: (01/17/2014 07:37:55 PM) (Source: Service Control Manager) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden Fehlers fehlgeschlagen: 
%%5

Error: (01/16/2014 08:55:53 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst SysMain erreicht.

Error: (01/16/2014 08:11:55 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Avira Echtzeit-Scanner" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/16/2014 08:11:55 AM) (Source: Service Control Manager) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden Fehlers fehlgeschlagen: 
%%5

Error: (01/16/2014 08:11:43 AM) (Source: Service Control Manager) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden Fehlers fehlgeschlagen: 
%%5

Error: (01/15/2014 07:58:56 AM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst SysMain erreicht.

Error: (01/14/2014 11:33:20 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Avira Echtzeit-Scanner" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/14/2014 11:33:20 PM) (Source: Service Control Manager) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden Fehlers fehlgeschlagen: 
%%5


Microsoft Office Sessions:
=========================
Error: (01/17/2014 06:58:24 AM) (Source: MsiInstaller)(User: Kenan-PC)
Description: Adobe Reader XI - Deutsch{AC76BA86-7AD7-0000-2550-7A8C40011006}1625(NULL)(NULL)(NULL)

Error: (01/15/2014 02:30:07 PM) (Source: Application Hang)(User: )
Description: avscan.exe14.0.2.254c6401cf11f3d8261aed60000C:\Program Files\Avira\AntiVir Desktop\avscan.exefa376ec8-7de8-11e3-a2f1-0015580a4413

Error: (01/04/2014 00:45:52 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aa3a801cf0942706f52d4C:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dllc300f08f-7535-11e3-a12b-0015580a4413

Error: (01/04/2014 00:45:11 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aadc001cf0942656f737dC:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dllaab806b6-7535-11e3-a12b-0015580a4413

Error: (01/02/2014 07:16:49 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aaff401cf07db0c0ed465C:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dll0b6c2862-73da-11e3-ba02-0015580a4413

Error: (12/25/2013 11:11:47 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aae6801cf01be4027f691C:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dll8b11ed76-6db1-11e3-9237-0015580a4413

Error: (12/23/2013 08:09:17 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aaebc01cefff633036a80C:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dllb7d4b91f-6c05-11e3-b0cf-0015580a4413

Error: (12/21/2013 08:32:04 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aacec01cefe834cb01a9cC:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dll91ba6466-6a76-11e3-8be1-0015580a4413

Error: (12/21/2013 08:21:15 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aae6801cefe6bac8c2cb5C:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dll0e85ee47-6a75-11e3-8be1-0015580a4413

Error: (12/21/2013 01:21:53 PM) (Source: Application Error)(User: )
Description: chrome.exe31.0.1650.63529e8b45chrome.dll31.0.1650.63529e84ac80000003003a19aa6c801cefe37068bae4bC:\Program Files\Google\Chrome\Application\chrome.exeC:\Program Files\Google\Chrome\Application\31.0.1650.63\chrome.dll796a7c2f-6a3a-11e3-8be1-0015580a4413


==================== Memory info =========================== 

Percentage of memory in use: 92%
Total physical RAM: 1022.49 MB
Available physical RAM: 79.63 MB
Total Pagefile: 2814.49 MB
Available Pagefile: 727.3 MB
Total Virtual: 2047.88 MB
Available Virtual: 1881.85 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:37.26 GB) (Free:14.65 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 37 GB) (Disk ID: 8CEBF203)
Partition 1: (Active) - (Size=37 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Gmer.txt:
Code:
ATTFilter
GMER 2.1.19324 - hxxp://www.gmer.net
Rootkit scan 2014-01-18 00:36:40
Windows 6.1.7600  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 HTS541040G9AT00 rev.MB2IA60A 37,26GB
Running: 213m7ikl.exe; Driver: C:\Users\Kenan\AppData\Local\Temp\agloqpow.sys


