Hejo, bin der Multiblub und bin seit heute neu hier und das hier wird mein First Thread.

Habe seit ein paar Wochen ein Problem und zwar, wenn ich mehrere Sachen am PCs offen habe (Internet Browser, Ts3, Steam und Excel/Word etc. oder Spiele) dann minimiert sich diverse Sachen von selbst und öffnet die Sachen, die minimiert sind. (Heute früh war es noch extravaganter, als ich um 03:00 Eve Online spielte und das Spiel plötzlich minimiert wurde und hatte zu diesem Zeitpunkt nur ts3, Firefox „YouTube wegen Musik“ im Hintergrund offen) Ich habe keine Ahnung was das sein könnte, aber es nervt mit der Zeit.

Ich habe das Gefühl, als würde mein PC, durch irgendwas gestört (heimlicher Remote) aber das kann ich mir so nicht vorstellen. Habe das Problem seit längerem auch wenn ich vor 2-3 Wochen mein PC neuformatieren musste...

Ich habe auch zu diesem Problem, vorher in Computer Base geschrieben und die Leute dort meinten, ich sollte lieber das im (Trojaner-board) berichten/schreiben, da ich hier richtig wäre, wenn es um hartnäckige Probleme geht.

Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist

Los geht's

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

hxxp://www.trojaner-board.de/attachment.php?attachmentid=77574&stc=1&d=1455587580

Schritt 1,
Starte bitte wieder Malwarebytes Anti-Malware

• Klicke auf die Einstellungen / Erkennung und Schutz und setze dabei den Haken bei "Nach Rootkits suchen"
• Klicke im Anschluss auf Dashboard und klicke unter dem Punkt Datenbankversion auf "Jetzt aktualisieren"
• Wechsle zum Reiter Scannen und wähle den Bedrohungssuchlauf aus und klicke im Anschluss auf Suchlauf starten
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlaufprotokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Bitte poste dein Ergebnis zwischen Code-Tags
Wenn ein Log zu lange ist, teile ihn bitte auf mehrere Antworten.

Code-Tags?

Drücke einfach die # in Antwortfenster und füge den Log dazwischen ein

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 16.02.2016
Suchlaufzeit: 15:17
Protokolldatei: Malwarebytes log.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2016.02.16.03
Rootkit-Datenbank: v2016.02.08.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Cem

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 346053
Abgelaufene Zeit: 4 Min., 17 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hinweis: Dieser Scan kann schon einmal mehrere Stunden dauern...

Schritt2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Habe alles schritt für schritt verfolgt, aber nach dem Abschnitt „Fertig stellen“ crasht das programm
hxxp://www.trojaner-board.de/attachment.php?attachmentid=77591&stc=1&d=1455662516

hm ungewöhnlich.

Versuchen wir das hier

Downloade Dir HitmanProauf Deinen Desktop:

HitmanPro-32 Bit Version
HitmanPro-64 Bit Version

• Starte die HitmanPro.exe
• Klicke auf
  
• Entferne den Haken bei
  
• Klicke auf
  und
• Akzeptiere die Lizenzbedingungen und klicke auf
• Klicke auf
  
  und auf
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

Code: Alles auswählenAufklappen

ATTFilter

HitmanPro 3.7.12.256
www.hitmanpro.com

   Computer name . . . . : MULTIBLUB
   Windows . . . . . . . : 6.3.0.9600.X64/8
   User name . . . . . . : MULTIBLUB\Cem
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2016-02-17 16:43:39
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 46s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 3

   Objects scanned . . . : 1*708*137
   Files scanned . . . . : 23*674
   Remnants scanned  . . : 407*747 files / 1*276*716 keys

