Trotz Anti Maleware/Adware - Überflutung von Adware usw.

cosinus · 14.04.2015, 16:00

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

Task: {468E3404-DD97-40C0-BE87-745CA688F4D4} - System32\Tasks\KSPKN => C:\Users\Baddy\AppData\Roaming\KSPKN.exe <==== ATTENTION
Task: {5DDB5942-51E7-4CC0-9E9F-2DCD44A964FB} - System32\Tasks\FJEVQW => C:\Users\Baddy\AppData\Roaming\FJEVQW.exe <==== ATTENTION
Task: {7C1A13AA-600E-40D6-933A-6AFD3480C641} - System32\Tasks\RPBFZMFS => C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe <==== ATTENTION
Task: {8657F3CC-687E-4C05-8722-343786EBE171} - System32\Tasks\HLUOVEUR => C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe <==== ATTENTION
Task: {8831EC27-195F-42BB-9C40-6F2A7065301C} - System32\Tasks\RTQFZORV => C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe <==== ATTENTION
Task: {C8EF4A73-D940-432A-86F8-06AA6E5B255C} - System32\Tasks\OXJV => C:\Users\Baddy\AppData\Roaming\OXJV.exe <==== ATTENTION
Task: {E9C8A054-659B-4229-8C4B-47B24AE25780} - System32\Tasks\HFNIFBE => C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe <==== ATTENTION
Task: {F2FCB399-AA26-48DE-A921-B2446440AB69} - System32\Tasks\ZRNTN => C:\Users\Baddy\AppData\Roaming\ZRNTN.exe <==== ATTENTION
Task: C:\Windows\Tasks\FJEVQW.job => C:\Users\Baddy\AppData\Roaming\FJEVQW.exe <==== ATTENTION
Task: C:\Windows\Tasks\HFNIFBE.job => C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe <==== ATTENTION
Task: C:\Windows\Tasks\HLUOVEUR.job => C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe <==== ATTENTION
Task: C:\Windows\Tasks\KSPKN.job => C:\Users\Baddy\AppData\Roaming\KSPKN.exe <==== ATTENTION
Task: C:\Windows\Tasks\OXJV.job => C:\Users\Baddy\AppData\Roaming\OXJV.exe <==== ATTENTION
Task: C:\Windows\Tasks\RPBFZMFS.job => C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe <==== ATTENTION
Task: C:\Windows\Tasks\RTQFZORV.job => C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe <==== ATTENTION
Task: C:\Windows\Tasks\ZRNTN.job => C:\Users\Baddy\AppData\Roaming\ZRNTN.exe <==== ATTENTION
C:\Users\Baddy\AppData\Roaming\FJEVQW.exe
C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe
C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe
C:\Users\Baddy\AppData\Roaming\KSPKN.exe
C:\Users\Baddy\AppData\Roaming\OXJV.exe
C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe
C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe
C:\Users\Baddy\AppData\Roaming\ZRNTN.exe
EmptyTemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

fibi2222 · 14.04.2015, 17:23

Irgendwie funktioniert das nicht mit der Fixliste.
Habe es auf dem Desktop und im Verzeichnis von FRST versucht.

cosinus · 14.04.2015, 20:38

FRST.exe auf den Desktop verschieben, Fixlist auf dem Desktop erstellen.