---- System - GMER 2.1 ----

SSDT   8BFCA126                                ZwCreateSection
SSDT   8BFCA130                                ZwRequestWaitReplyPort
SSDT   8BFCA12B                                ZwSetContextThread
SSDT   8BFCA135                                ZwSetSecurityObject
SSDT   8BFCA13A                                ZwSystemDebugControl
SSDT   8BFCA0C7                                ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwSaveKeyEx + 13BD         82A8A5C9 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2  82AAF092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  ntkrnlpa.exe!RtlSidHashLookup + 370     82AB69B0 4 Bytes  [26, A1, FC, 8B]
.text  ntkrnlpa.exe!RtlSidHashLookup + 6CC     82AB6D0C 4 Bytes  [30, A1, FC, 8B]
.text  ntkrnlpa.exe!RtlSidHashLookup + 710     82AB6D50 4 Bytes  [2B, A1, FC, 8B]
.text  ntkrnlpa.exe!RtlSidHashLookup + 78C     82AB6DCC 4 Bytes  [35, A1, FC, 8B]
.text  ntkrnlpa.exe!RtlSidHashLookup + 7E0     82AB6E20 4 Bytes  [3A, A1, FC, 8B]
.text  ...                                     

---- EOF - GMER 2.1 ----

Antivir:

Exportierte Ereignisse:

15.01.2014 17:21 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\Kenan\AppData\Local\Temp\dnE57E.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.trquray' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5b56151e.qua'
verschoben!

06.01.2014 00:27 [System-Scanner] Malware gefunden
Die Datei 'C:\ProgramData\SaverEaxttension\Ih0Co1bGkq.dll'
enthielt einen Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c007f16.qua'
verschoben!

06.01.2014 00:25 [System-Scanner] Malware gefunden
Die Datei 'C:\ProgramData\AlLSaver\G_5.dll'
enthielt einen Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5fb27a3e.qua'
verschoben!

06.01.2014 00:24 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\ProgramData\SaverEaxttension\Ih0Co1bGkq.dll'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware]
gefunden.
Ausgeführte Aktion: Übergeben an Scanner

06.01.2014 00:24 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\ProgramData\SaverEaxttension\Ih0Co1bGkq.dll'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

06.01.2014 00:23 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\ProgramData\AlLSaver\G_5.dll'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen' [adware]
gefunden.
Ausgeführte Aktion: Zugriff verweigern



Vielen Dank schon mal!

Alt 18.01.2014, 06:52   #2
schrauber
/// the machine
/// TB-Ausbilder
 
Windows 7: Malware SaveByClick; Störende Werbung - Standard

Windows 7: Malware SaveByClick; Störende Werbung


hi,
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________

__________________
Alt 18.01.2014, 16:41   #3
Ratio
 
Windows 7: Malware SaveByClick; Störende Werbung - Standard

Windows 7: Malware SaveByClick; Störende Werbung


Hallo Schrauber,

leider hat sich Combofix beim Scannen nach über 10 Minuten aufgehängt. Erst funktionierte die Maus nicht mehr, aber die Uhr lief noch immer korrekt. Dann hing sich auch die auf. Musste dann runterfahren. Soll ich das ganze nochmal von vorne starten?

EDIT: Einfach so wiederholen hat zumindest nichts gebracht...
__________________
Alt 19.01.2014, 10:20   #4
schrauber
/// the machine
/// TB-Ausbilder
 
Windows 7: Malware SaveByClick; Störende Werbung - Standard

Windows 7: Malware SaveByClick; Störende Werbung


Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 19.01.2014, 13:55   #5
Ratio
 
Windows 7: Malware SaveByClick; Störende Werbung - Standard

Windows 7: Malware SaveByClick; Störende Werbung


Hi Schrauber,

hier alle Logs:

Malwarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.19.03

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Kenan :: KENAN-PC [Administrator]

Schutz: Aktiviert

19.01.2014 12:58:57
mbam-log-2014-01-19 (12-58-57).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 194158
Laufzeit: 15 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\{77D46E27-0E41-4478-87A6-AABE6FBCF252} (PUP.Optional.GreatSaver.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Users\Kenan\AppData\Local\Temp\dp.exe (PUP.Optional.DealPly.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\AppData\Local\Temp\DeltaTB.exe (PUP.Optional.Delta.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\AppData\Local\Temp\pricepeep_130001_1001.exe (PUP.Optional.PricePeep.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\AppData\Local\Temp\MyBabylonTB.exe (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\AppData\Local\Temp\BI_RunOnce.exe (PUP.Optional.Somoto.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\Downloads\Bauhaus_downloader_by_Ffonts.exe (PUP.Optional.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\Downloads\Opal_downloader_by_Ffonts.exe (PUP.Optional.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\Downloads\Bauhaus_downloader_by_Ffonts(1).exe (PUP.Optional.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kenan\Downloads\Bauhaus_downloader_by_Ffonts(2).exe (PUP.Optional.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

