FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hi Cosinus,

gerne - hier ist sie:

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-10-2016
durchgeführt von Admin auf eins (01-11-2016 09:51:47) Run:1
Gestartet von C:\Users\eins\Desktop
Geladene Profile: eins & Admin auf eins (Verfügbare Profile: eins & Admin auf eins)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
emptytemp:

*****************

"HKU\S-1-5-21-3418458991-977026470-3051313295-1005\SOFTWARE\Policies\Microsoft\Internet Explorer" => Schlüssel erfolgreich entfernt

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17982097 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 11829 B
Edge => 0 B
Chrome => 0 B
Firefox => 55553640 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 66356 B
systemprofile32 => 65960 B
LocalService => 0 B
NetworkService => 271420 B
inel-eins => 297643696 B
Admin auf eins => 15733414 B

RecycleBin => 0 B
EmptyTemp: => 369.4 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:51:50 ====
         

Okay, dann Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

So, dann wolln mer mal:

MABM

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Scan Date: 01.11.2016
Scan Time: 15:46
Logfile: mbam.txt
Administrator: Yes

Version: 2.2.1.1043
Malware Database: v2016.11.01.08
Rootkit Database: v2016.10.31.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Admin auf eins

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 352211
Time Elapsed: 2 min, 1 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)
         

ESET

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=df7dc5b3782b8b4ebd6a562d605eedb0
# end=init
# utc_time=2016-11-01 02:57:24
# local_time=2016-11-01 03:57:24 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 31265
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=df7dc5b3782b8b4ebd6a562d605eedb0
# end=updated
# utc_time=2016-11-01 03:54:47
# local_time=2016-11-01 04:54:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=df7dc5b3782b8b4ebd6a562d605eedb0
# engine=31265
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-11-01 04:11:57
# local_time=2016-11-01 05:11:57 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 22272 229646567 0 0
# scanned=508937
# found=508
# cleaned=0
# scan_time=1029
sh=DDD7E789E67132CF6C5D8169B2F46E3498FCA60F ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\eins\AppData\Roaming\DIDBW"
sh=9413821E4285C46DAF48156B472065FC2D763FE8 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\eins\AppData\Roaming\FCG"
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\Users\eins\AppData\Roaming\Corel\Graphics11\Benutzer CorelPHOTO-PAINT\Benutzer-Voreinstellungen\Benutzer-Pinsel\README.hta"
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\Users\eins\Documents\README.hta"
...hier massig Funde von den readme.hta Dateien, die Cerber pro verschlüsseltem Ordner erstellt. Aber alle in meinem Ordner namens "vom Cerber am 27.10.16 verschlüsselt"...
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\vom Cerber am 27.10.16 verschlüsselt\eins\_Unsere Daten\Uschi\Weihnacht u. Neujahr\README.hta"
sh=01DC5B1CEC41C889C27A87B3D3233AAD658A7EF7 ft=0 fh=0000000000000000 vn="Win32/Filecoder.Cerber Trojaner" ac=I fn="C:\vom Cerber am 27.10.16 verschlüsselt\eins\_Unsere Daten\Verein\README.hta"
sh=36CB1A5D44626F1787AFAD6C9498F418E1E9B532 ft=1 fh=2ace01794e8a8b9a vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Common.dll"
sh=F921766E3F199DDF0F1A29767410D44F1E505347 ft=1 fh=c17c328ef6445ed2 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Communication.dll"
sh=B9C19D20B0D96E3D9C8E72ED0791C6FB2B77AAAD ft=1 fh=ff125595eb936734 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Communication.NamedPipe.dll"
sh=55A5A51FCCC8524D0912C882F30A25BC1843475F ft=1 fh=ee241c09135b086d vn="Variante von MSIL/Toolbar.Linkury.T evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Infrastructure.Utilities.dll"
sh=B95AB99B30A0CF4043CD92A33D5FE09E603E1ADC ft=1 fh=5342d8df52c830a3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Personalization.Common.dll"
sh=083E59D5CD3500CF0BBDFC59CC4B39645C5CA83A ft=1 fh=1b7719d2674458f9 vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll"
sh=4D19E1FC12C9F2D1BB673CB02511E4EE86B87EBE ft=1 fh=ec73789bd2de0d47 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\sppsm.dll"
sh=B9E7A461796E22B87226172152D83213002081AC ft=1 fh=74353f1bba4f89f2 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\spusm.dll"
sh=414B92ED8436DF7E9A419EC87EC89E82F2138D0D ft=1 fh=2b0843e909b31f3c vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srbhu.dll"
