Servus,


wir entfernen die letzten Reste und kontrollieren nochmal alles.









Schritt 1
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

• Starte die HitmanPro.exe
• Klicke auf
  
• Entferne den Haken bei
  
• Klicke auf
  und
• Akzeptiere die Lizenzbedingungen und klicke auf
• Klicke auf
  
  und auf
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

 

Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort

• die Logdatei von HitmanPro,
• die Beantwortung der gestellten Fragen.

Zitat:

Zitat von M-K-D-B

Fehlen noch die beiden neuen Logdateien von FRST.

Hey, so schnell bin ich nicht.

Zitat:

Zitat von taduli

Hey, so schnell bin ich nicht.

Du hast alles richtig gemacht.

Hier geht es jetzt weiter.

Hier der Hitman-Log:

Code: Alles auswählenAufklappen

ATTFilter

HitmanPro 3.7.14.265
www.hitmanpro.com

   Computer name . . . . : MAS-HP
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : Mas-HP\Mas
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2016-07-10 11:50:12
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 4m 42s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 8

   Objects scanned . . . : 1.923.488
   Files scanned . . . . : 51.133
   Remnants scanned  . . : 354.444 files / 1.517.911 keys

Suspicious files ____________________________________________________________

   C:\Users\Mas\Desktop\FRST-OlderVersion\FRST64.exe
      Size . . . . . . . : 2.390.016 bytes
      Age  . . . . . . . : 1.5 days (2016-07-08 23:14:28)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 7794F8C87CF1B998C5F69D8A60420658B0E22DD69BB1A91C3D1D1FF1C713858F
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Users\Mas\Desktop\FRST64.exe
      Size . . . . . . . : 2.390.016 bytes
      Age  . . . . . . . : 0.1 days (2016-07-10 09:36:24)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : A5F19C76C3E67F6C112A368E04E62DD6A6D6E7A5BEC7820D1B047A3BB8899F67
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
      Forensic Cluster
         -0.2s C:\Users\Mas\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\5080DC7A65DB6A5960ECD874088F3328_C7B398B93BFA7397A840C520A0E096A2
         -0.2s C:\Users\Mas\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\5080DC7A65DB6A5960ECD874088F3328_C7B398B93BFA7397A840C520A0E096A2
         -0.2s C:\Users\Mas\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\AD93EFAA98C44CFDF0C0461C0035283C_522D80A7B1474F1D292BDD8D27E44430
         -0.2s C:\Users\Mas\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\AD93EFAA98C44CFDF0C0461C0035283C_522D80A7B1474F1D292BDD8D27E44430
          0.0s C:\Users\Mas\Desktop\FRST64.exe
          3.6s C:\Users\Mas\Desktop\FRST-OlderVersion\


Potential Unwanted Programs _________________________________________________

   keyword.URL
   C:\Users\Mas\AppData\Roaming\Mozilla\Firefox\Profiles\cvlvrze3.default\prefs.js

   HKLM\SOFTWARE\Classes\.torrent\iLivid.torrent_backup (iLivid)
   HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}\ (FLV Player)
   HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Classes\.torrent\iLivid.torrent_backup (iLivid)
   HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\SnapDo.exe (FLV Player)
   HKU\S-1-5-21-2856982752-327615534-2607958787-1001_Classes\.torrent\iLivid.torrent_backup (iLivid)
         

Zu Deiner Frage: Probleme im Sinne von "funktioniert nicht" hatte ich ja keine. Mal abgesehen davon, daß ich seit Windows 7 mit meinem Multifunktionsgerät nicht mehr scannen kann. Das habe ich aber aufgegeben, weil nicht einmal das Support-Forum von HP hat Hilfestellung geben können.

Ansonsten alles klar soweit ich sehe.

Sag mal, wie kannst Du eigentlich hier posten, wenn Du angeblich offline bist ?

Servus,

Zitat:

Zitat von taduli

Sag mal, wie kannst Du eigentlich hier posten, wenn Du angeblich offline bist ?

Ich werde immer als "offline" angezeigt, egal of ich wirklich "offline" oder "online" bin... hab früher zu viele PMs bekommen.
Man soll das Forum nutzen und nicht PMs schreiben. Das ist der Grund.







Reste entfernen
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

start
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Classes\.torrent\iLivid.torrent_backup
CMD: reg delete "HKLM\SOFTWARE\Classes\.torrent" /v iLivid.torrent_backup /f
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
DeleteKey: HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Classes\.torrent\iLivid.torrent_backup
DeleteKey: HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\SnapDo.exe
Reboot:
end
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Die Fixlog von FRST gleich posten, da diese sonst mit DelFix (siehe weiter unten) automatisch entfernt wird!











Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Cleanup:
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.





Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.




Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.




Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.




Optional:
Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .




Abschließend noch ein paar grundsätzliche Bemerkungen:

• Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hier das fixlog.txt:

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09-07-2016
durchgeführt von Mas (2016-07-10 16:00:30) Run:2
Gestartet von C:\Users\Mas\Desktop
Geladene Profile: Mas (Verfügbare Profile: Mas)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Classes\.torrent\iLivid.torrent_backup
CMD: reg delete "HKLM\SOFTWARE\Classes\.torrent" /v iLivid.torrent_backup /f
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
DeleteKey: HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Classes\.torrent\iLivid.torrent_backup
DeleteKey: HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\SnapDo.exe
Reboot:
end
*****************

Prozess erfolgreich geschlossen.
HKLM\SOFTWARE\Classes\.torrent\iLivid.torrent_backup => Schlüssel nicht gefunden. 

=========  reg delete "HKLM\SOFTWARE\Classes\.torrent" /v iLivid.torrent_backup /f =========

Der Vorgang wurde erfolgreich beendet.


========= Ende von CMD: =========

HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113} => konnte nicht entfernt werden im ersten Versuch (ErrorCode: C0000121), siehe nächste Zeile.
HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113} => Schlüssel erfolgreich entfernt
HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Classes\.torrent\iLivid.torrent_backup => Schlüssel nicht gefunden. 
HKU\S-1-5-21-2856982752-327615534-2607958787-1001\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\SnapDo.exe => Schlüssel nicht gefunden. 


Das System musste neu gestartet werden.

==== Ende von Fixlog 16:00:31 ====
         

Von meiner Seite aus ist jetzt wohl alles erledigt. (Es sei denn im letzten Log findest Du noch etwas).

Damit können wir das hier beenden. VIELEN DANK !

Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.