fibi2222 · 15.04.2015, 07:43

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-04-2015
Ran by Baddy at 2015-04-15 07:12:56 Run:1
Running from C:\Users\Baddy\Desktop
Loaded Profiles: Baddy (Available profiles: Baddy)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Task: {468E3404-DD97-40C0-BE87-745CA688F4D4} - System32\Tasks\KSPKN => C:\Users\Baddy\AppData\Roaming\KSPKN.exe <==== ATTENTION
Task: {5DDB5942-51E7-4CC0-9E9F-2DCD44A964FB} - System32\Tasks\FJEVQW => C:\Users\Baddy\AppData\Roaming\FJEVQW.exe <==== ATTENTION
Task: {7C1A13AA-600E-40D6-933A-6AFD3480C641} - System32\Tasks\RPBFZMFS => C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe <==== ATTENTION
Task: {8657F3CC-687E-4C05-8722-343786EBE171} - System32\Tasks\HLUOVEUR => C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe <==== ATTENTION
Task: {8831EC27-195F-42BB-9C40-6F2A7065301C} - System32\Tasks\RTQFZORV => C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe <==== ATTENTION
Task: {C8EF4A73-D940-432A-86F8-06AA6E5B255C} - System32\Tasks\OXJV => C:\Users\Baddy\AppData\Roaming\OXJV.exe <==== ATTENTION
Task: {E9C8A054-659B-4229-8C4B-47B24AE25780} - System32\Tasks\HFNIFBE => C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe <==== ATTENTION
Task: {F2FCB399-AA26-48DE-A921-B2446440AB69} - System32\Tasks\ZRNTN => C:\Users\Baddy\AppData\Roaming\ZRNTN.exe <==== ATTENTION
Task: C:\Windows\Tasks\FJEVQW.job => C:\Users\Baddy\AppData\Roaming\FJEVQW.exe <==== ATTENTION
Task: C:\Windows\Tasks\HFNIFBE.job => C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe <==== ATTENTION
Task: C:\Windows\Tasks\HLUOVEUR.job => C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe <==== ATTENTION
Task: C:\Windows\Tasks\KSPKN.job => C:\Users\Baddy\AppData\Roaming\KSPKN.exe <==== ATTENTION
Task: C:\Windows\Tasks\OXJV.job => C:\Users\Baddy\AppData\Roaming\OXJV.exe <==== ATTENTION
Task: C:\Windows\Tasks\RPBFZMFS.job => C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe <==== ATTENTION
Task: C:\Windows\Tasks\RTQFZORV.job => C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe <==== ATTENTION
Task: C:\Windows\Tasks\ZRNTN.job => C:\Users\Baddy\AppData\Roaming\ZRNTN.exe <==== ATTENTION
C:\Users\Baddy\AppData\Roaming\FJEVQW.exe
C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe
C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe
C:\Users\Baddy\AppData\Roaming\KSPKN.exe
C:\Users\Baddy\AppData\Roaming\OXJV.exe
C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe
C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe
C:\Users\Baddy\AppData\Roaming\ZRNTN.exe
EmptyTemp:
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{468E3404-DD97-40C0-BE87-745CA688F4D4}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{468E3404-DD97-40C0-BE87-745CA688F4D4}" => Key deleted successfully.
C:\Windows\System32\Tasks\KSPKN => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KSPKN" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{5DDB5942-51E7-4CC0-9E9F-2DCD44A964FB}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DDB5942-51E7-4CC0-9E9F-2DCD44A964FB}" => Key deleted successfully.