sh=7D37E07482CA5D2EDC014784A215917F63A294F5 ft=1 fh=a9866ae28e6f19a4 vn="Variante von MSIL/Toolbar.Linkury.F evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srbu.dll"
sh=0D453EE1699DFB5425FF950030B98D2BB78F782C ft=1 fh=81d42cc0c17a6de4 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srpt.dll"
sh=90948FD08FA61D38913DC0D988B830C55D0A45EC ft=1 fh=ed3bd3e2a46ff9be vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srptc.dll"
sh=5C24ED652A4145635BCCE2DB27A6CBF6A48518C6 ft=1 fh=475423da9134a418 vn="Variante von MSIL/Toolbar.Linkury.M.gen evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSI739E.tmp-\srut.dll"
sh=36CB1A5D44626F1787AFAD6C9498F418E1E9B532 ft=1 fh=2ace01794e8a8b9a vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Common.dll"
sh=F921766E3F199DDF0F1A29767410D44F1E505347 ft=1 fh=c17c328ef6445ed2 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Communication.dll"
sh=B9C19D20B0D96E3D9C8E72ED0791C6FB2B77AAAD ft=1 fh=ff125595eb936734 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Communication.NamedPipe.dll"
sh=78DFF1176D3C451ECADAD933E47CB53C5FD41112 ft=1 fh=55b0d56374442972 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.GUI.Controls.dll"
sh=725CDC037C027FCD32F110EEE1816C33731EDE20 ft=1 fh=56b71c00025bb224 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Infrastructure.BusinessEntities.dll"
sh=55A5A51FCCC8524D0912C882F30A25BC1843475F ft=1 fh=ee241c09135b086d vn="Variante von MSIL/Toolbar.Linkury.T evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Infrastructure.Utilities.dll"
sh=B95AB99B30A0CF4043CD92A33D5FE09E603E1ADC ft=1 fh=5342d8df52c830a3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Personalization.Common.dll"
sh=083E59D5CD3500CF0BBDFC59CC4B39645C5CA83A ft=1 fh=1b7719d2674458f9 vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll"
sh=E103041EF18E8763402BB931A4469605E99882F8 ft=1 fh=6c2c5200165ca4b8 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\Smartbar.Resources.Translations.dll"
sh=8B6287A98E7CC7403B070D2EF07C4E2BFCEF0403 ft=1 fh=c04b514b90e70a4d vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\spbe.dll"
sh=4D19E1FC12C9F2D1BB673CB02511E4EE86B87EBE ft=1 fh=ec73789bd2de0d47 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\sppsm.dll"
sh=B9E7A461796E22B87226172152D83213002081AC ft=1 fh=74353f1bba4f89f2 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\spusm.dll"
sh=414B92ED8436DF7E9A419EC87EC89E82F2138D0D ft=1 fh=2b0843e909b31f3c vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srbhu.dll"
sh=0993C65D332068F7DC335AD6C7EBB8E89B515CF0 ft=1 fh=4c6549bbd2148752 vn="Variante von MSIL/Toolbar.Linkury.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srbs.dll"
sh=7D37E07482CA5D2EDC014784A215917F63A294F5 ft=1 fh=a9866ae28e6f19a4 vn="Variante von MSIL/Toolbar.Linkury.F evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srbu.dll"
sh=0D453EE1699DFB5425FF950030B98D2BB78F782C ft=1 fh=81d42cc0c17a6de4 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srpt.dll"
sh=90948FD08FA61D38913DC0D988B830C55D0A45EC ft=1 fh=ed3bd3e2a46ff9be vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srptc.dll"
sh=598A3004CE4E0906A87B8B0D257F1A2450731D7D ft=1 fh=77cd37b41c4f7601 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srsl.dll"
sh=5C24ED652A4145635BCCE2DB27A6CBF6A48518C6 ft=1 fh=475423da9134a418 vn="Variante von MSIL/Toolbar.Linkury.M.gen evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIAE4F.tmp-\srut.dll"
sh=C04A1981E1149B4CBE557E6B65C6D055E9B7ADA6 ft=1 fh=7b34e2fab6860a42 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\lrrot.dll"
sh=8D9834969EFE5DF8BF2976D90B8AFC5D9445C859 ft=1 fh=8bfcb9f18948b1c3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\MACTrackBarLib.dll"
sh=56D47EC232E05B3673457E0A17AE078CABA6D6A7 ft=1 fh=09ead2139ed7bf9c vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Proxy.Lib.dll"
sh=81519E3C803165E070F52DB8719BFB335CEB3062 ft=1 fh=99030b2317573498 vn="Variante von MSIL/Toolbar.Linkury.X evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\ProxySettings.dll"
sh=2BAB16AD8F0E5A9C69A0D8CA6A2E43969FB4DAD4 ft=1 fh=5d50283718548428 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\siem.dll"
sh=0AA9A7E489E580285BF9AD402AC014BF402F9077 ft=1 fh=c38905d4e80bcb35 vn="Variante von MSIL/Toolbar.Linkury.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sipb.dll"
sh=8C004FB58E45F5853011E69EDB82134CF8966F74 ft=1 fh=8a0b31cf1338c71f vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sismlp.dll"
sh=36CB1A5D44626F1787AFAD6C9498F418E1E9B532 ft=1 fh=2ace01794e8a8b9a vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Common.dll"