AdwCleaner:

Code:
ATTFilter
# AdwCleaner v3.017 - Bericht erstellt am 19/01/2014 um 13:32:26
# Aktualisiert 12/01/2014 von Xplode
# Betriebssystem : Windows 7 Ultimate  (32 bits)
# Benutzername : Kenan - KENAN-PC
# Gestartet von : C:\Users\Kenan\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Datei Gelöscht : C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_sb.scorecardresearch.com_0.localstorage
Datei Gelöscht : C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_sb.scorecardresearch.com_0.localstorage-journal

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v0.0.0.0


-\\ Mozilla Firefox v25.0 (de)

[ Datei : C:\Users\Kenan\AppData\Roaming\Mozilla\Firefox\Profiles\gr0g4ycp.default\prefs.js ]


-\\ Google Chrome v31.0.1650.63

[ Datei : C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [2897 octets] - [17/01/2014 20:54:07]
AdwCleaner[R1].txt - [1030 octets] - [17/01/2014 21:36:44]
AdwCleaner[R2].txt - [1091 octets] - [17/01/2014 23:48:26]
AdwCleaner[R3].txt - [1428 octets] - [19/01/2014 13:30:41]
AdwCleaner[S0].txt - [2962 octets] - [17/01/2014 20:59:51]
AdwCleaner[S1].txt - [1349 octets] - [19/01/2014 13:32:26]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1409 octets] ##########

JRT:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.0 (01.07.2014:1)
OS: Windows 7 Ultimate x86
Ran by Kenan on 19.01.2014 at 13:42:34,74
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [Folder] C:\Users\Kenan\AppData\Roaming\mozilla\firefox\profiles\gr0g4ycp.default\extensions\staged
Emptied folder: C:\Users\Kenan\AppData\Roaming\mozilla\firefox\profiles\gr0g4ycp.default\minidumps [9 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19.01.2014 at 13:45:01,92
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FRST:


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 19-01-2014
Ran by Kenan (administrator) on KENAN-PC on 19-01-2014 13:48:14
Running from C:\Users\Kenan\Desktop
Microsoft Windows 7 Ultimate  (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) ===================

(Lenovo) C:\Windows\System32\ibmpmsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
() C:\Program Files\1&1 Surf-Stick\AssistantServices.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-18] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
MountPoints2: {dddbd317-a26c-11e2-8f89-0015580a4413} - E:\LaunchU3.exe -a

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB108EF8E3CFBCD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
SearchScopes: HKLM - DefaultScope value is missing.
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{A5680517-144D-4524-B9D2-8F1CF2DA7700}: [NameServer]139.7.30.126 139.7.30.125

FireFox:
========
FF ProfilePath: C:\Users\Kenan\AppData\Roaming\Mozilla\Firefox\Profiles\gr0g4ycp.default
FF SearchEngineOrder.user_pref("browser.search.order.1", "");: user_pref("browser.search.order.1", "");
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF SelectedSearchEngine: Google
FF Keyword.URL: user_pref("keyword.URL", "");
FF DefaultSearchEngine: user_pref("browser.search.defaultenginename", "");
FF Homepage: user_pref("browser.startup.homepage", "");
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml

Chrome: 
=======
CHR HomePage: 
CHR RestoreOnStartup: ""
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\31.0.1650.63\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\31.0.1650.63\ppGoogleNaClPluginChrome.dll ()
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\31.0.1650.63\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 11.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Extension: (Google Wallet) - C:\Users\Kenan\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [440376 2013-12-18] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [440376 2013-11-25] (Avira Operations GmbH & Co. KG)
S2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
R2 UI Assistant Service; C:\Program Files\1&1 Surf-Stick\AssistantServices.exe [274208 2012-05-04] ()