C:\Windows\System32\Tasks\FJEVQW => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FJEVQW" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7C1A13AA-600E-40D6-933A-6AFD3480C641}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7C1A13AA-600E-40D6-933A-6AFD3480C641}" => Key deleted successfully.
C:\Windows\System32\Tasks\RPBFZMFS => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RPBFZMFS" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8657F3CC-687E-4C05-8722-343786EBE171}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8657F3CC-687E-4C05-8722-343786EBE171}" => Key deleted successfully.
C:\Windows\System32\Tasks\HLUOVEUR => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HLUOVEUR" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8831EC27-195F-42BB-9C40-6F2A7065301C}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8831EC27-195F-42BB-9C40-6F2A7065301C}" => Key deleted successfully.
C:\Windows\System32\Tasks\RTQFZORV => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RTQFZORV" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C8EF4A73-D940-432A-86F8-06AA6E5B255C}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C8EF4A73-D940-432A-86F8-06AA6E5B255C}" => Key deleted successfully.
C:\Windows\System32\Tasks\OXJV => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OXJV" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E9C8A054-659B-4229-8C4B-47B24AE25780}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E9C8A054-659B-4229-8C4B-47B24AE25780}" => Key deleted successfully.
C:\Windows\System32\Tasks\HFNIFBE => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HFNIFBE" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{F2FCB399-AA26-48DE-A921-B2446440AB69}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F2FCB399-AA26-48DE-A921-B2446440AB69}" => Key deleted successfully.
C:\Windows\System32\Tasks\ZRNTN => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ZRNTN" => Key deleted successfully.
C:\Windows\Tasks\FJEVQW.job => Moved successfully.
C:\Windows\Tasks\HFNIFBE.job => Moved successfully.
C:\Windows\Tasks\HLUOVEUR.job => Moved successfully.
C:\Windows\Tasks\KSPKN.job => Moved successfully.
C:\Windows\Tasks\OXJV.job => Moved successfully.
C:\Windows\Tasks\RPBFZMFS.job => Moved successfully.
C:\Windows\Tasks\RTQFZORV.job => Moved successfully.
C:\Windows\Tasks\ZRNTN.job => Moved successfully.
"C:\Users\Baddy\AppData\Roaming\FJEVQW.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\HFNIFBE.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\HLUOVEUR.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\KSPKN.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\OXJV.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\RPBFZMFS.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\RTQFZORV.exe" => File/Directory not found.
"C:\Users\Baddy\AppData\Roaming\ZRNTN.exe" => File/Directory not found.
EmptyTemp: => Removed 3.1 GB temporary data.