Suspicious files ____________________________________________________________

   C:\Users\Cem\Downloads\FRST64.exe
      Size . . . . . . . : 2*370*560 bytes
      Age  . . . . . . . : 1.6 days (2016-02-16 02:39:10)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 0303923E42228B428835250FD5602A6BC77387CB9A6CECF839673B9176D6B4F2
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Windows\SysWOW64\GameMon.des
      Size . . . . . . . : 3*916*368 bytes
      Age  . . . . . . . : 22.7 days (2016-01-26 00:42:39)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : C2FA0CBBF038F74F8A30F86E289C09D488A36285BF6BBD45CD44C855F6696B1B
      Product  . . . . . : nProtect Game Monitor
      Publisher  . . . . : INCA Internet Co., Ltd.
      Description  . . . : nProtect Game Monitor Rev 2368
      Version  . . . . . : 2016.1.10.1
      RSA Key Size . . . : 2048
      Service  . . . . . : npggsvc
      LanguageID . . . . : 1042
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 25.0
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
         Starts automatically as a service during system bootup.
         Program is code signed with a valid Authenticode certificate.
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\
      Forensic Cluster
         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\
         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\0npgl.erl
         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgl.erl
         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\1npgl.erl
         -12.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\GameGuard.ver
         -12.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\BnSNCW.ini
         -12.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgmup.des
         -12.2s C:\Program Files\Common Files\INCA Shared\OnlineEngine\
         -12.2s C:\Program Files\Common Files\INCA Shared\
         -8.5s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\GameMon.des
         -8.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgg9x.des
         -8.1s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npggNT.des
         -8.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npsc.des
         -7.9s C:\Windows\SysWOW64\nppt9x.vxd
         -7.8s C:\Windows\SysWOW64\npptNT2.sys
         -7.7s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\splash.jpg
         -6.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\ggscan.des
         -6.1s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\ggerror.des
         -5.9s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgmup.des.new
         -5.7s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npggNT64.des
         -3.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\GameMon64.des
          0.0s C:\Windows\SysWOW64\GameMon.des
          1.5s C:\Users\Cem\Documents\BnS\
          1.5s C:\Users\Cem\Documents\BnS\NCWEST\
         22.4s C:\Users\Cem\Documents\BnS\NCWEST\ClientConfiguration.xml
         22.4s C:\Users\Cem\Pictures\BnS\
         22.4s C:\Users\Cem\Pictures\BnS\CharacterShot\
         22.4s C:\Users\Cem\Pictures\BnS\SummonedShot\
         22.4s C:\Users\Cem\Pictures\BnS\CharacterCustomize\
         

Zitat:

Zitat von burningice

Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

das brauche ich trotzdem noch

hxxp://www.trojaner-board.de/attachment.php?attachmentid=77598&stc=1&d=1455727138

Verwendest du Pywin32 bzw. eine Python Erweiterung für Windows auf deinem Computer?

Hast du noch irgendwelche Probleme mit deinem Rechner?

Zitat:

Zitat von burningice

Verwendest du Pywin32 bzw. eine Python Erweiterung für Windows auf deinem Computer?

Hast du noch irgendwelche Probleme mit deinem Rechner?

Nein die beiden Sachen kenne ich noch gar nicht. :/

Ne sonnst habe ich keine Probleme am PC.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

FF SearchEngineOrder.1: Sichere Suche
FF SelectedSearchEngine: Sichere Suche
FF NetworkProxy: "type", 0
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-02-2016
durchgeführt von Cem (2016-02-18 16:01:35) Run:1
Gestartet von C:\Users\Cem\Desktop
Geladene Profile: Cem (Verfügbare Profile: Cem)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
FF SearchEngineOrder.1: Sichere Suche
FF SelectedSearchEngine: Sichere Suche
FF NetworkProxy: "type", 0
emptytemp:
*****************

FF SearchEngineOrder.1: Sichere Suche => nicht gefunden
FF SelectedSearchEngine: Sichere Suche => nicht gefunden
Firefox Proxy-Einstellungen wurden zurückgesetzt
EmptyTemp: => 437.1 MB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende von Fixlog 16:01:44 ====