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [90400 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135648 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-10-07] (Avira Operations GmbH & Co. KG)
S3 catchme; C:\Users\Kenan\AppData\Local\Temp\catchme.sys [31744 2014-01-18] ()
S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd6.sys [44032 2009-07-13] (VIA Technologies, Inc.              )
S3 massfilter; C:\Windows\System32\drivers\massfilter.sys [9216 2011-08-29] (MBB Incorporated)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
S3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [657408 2009-07-13] (Ralink Technology Corp.)
R3 NETw2v32; C:\Windows\System32\DRIVERS\NETw2v32.sys [2595840 2007-03-07] (Intel® Corporation)
S3 Ph3xIB32; C:\Windows\System32\DRIVERS\Ph3xIB32.sys [1311232 2009-07-13] (NXP Semiconductors)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 usbrndis6; C:\Windows\System32\DRIVERS\usb80236.sys [15872 2009-07-14] (Microsoft Corporation)
R3 VSTHWICH; C:\Windows\System32\DRIVERS\VSTICH3.SYS [242176 2009-07-13] (Conexant Systems, Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-19 13:47 - 2014-01-19 13:47 - 00000000 ____D C:\Users\Kenan\Desktop\FRST-OlderVersion
2014-01-19 13:45 - 2014-01-19 13:45 - 00000875 _____ C:\Users\Kenan\Desktop\JRT.txt
2014-01-19 13:42 - 2014-01-19 13:42 - 00000000 ____D C:\Windows\ERUNT
2014-01-19 13:39 - 2014-01-19 13:39 - 01037068 _____ (Thisisu) C:\Users\Kenan\Desktop\JRT.exe
2014-01-19 13:35 - 2014-01-19 13:35 - 00001489 _____ C:\Users\Kenan\Desktop\AdwCleaner[S1].txt
2014-01-19 13:28 - 2014-01-19 13:28 - 01236282 _____ C:\Users\Kenan\Desktop\adwcleaner.exe
2014-01-19 12:52 - 2014-01-19 12:52 - 00001067 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2014-01-19 12:52 - 2014-01-19 12:52 - 00000000 ____D C:\Users\Kenan\AppData\Roaming\Malwarebytes
2014-01-19 12:51 - 2014-01-19 12:52 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2014-01-19 12:51 - 2014-01-19 12:51 - 00000000 ____D C:\ProgramData\Malwarebytes
2014-01-19 12:51 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2014-01-19 12:48 - 2014-01-19 12:48 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Kenan\Desktop\mbam-setup-1.75.0.1300.exe
2014-01-19 02:00 - 2014-01-19 02:00 - 00378139 _____ C:\Users\Kenan\Downloads\PP_Auswertung_Programmzeitschriften.pptx
2014-01-18 13:44 - 2014-01-18 13:45 - 00000000 ___SD C:\ComboFix
2014-01-18 11:32 - 2014-01-18 11:32 - 00000000 ____D C:\Windows\erdnt
2014-01-18 11:32 - 2014-01-18 11:32 - 00000000 ____D C:\Qoobox
2014-01-18 11:32 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2014-01-18 11:32 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2014-01-18 11:32 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2014-01-18 11:32 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2014-01-18 11:32 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2014-01-18 11:32 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2014-01-18 11:32 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2014-01-18 11:32 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2014-01-18 11:27 - 2014-01-18 11:27 - 05167985 ____R (Swearware) C:\Users\Kenan\Desktop\ComboFix.exe
2014-01-18 00:50 - 2014-01-18 00:50 - 00003640 _____ C:\Users\Kenan\Desktop\AntiVirEreignisse.txt
2014-01-18 00:36 - 2014-01-18 00:36 - 00001508 _____ C:\Users\Kenan\Desktop\Gmer.txt
2014-01-18 00:18 - 2014-01-18 00:18 - 00379904 _____ C:\Users\Kenan\Downloads\213m7ikl.exe
2014-01-18 00:18 - 2014-01-18 00:18 - 00379904 _____ C:\Users\Kenan\Desktop\213m7ikl.exe
2014-01-18 00:15 - 2014-01-18 00:16 - 00016500 _____ C:\Users\Kenan\Desktop\Addition.txt
2014-01-18 00:13 - 2014-01-19 13:48 - 00007042 _____ C:\Users\Kenan\Desktop\FRST.txt
2014-01-18 00:13 - 2014-01-19 13:47 - 00000000 ____D C:\FRST
2014-01-18 00:11 - 2014-01-19 13:47 - 01221120 _____ (Farbar) C:\Users\Kenan\Desktop\FRST.exe
2014-01-18 00:09 - 2014-01-18 00:10 - 00000472 _____ C:\Users\Kenan\Desktop\defogger_disable.log
2014-01-18 00:09 - 2014-01-18 00:09 - 00000000 _____ C:\Users\Kenan\defogger_reenable
2014-01-18 00:05 - 2014-01-18 00:05 - 00050477 _____ C:\Users\Kenan\Desktop\Defogger.exe
2014-01-17 20:53 - 2014-01-19 13:32 - 00000000 ____D C:\AdwCleaner
2014-01-15 15:21 - 2014-01-15 15:21 - 00000000 ____D C:\Program Files\AlLSaver
2014-01-15 15:20 - 2014-01-15 15:20 - 00000000 ____D C:\Program Files\SaverEaxttension
2014-01-06 00:24 - 2014-01-16 08:09 - 00000000 ____D C:\ProgramData\SaverEaxttension
2014-01-06 00:24 - 2014-01-06 00:24 - 00000000 ____D C:\ProgramData\fciobdocjhacehadbagdjmhjbccjcpag
2014-01-06 00:23 - 2014-01-16 08:09 - 00000000 ____D C:\ProgramData\AlLSaver
2014-01-06 00:23 - 2014-01-15 15:21 - 00000000 ____D C:\ProgramData\9917459017c7db00