The system needed a reboot. 

==== End of Fixlog 07:13:48 ====

cosinus · 15.04.2015, 22:06

Okay, dann Kontrollscans mit ESET und SC bitte:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

fibi2222 · 17.04.2015, 09:58

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=34b2bd505e0c854ab7b0e2685ca7785c
# engine=23426
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-04-17 08:45:47
# local_time=2015-04-17 10:45:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 180546 78511089 0 0
# scanned=256590
# found=25
# cleaned=0
# scan_time=7525
sh=5571735939C37694399991815D6DA64F953B12B9 ft=1 fh=c71c00116dd255fe vn="Variante von Win32/Toolbar.CrossRider.CD evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\kin kon\kin_kon_notification_service.exe.vir"
sh=C2D8694D78EEE41D8CEDEF40D5DE962B5FB7CCCF ft=1 fh=e936c04d2ef85cc7 vn="Win32/Toolbar.CrossRider.CI evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\kin kon\kin_kon_updating_service.exe.vir"
sh=6E1625E1518B1FB62F58FD89349A2AEBECF3C90A ft=1 fh=1be7169d2ea12a6e vn="Win32/ELEX.BM evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\BrowerWatchCH.dll.vir"
sh=CCE35AE492E06336A51C1A99C404F9F744600B89 ft=1 fh=945aecc050e9b6ff vn="Win32/ELEX.BM evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\BrowerWatchFF.dll.vir"
sh=F89F1321002ADBCA7B6B4D15AD2261D9151EF715 ft=1 fh=a9286a74247fb661 vn="Win32/ELEX.BM evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\CmdShell.exe.vir"
sh=0DCB6451E8AE2DC56847E34CF7F1A560E4C212F5 ft=0 fh=0000000000000000 vn="Win32/Toolbar.TNT2.I evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\ffsearch_toolbar!1.0.0.1028.xpi.vir"
sh=F63121CDD14D9BCFA93BB10AF315FB5FC0823C03 ft=1 fh=02dcb7dc424bbbda vn="Win32/ELEX.BM evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\HPNotify.exe.vir"
sh=15D0246DBDBC07ECFB0A33970BC2571EF50E40D0 ft=1 fh=5ff352995c132b5c vn="Win32/ELEX.BM evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\IeWatchDog.dll.vir"
sh=A511D45EF634098C7366FD403A87FA3A20AB536A ft=1 fh=2648d0cf6422928c vn="Win32/ELEX.BM evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\ProtectService.exe.vir"
sh=A1AA6396B9D450C3D6B5955F714AB029F06BABFE ft=1 fh=d5997c5a2b787c41 vn="Variante von Win32/Thinknice.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\SupTab.dll.vir"
sh=32BE00C9B8BD83BF621E433EC87DE21B08F82098 ft=1 fh=a4fbdca8e8e73dc7 vn="Variante von Win32/PriceGong.C evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Baddy\AppData\Local\SmartWeb\__u.exe.vir"
sh=947BCFA4B2B0C0EFA7447211F3FB2BB06F79943B ft=1 fh=dbbf0ecf40164e38 vn="Variante von Win32/BrowseFox.AJ evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Baddy\AppData\Roaming\RHEng\57D3AE3D8F3140A492D0CED99EB886FC\setup0116.exe.vir"
sh=147E7AEBDEBB6E9F8FF6421745782501C2C5B245 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\FJEVQW"
sh=244EA60E7D5D45DE10670B877D24A480419F30A3 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\HFNIFBE"
sh=147E7AEBDEBB6E9F8FF6421745782501C2C5B245 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\HLUOVEUR"
sh=244EA60E7D5D45DE10670B877D24A480419F30A3 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\KSPKN"
sh=9413821E4285C46DAF48156B472065FC2D763FE8 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\OXJV"
sh=147E7AEBDEBB6E9F8FF6421745782501C2C5B245 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\RPBFZMFS"
sh=96EDAD94BE1A45EC7D5E7D67B97FE20C1DE1D676 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\RTQFZORV"
sh=171D0DFAD4ABC8BFCFC3DE6AD9EB03DBA9CB60AC ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\V6LCmpfBhgV42RUbUgAFjM3D1"
sh=244EA60E7D5D45DE10670B877D24A480419F30A3 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\ZRNTN"
sh=0462A849CD08013C3EEDE57AEC1FEFE670DF8A0C ft=1 fh=fd4996987a0b67fe vn="Variante von Win32/Adware.ConvertAd.EQ Anwendung" ac=I fn="C:\Users\Baddy\AppData\Roaming\F3251380-1428388481-815C-22E2-7C05071D3807\rnsn4E00.exe"
sh=2A452F493E0D28F7A268A3BE53E9BF365D0775DE ft=1 fh=faf3b354b518e4fc vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\Downloads\Emsisoft Anti Malware - CHIP-Installer.exe"
sh=50FF511E47774F5C1EE458187B23189B2112AE47 ft=1 fh=f3b04e64f5cd8ac5 vn="Variante von Win32/SoftPulse.AB evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\Downloads\Setup.exe"
sh=99D16AAE8199DAC60162383AE6D5B2065A1942E6 ft=1 fh=2649b256917e9f3e vn="Win32/DownloadGuide.F evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Baddy\Downloads\spybot-2.4_CB-DL-Manager.exe"

