FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

Task: {77448848-B9BE-4F1C-926E-53D714563E50} - \WinZip Malware Protector_startup -> Keine Datei <==== ACHTUNG
C:\ProgramData\Ament.ini
C:\ProgramData\bltofzsb.qlf
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:29-12-2015
durchgeführt von Andrzej (2016-01-06 11:26:41) Run:1
Gestartet von C:\Users\Andrzej\Desktop
Geladene Profile: Andrzej (Verfügbare Profile: Andrzej & postgres)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Task: {77448848-B9BE-4F1C-926E-53D714563E50} - \WinZip Malware Protector_startup -> Keine Datei <==== ACHTUNG
C:\ProgramData\Ament.ini
C:\ProgramData\bltofzsb.qlf
emptytemp:
         
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{77448848-B9BE-4F1C-926E-53D714563E50}" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{77448848-B9BE-4F1C-926E-53D714563E50}" => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WinZip Malware Protector_startup => Schlüssel nicht gefunden. 
C:\ProgramData\Ament.ini => erfolgreich verschoben
C:\ProgramData\bltofzsb.qlf => erfolgreich verschoben
EmptyTemp: => 1.3 GB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende von Fixlog 11:27:22 ====
         

Okay, dann Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 06.01.2016
Suchlaufzeit: 12:07
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2016.01.06.02
Rootkit-Datenbank: v2016.01.05.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Andrzej

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 365654
Abgelaufene Zeit: 8 Min., 14 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=cb278d1e81af3e428e6841e654222824
# end=init
# utc_time=2016-01-04 10:28:43
# local_time=2016-01-04 11:28:43 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Init
Update Download
Update Finalize
Updated modules version: 27480
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=cb278d1e81af3e428e6841e654222824
# end=updated
# utc_time=2016-01-04 10:32:09
# local_time=2016-01-04 11:32:09 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=cb278d1e81af3e428e6841e654222824
# engine=27480
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-01-04 11:23:04
# local_time=2016-01-04 12:23:04 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# scanned=146669
# found=5
# cleaned=0
# scan_time=3054
sh=AF4AD8914EA57D6F7D4766CF0D06EBCCD8C5FD6F ft=1 fh=da2d642db99f53a5 vn="Variante von Win32/Bayrob.AK Trojaner" ac=I fn="C:\kvcwcikpcqwjf\h1dh7hver8.exe"
sh=FB3F7E2BF56F5EA06763303CDAA0E962E975E063 ft=1 fh=c0dea5299389dc4e vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Andrzej\AppData\Local\Temp\DMR\dmr_72.exe"
sh=2C500E830D0ED0316CC970ACBCA1FFB0C02F11F0 ft=1 fh=191935c83e0a5011 vn="Variante von MSIL/AdvancedSystemProtector.F evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Andrzej\Downloads\wzmp_8.exe"
sh=EF9FC92F5FE68DBBD1024B23CAB9895ED8E098D6 ft=1 fh=c0df44ee4d154ff0 vn="Variante von Win32/Bayrob.AG Trojaner" ac=I fn="C:\Windows\hkruyuec.exe"
sh=EF9FC92F5FE68DBBD1024B23CAB9895ED8E098D6 ft=1 fh=c0df44ee4d154ff0 vn="Variante von Win32/Bayrob.AG Trojaner" ac=I fn="C:\Windows\vlagsiybexlv.exe"
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=cb278d1e81af3e428e6841e654222824
# end=init
# utc_time=2016-01-06 11:19:02
# local_time=2016-01-06 12:19:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 27516
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=cb278d1e81af3e428e6841e654222824
# end=updated
# utc_time=2016-01-06 11:20:17
# local_time=2016-01-06 12:20:17 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=cb278d1e81af3e428e6841e654222824
# engine=27516
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-01-06 12:11:07
# local_time=2016-01-06 01:11:07 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# scanned=130540
# found=5
# cleaned=0
# scan_time=3050
sh=AF4AD8914EA57D6F7D4766CF0D06EBCCD8C5FD6F ft=1 fh=da2d642db99f53a5 vn="Variante von Win32/Bayrob.AK Trojaner" ac=I fn="C:\kvcwcikpcqwjf\h1dh7hver8.exe"
sh=2C500E830D0ED0316CC970ACBCA1FFB0C02F11F0 ft=1 fh=191935c83e0a5011 vn="Variante von MSIL/AdvancedSystemProtector.F evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Andrzej\Downloads\wzmp_8.exe"
sh=EF9FC92F5FE68DBBD1024B23CAB9895ED8E098D6 ft=1 fh=c0df44ee4d154ff0 vn="Variante von Win32/Bayrob.AG Trojaner" ac=I fn="C:\Windows\hkruyuec.exe"
sh=EF9FC92F5FE68DBBD1024B23CAB9895ED8E098D6 ft=1 fh=c0df44ee4d154ff0 vn="Variante von Win32/Bayrob.AG Trojaner" ac=I fn="C:\Windows\vlagsiybexlv.exe"
sh=AEE286D9732EED65AFE1156EA8F43F3B2C4455D8 ft=0 fh=0000000000000000 vn="Variante von Win32/Bayrob.AT.gen Trojaner" ac=I fn="C:\Windows\ofhmyowaorl\smtp\tmp\gabrielson50.zip"
         

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 1.013 --- 11/28/15  
 Windows 7 Service Pack 1 x64 (UAC is disabled!)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Antivirus   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Java version 32-bit out of Date! 
 Adobe Flash Player 20.0.0.267  
 Adobe Reader XI  
 Google Chrome (47.0.2526.106) 
 Google Chrome (47.0.2526.80) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbam.exe  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