==================== One Month Modified Files and Folders =======

2014-01-19 13:48 - 2014-01-18 00:13 - 00007042 _____ C:\Users\Kenan\Desktop\FRST.txt
2014-01-19 13:47 - 2014-01-19 13:47 - 00000000 ____D C:\Users\Kenan\Desktop\FRST-OlderVersion
2014-01-19 13:47 - 2014-01-18 00:13 - 00000000 ____D C:\FRST
2014-01-19 13:47 - 2014-01-18 00:11 - 01221120 _____ (Farbar) C:\Users\Kenan\Desktop\FRST.exe
2014-01-19 13:45 - 2014-01-19 13:45 - 00000875 _____ C:\Users\Kenan\Desktop\JRT.txt
2014-01-19 13:42 - 2014-01-19 13:42 - 00000000 ____D C:\Windows\ERUNT
2014-01-19 13:40 - 2009-07-14 05:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-19 13:40 - 2009-07-14 05:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-19 13:39 - 2014-01-19 13:39 - 01037068 _____ (Thisisu) C:\Users\Kenan\Desktop\JRT.exe
2014-01-19 13:35 - 2014-01-19 13:35 - 00001489 _____ C:\Users\Kenan\Desktop\AdwCleaner[S1].txt
2014-01-19 13:34 - 2013-01-25 21:49 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2014-01-19 13:34 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-19 13:33 - 2013-01-25 15:09 - 02014095 _____ C:\Windows\WindowsUpdate.log
2014-01-19 13:33 - 2009-07-14 05:39 - 00072745 _____ C:\Windows\setupact.log
2014-01-19 13:32 - 2014-01-17 20:53 - 00000000 ____D C:\AdwCleaner
2014-01-19 13:28 - 2014-01-19 13:28 - 01236282 _____ C:\Users\Kenan\Desktop\adwcleaner.exe
2014-01-19 13:19 - 2013-01-25 23:58 - 00094320 _____ C:\Windows\PFRO.log
2014-01-19 13:17 - 2013-01-25 21:50 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2014-01-19 12:52 - 2014-01-19 12:52 - 00001067 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2014-01-19 12:52 - 2014-01-19 12:52 - 00000000 ____D C:\Users\Kenan\AppData\Roaming\Malwarebytes
2014-01-19 12:52 - 2014-01-19 12:51 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2014-01-19 12:51 - 2014-01-19 12:51 - 00000000 ____D C:\ProgramData\Malwarebytes
2014-01-19 12:48 - 2014-01-19 12:48 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Kenan\Desktop\mbam-setup-1.75.0.1300.exe
2014-01-19 12:34 - 2013-04-06 22:16 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-19 02:00 - 2014-01-19 02:00 - 00378139 _____ C:\Users\Kenan\Downloads\PP_Auswertung_Programmzeitschriften.pptx
2014-01-18 20:16 - 2013-04-06 17:22 - 00000000 ____D C:\Users\Kenan\AppData\Roaming\Spotify
2014-01-18 20:14 - 2013-07-10 17:03 - 00002034 ____H C:\Users\Kenan\Documents\Default.rdp
2014-01-18 18:56 - 2009-07-14 05:52 - 00000000 ____D C:\Windows\system32\FxsTmp
2014-01-18 13:45 - 2014-01-18 13:44 - 00000000 ___SD C:\ComboFix