Code:

ATTFilter

 Results of screen317's Security Check version 1.00  
   x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Emsisoft Anti-Malware   
Windows Defender        
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Spybot - Search & Destroy 
 Adobe Flash Player 	17.0.0.169  
 Adobe Reader XI  
 Mozilla Firefox (37.0.1) 
````````Process Check: objlist.exe by Laurent````````  
 Spybot Teatimer.exe is disabled! 
 Emsisoft Anti-Malware a2service.exe   
 Symantec Norton Online Backup NOBuAgent.exe  
 Norton Online Backup ARA Engine 4.1.0.14 ARA.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````

cosinus · 17.04.2015, 23:26

In Zukunft keine Downloads mehr von Chip.de! => CHIP-Installer - was ist das? - Anleitungen

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

C:\Users\Baddy\AppData\Roaming\FJEVQW
C:\Users\Baddy\AppData\Roaming\HFNIFBE
C:\Users\Baddy\AppData\Roaming\HLUOVEUR
C:\Users\Baddy\AppData\Roaming\KSPKN
C:\Users\Baddy\AppData\Roaming\OXJV
C:\Users\Baddy\AppData\Roaming\RPBFZMFS
C:\Users\Baddy\AppData\Roaming\RTQFZORV
C:\Users\Baddy\AppData\Roaming\V6LCmpfBhgV42RUbUgAFjM3D1
C:\Users\Baddy\AppData\Roaming\ZRNTN
C:\Users\Baddy\AppData\Roaming\F3251380-1428388481-815C-22E2-7C05071D3807
C:\Users\Baddy\Downloads\Emsisoft Anti Malware - CHIP-Installer.exe
C:\Users\Baddy\Downloads\Setup.exe
C:\Users\Baddy\Downloads\spybot-2.4_CB-DL-Manager.exe
EmptyTemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

fibi2222 · 18.04.2015, 06:58

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-04-2015
Ran by Baddy at 2015-04-18 07:45:59 Run:2
Running from C:\Users\Baddy\Desktop
Loaded Profiles: Baddy (Available profiles: Baddy)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Baddy\AppData\Roaming\FJEVQW
C:\Users\Baddy\AppData\Roaming\HFNIFBE
C:\Users\Baddy\AppData\Roaming\HLUOVEUR
C:\Users\Baddy\AppData\Roaming\KSPKN
C:\Users\Baddy\AppData\Roaming\OXJV
C:\Users\Baddy\AppData\Roaming\RPBFZMFS
C:\Users\Baddy\AppData\Roaming\RTQFZORV
C:\Users\Baddy\AppData\Roaming\V6LCmpfBhgV42RUbUgAFjM3D1
C:\Users\Baddy\AppData\Roaming\ZRNTN
C:\Users\Baddy\AppData\Roaming\F3251380-1428388481-815C-22E2-7C05071D3807
C:\Users\Baddy\Downloads\Emsisoft Anti Malware - CHIP-Installer.exe
C:\Users\Baddy\Downloads\Setup.exe
C:\Users\Baddy\Downloads\spybot-2.4_CB-DL-Manager.exe
EmptyTemp:
*****************

C:\Users\Baddy\AppData\Roaming\FJEVQW => Moved successfully.
C:\Users\Baddy\AppData\Roaming\HFNIFBE => Moved successfully.
C:\Users\Baddy\AppData\Roaming\HLUOVEUR => Moved successfully.
C:\Users\Baddy\AppData\Roaming\KSPKN => Moved successfully.
C:\Users\Baddy\AppData\Roaming\OXJV => Moved successfully.
C:\Users\Baddy\AppData\Roaming\RPBFZMFS => Moved successfully.
C:\Users\Baddy\AppData\Roaming\RTQFZORV => Moved successfully.
C:\Users\Baddy\AppData\Roaming\V6LCmpfBhgV42RUbUgAFjM3D1 => Moved successfully.
C:\Users\Baddy\AppData\Roaming\ZRNTN => Moved successfully.
C:\Users\Baddy\AppData\Roaming\F3251380-1428388481-815C-22E2-7C05071D3807 => Moved successfully.
C:\Users\Baddy\Downloads\Emsisoft Anti Malware - CHIP-Installer.exe => Moved successfully.
C:\Users\Baddy\Downloads\Setup.exe => Moved successfully.
C:\Users\Baddy\Downloads\spybot-2.4_CB-DL-Manager.exe => Moved successfully.
EmptyTemp: => Removed 282.8 MB temporary data.


The system needed a reboot. 

==== End of Fixlog 07:46:08 ====

Unglaublich... Danke, für den Hinweis! Werde in Zukunft nichts mehr von Chip.de runterladen...

cosinus · 18.04.2015, 13:22

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

fibi2222 · 18.04.2015, 13:44

Vielen, vielen Dank!!! Auch für Deine Geduld!

Jetzt ist alles wieder in Ordnung! :-D

Super!

LG und ein schönes Wochenende

cosinus · 18.04.2015, 14:24

Dann wären wir durch!

Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen.

Helfen kann dir dabei delfix:

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

fibi2222 · 19.04.2015, 07:00

O.k Vielen Dank, nochmal! :-)

14.04.2015, 20:38	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trotz Anti Maleware/Adware - Überflutung von Adware usw. FRST.exe auf den Desktop verschieben, Fixlist auf dem Desktop erstellen. __________________ __________________

Trotz Anti Maleware/Adware - Überflutung von Adware usw.

Plagegeister aller Art und deren Bekämpfung: Trotz Anti Maleware/Adware - Überflutung von Adware usw.