S2 Update Window Browser DHCP Logon; C:\kvcwcikpcqwjf\evxwqxao.exe [X]
C:\kvcwcikpcqwjf
C:\Users\Andrzej\Downloads\wzmp_8.exe
C:\Windows\kvcwcikpcqwjf
C:\Windows\phantomjs198.exe
C:\Windows\casper.js
C:\Windows\tester.js
C:\Windows\clientutils.js
C:\Windows\utils.js
C:\Windows\bootstrap.js
C:\Windows\events.js
C:\Windows\xunit.js
C:\Windows\querystring.js
C:\Windows\cli.js
C:\Windows\pagestack.js
C:\Windows\colorizer.js
C:\Windows\mouse.js
C:\Windows\http.js
C:\Windows\package.json
C:\Windows\ofhmyowaorl
C:\Windows\vlagsiybexlv.exe
C:\Windows\hkruyuec.exe
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:29-12-2015
durchgeführt von Andrzej (2016-01-06 13:55:13) Run:2
Gestartet von C:\Users\Andrzej\Desktop
Geladene Profile: Andrzej &  (Verfügbare Profile: Andrzej & postgres)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
S2 Update Window Browser DHCP Logon; C:\kvcwcikpcqwjf\evxwqxao.exe [X]
C:\kvcwcikpcqwjf
C:\Users\Andrzej\Downloads\wzmp_8.exe
C:\Windows\kvcwcikpcqwjf
C:\Windows\phantomjs198.exe
C:\Windows\casper.js
C:\Windows\tester.js
C:\Windows\clientutils.js
C:\Windows\utils.js
C:\Windows\bootstrap.js
C:\Windows\events.js
C:\Windows\xunit.js
C:\Windows\querystring.js
C:\Windows\cli.js
C:\Windows\pagestack.js
C:\Windows\colorizer.js
C:\Windows\mouse.js
C:\Windows\http.js
C:\Windows\package.json
C:\Windows\ofhmyowaorl
C:\Windows\vlagsiybexlv.exe
C:\Windows\hkruyuec.exe
emptytemp:
         
*****************

Update Window Browser DHCP Logon => Dienst erfolgreich entfernt
C:\kvcwcikpcqwjf => erfolgreich verschoben
C:\Users\Andrzej\Downloads\wzmp_8.exe => erfolgreich verschoben
C:\Windows\kvcwcikpcqwjf => erfolgreich verschoben
C:\Windows\phantomjs198.exe => erfolgreich verschoben
C:\Windows\casper.js => erfolgreich verschoben
C:\Windows\tester.js => erfolgreich verschoben
C:\Windows\clientutils.js => erfolgreich verschoben
C:\Windows\utils.js => erfolgreich verschoben
C:\Windows\bootstrap.js => erfolgreich verschoben
C:\Windows\events.js => erfolgreich verschoben
C:\Windows\xunit.js => erfolgreich verschoben
C:\Windows\querystring.js => erfolgreich verschoben
C:\Windows\cli.js => erfolgreich verschoben
C:\Windows\pagestack.js => erfolgreich verschoben
C:\Windows\colorizer.js => erfolgreich verschoben
C:\Windows\mouse.js => erfolgreich verschoben
C:\Windows\http.js => erfolgreich verschoben
C:\Windows\package.json => erfolgreich verschoben

"C:\Windows\ofhmyowaorl" Ordner verschieben:

Konnte nicht verschoben werden "C:\Windows\ofhmyowaorl" => ist geplant bei Neustart verschoben zu werden.

C:\Windows\vlagsiybexlv.exe => erfolgreich verschoben
C:\Windows\hkruyuec.exe => erfolgreich verschoben
EmptyTemp: => 78.5 MB temporäre Dateien entfernt.

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 2016-01-06 13:57:12)

C:\Windows\ofhmyowaorl => ist erfolgreich verschoben

==== Ende von Fixlog 13:57:12 ====
         

Sehr schön. Jetzt will ich mal wissen was das da alles war. Dazu bitte so vorgehen, damit ich die Files bekomme:

• Deaktiviere dein Anti-Viren-Programm.
• Gehe zum Ordner C:\FRST\Quarantine.
• Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > Zip-komprimierter Ordner.
• Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
• Lade die Quarantine.zip im Upload-Channel hoch.
• Klicke dazu auf Durchsuchen, navigiere zu der zip-Datei ( C:\FRST\Quarantine.zip ) und klicke auf Öffnen.
• Klicke abschließend auf Hochladen.
• Vielen Dank für deine Hilfe.
• Aktiviere dein Anti-Viren-Programm wieder.

Ich danke dir

Hast du die ZIP hochgeladen? Ich seh nämlich nix

Ja habe ich. Unter der URL von diesem Beitrag.
Soll ich es nochmal machen?

Im Uploadchannel hochgeladen? Ich seh die Datei nicht.

Ja im Uploadchannel.
Habe es jetzt nochmal hochgeladen. Kannst du nochmal schauen ob es die Datei jetzt da ist?
Vielen dank nochmal für deine Hilf.

Ist immer noch nicht angekommen

Lade die ZIP bitte hier hoch => File-Upload.net - Dateien kostenlos hochladen!

Und poste im nächsten Beitrag hier den Link

File-Upload.net - Quarantine.zip

File-Upload.net - Quarantine.zip
Jetzt aber :-)

Den LINK kopieren...NICHT die Beschreibung