2014-01-18 12:21 - 2013-01-25 15:10 - 00000000 ____D C:\Users\Kenan
2014-01-18 11:32 - 2014-01-18 11:32 - 00000000 ____D C:\Windows\erdnt
2014-01-18 11:32 - 2014-01-18 11:32 - 00000000 ____D C:\Qoobox
2014-01-18 11:27 - 2014-01-18 11:27 - 05167985 ____R (Swearware) C:\Users\Kenan\Desktop\ComboFix.exe
2014-01-18 00:50 - 2014-01-18 00:50 - 00003640 _____ C:\Users\Kenan\Desktop\AntiVirEreignisse.txt
2014-01-18 00:36 - 2014-01-18 00:36 - 00001508 _____ C:\Users\Kenan\Desktop\Gmer.txt
2014-01-18 00:18 - 2014-01-18 00:18 - 00379904 _____ C:\Users\Kenan\Downloads\213m7ikl.exe
2014-01-18 00:18 - 2014-01-18 00:18 - 00379904 _____ C:\Users\Kenan\Desktop\213m7ikl.exe
2014-01-18 00:16 - 2014-01-18 00:15 - 00016500 _____ C:\Users\Kenan\Desktop\Addition.txt
2014-01-18 00:10 - 2014-01-18 00:09 - 00000472 _____ C:\Users\Kenan\Desktop\defogger_disable.log
2014-01-18 00:09 - 2014-01-18 00:09 - 00000000 _____ C:\Users\Kenan\defogger_reenable
2014-01-18 00:05 - 2014-01-18 00:05 - 00050477 _____ C:\Users\Kenan\Desktop\Defogger.exe
2014-01-17 20:51 - 2013-07-15 07:34 - 00000000 ____D C:\Users\Kenan\AppData\Local\Thunderbird
2014-01-16 08:09 - 2014-01-06 00:24 - 00000000 ____D C:\ProgramData\SaverEaxttension
2014-01-16 08:09 - 2014-01-06 00:23 - 00000000 ____D C:\ProgramData\AlLSaver
2014-01-15 17:19 - 2013-04-06 17:23 - 00000000 ____D C:\Users\Kenan\AppData\Local\Spotify
2014-01-15 15:24 - 2013-07-11 22:49 - 00000000 ____D C:\Users\Kenan\AppData\Roaming\Dropbox
2014-01-15 15:21 - 2014-01-15 15:21 - 00000000 ____D C:\Program Files\AlLSaver
2014-01-15 15:21 - 2014-01-06 00:23 - 00000000 ____D C:\ProgramData\9917459017c7db00
2014-01-15 15:21 - 2013-01-28 00:55 - 00000000 ____D C:\ProgramData\InstallMate
2014-01-15 15:20 - 2014-01-15 15:20 - 00000000 ____D C:\Program Files\SaverEaxttension
2014-01-14 23:32 - 2013-07-11 22:56 - 00000000 ___RD C:\Users\Kenan\Dropbox
2014-01-07 18:54 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\NDF
2014-01-06 00:24 - 2014-01-06 00:24 - 00000000 ____D C:\ProgramData\fciobdocjhacehadbagdjmhjbccjcpag

Some content of TEMP:
====================
C:\Users\Kenan\AppData\Local\Temp\avgnt.exe
C:\Users\Kenan\AppData\Local\Temp\catchme.dll
C:\Users\Kenan\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2009-11-10 19:48] - [2009-08-03 06:35] - 2613248 ____A (Microsoft Corporation) B95EEB0F4E5EFBF1038A35B3351CF047

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-01-19 01:35

==================== End Of Log ============================
--- --- ---



Falls schon von Interesse: Bis jetzt ist alles noch beim Alten.


Alt 20.01.2014, 12:08   #6
schrauber
/// the machine
/// TB-Ausbilder
 
Windows 7: Malware SaveByClick; Störende Werbung - Standard

Windows 7: Malware SaveByClick; Störende Werbung


Revo Uninstaller - Download - Filepony
damit Chrome deinstallieren, keine Daten behalten, Reste entfernen lassen, neu installieren.




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?
__________________
--> Windows 7: Malware SaveByClick; Störende Werbung

Antwort

Themen zu Windows 7: Malware SaveByClick; Störende Werbung
adware/adware.gen, converter, dvdvideosoft ltd., fehlercode 1, flash player, homepage, installation, junkware, malware, msiinstaller, nicht installiert, programm, pup.optional.babylon.a, pup.optional.dealply.a, pup.optional.delta.a, pup.optional.greatsaver.a, pup.optional.pricepeep.a, pup.optional.somoto, pup.optional.somoto.a, software, svchost.exe, tr/kazy.trquray, werbung


« Wie entferne ich "Conduit.com"? (logfiles bereits erstellt und gepostet) | TR/Crypt.EPACK.Gen2 gefunden in C:\Windows\Temp »


Ähnliche Themen: Windows 7: Malware SaveByClick; Störende Werbung


  1. Malware - Pop-Up Werbung
    Plagegeister aller Art und deren Bekämpfung - 20.11.2015 (28)
  2. Störende 2 Funde auf mein Computer! PUA/DownloadGuide.Ge
    Plagegeister aller Art und deren Bekämpfung - 12.04.2015 (1)
  3. Windows 8.1 Pc langsamer, Werbung Malware/Virus
    Log-Analyse und Auswertung - 02.02.2015 (11)
  4. Windows 7: Browser voller Werbung/ Links werden zu Werbung weitergeleitet
    Log-Analyse und Auswertung - 17.12.2014 (31)
  5. SaveByClick entfernen
    Anleitungen, FAQs & Links - 30.07.2014 (2)
  6. Windows 7: Internet Explorer startet automatisch Werbung/ Webseiten werden auf Werbung umgeleitet
    Log-Analyse und Auswertung - 27.07.2014 (7)
  7. Windows 8 64bit: Malware, Viren etc.. unklar.. andauernd poppen Progs/Werbung auf
    Plagegeister aller Art und deren Bekämpfung - 05.05.2014 (1)
  8. Win7 64bit - Störende Werbung am linken Bildschirmrand, doppelt unterstrichene Links die zu Werbeseiten führen
    Log-Analyse und Auswertung - 01.04.2014 (16)
  9. Windows 7, störende Werbeanzeigen beim aufrufen von Webseiten, Probleme bei Beseitigung
    Plagegeister aller Art und deren Bekämpfung - 12.03.2014 (5)
  10. Störende Adware - Bettersurf
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (12)
  11. %programfiles%\savebyclick\sprotector.dll - Wie kann ich das entfernen?
    Plagegeister aller Art und deren Bekämpfung - 09.09.2013 (9)
  12. SaveByClick Plagegeist, wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 24.08.2013 (9)
  13. savebyclick\sprotector.dll entfernen
    Plagegeister aller Art und deren Bekämpfung - 19.07.2013 (9)
  14. Wie killen? Malware: Youtube extremst verzögert und störende Pop-Ups
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (4)
  15. Malware-Coupon-Werbung
    Log-Analyse und Auswertung - 05.05.2013 (9)
  16. SaveByClick, Spyhunter 4, PC stürzt ab
    Log-Analyse und Auswertung - 13.04.2013 (10)
  17. Windows 7 64bit - Malware und Trojaner - IE spammt fenster und Werbung
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows 7: Malware SaveByClick; Störende Werbung - Hallo ihr Helfer, ich habe mir vor ein paar Tagen etwas ganz schön Nerviges eingefangen. Ich werde im Browser (Chrome) nur noch mit Werbung vollgespamt und meine ersten Google-Ergebnisse werden - Windows 7: Malware SaveByClick; Störende Werbung...
Archiv
Du betrachtest: Windows 7: Malware SaveByClick; Störende Werbung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131