sh=F921766E3F199DDF0F1A29767410D44F1E505347 ft=1 fh=c17c328ef6445ed2 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Communication.dll"
sh=B9C19D20B0D96E3D9C8E72ED0791C6FB2B77AAAD ft=1 fh=ff125595eb936734 vn="Variante von MSIL/Toolbar.Linkury.AP evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Communication.NamedPipe.dll"
sh=78DFF1176D3C451ECADAD933E47CB53C5FD41112 ft=1 fh=55b0d56374442972 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.GUI.Controls.dll"
sh=8F81CBC514857938F9298FAA77A72060D1CCDD1F ft=1 fh=a587aae94e107416 vn="Variante von MSIL/Toolbar.Linkury.AC evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.GUI.Docking.dll"
sh=725CDC037C027FCD32F110EEE1816C33731EDE20 ft=1 fh=56b71c00025bb224 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Infrastructure.BusinessEntities.dll"
sh=55A5A51FCCC8524D0912C882F30A25BC1843475F ft=1 fh=ee241c09135b086d vn="Variante von MSIL/Toolbar.Linkury.T evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Infrastructure.Utilities.dll"
sh=380E6BF22344DF15BDA721756BBA8600CBFFF400 ft=1 fh=50a6b13da43d2e33 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Monetization.Proxy.ProxyService.dll"
sh=B95AB99B30A0CF4043CD92A33D5FE09E603E1ADC ft=1 fh=5342d8df52c830a3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Personalization.Common.dll"
sh=083E59D5CD3500CF0BBDFC59CC4B39645C5CA83A ft=1 fh=1b7719d2674458f9 vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll"
sh=7A411A1466270DAAB35DF3BB4D230ECCF33B3E7A ft=1 fh=2b921e0f4de38891 vn="Variante von MSIL/Toolbar.Linkury.AN evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.LanguageSettings.dll"
sh=D034F5C7973D8E8865E07C8C491290007D751253 ft=1 fh=d53322914a970544 vn="Variante von MSIL/Toolbar.Linkury.E evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.LanguageSettings.resources.dll"
sh=881174B8B2BCFF1818530A083B4B47F38D2DFB2E ft=1 fh=7106a6c503cbf6b4 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.SocialNetsSharer.dll"
sh=6B506C1A2B70DECFF290A1751D564A8C4CF763EF ft=1 fh=73a347fc14c4e2f3 vn="Variante von MSIL/Toolbar.Linkury.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.SocialNetsSharer.XmlSerializers.dll"
sh=E103041EF18E8763402BB931A4469605E99882F8 ft=1 fh=6c2c5200165ca4b8 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\Smartbar.Resources.Translations.dll"
sh=8B6287A98E7CC7403B070D2EF07C4E2BFCEF0403 ft=1 fh=c04b514b90e70a4d vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spbe.dll"
sh=19C3579C68281C5BB49E443422606503DF46ED43 ft=1 fh=204776e3cf249c1f vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spbl.dll"
sh=4D19E1FC12C9F2D1BB673CB02511E4EE86B87EBE ft=1 fh=ec73789bd2de0d47 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sppsm.dll"
sh=D4F3D72B7DDC0CF50A196011BF9CDE3D475264AB ft=1 fh=94dffed46abd195a vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spsm.dll"
sh=B9E7A461796E22B87226172152D83213002081AC ft=1 fh=74353f1bba4f89f2 vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\spusm.dll"
sh=414B92ED8436DF7E9A419EC87EC89E82F2138D0D ft=1 fh=2b0843e909b31f3c vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srbhu.dll"
sh=0993C65D332068F7DC335AD6C7EBB8E89B515CF0 ft=1 fh=4c6549bbd2148752 vn="Variante von MSIL/Toolbar.Linkury.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srbs.dll"
sh=7D37E07482CA5D2EDC014784A215917F63A294F5 ft=1 fh=a9866ae28e6f19a4 vn="Variante von MSIL/Toolbar.Linkury.F evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srbu.dll"
sh=DEB1FD295F45FC207A8B9114044968E50FD172CC ft=1 fh=850d1ac4f8b066ab vn="Variante von MSIL/Toolbar.Linkury.V evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\sreu.dll"
sh=EE29F7CCDFA3DE027BC2BC9973C10E90985E0E04 ft=1 fh=3a784f68cfc0d3e3 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srns.dll"
sh=11E13D0BA300555917B475D2EF99391FC835A2F7 ft=1 fh=bb59c0adef7eda9a vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srpdm.dll"
sh=B3191396211876AD9C9584B6BF9CA3460E935AB4 ft=1 fh=c9c86abef631474d vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srprl.dll"
sh=0D453EE1699DFB5425FF950030B98D2BB78F782C ft=1 fh=81d42cc0c17a6de4 vn="Variante von MSIL/Toolbar.Linkury.AL evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srpt.dll"
sh=90948FD08FA61D38913DC0D988B830C55D0A45EC ft=1 fh=ed3bd3e2a46ff9be vn="Variante von MSIL/Toolbar.Linkury.G evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srptc.dll"
sh=D7736EED844DC36F32DAC1A35F8482CC068A9063 ft=1 fh=966fb7ffe3f01c9b vn="Variante von MSIL/Toolbar.Linkury.I evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srpu.dll"
sh=F677AC93424B46123DE7FD9AA740A9DC1ECFCE00 ft=1 fh=a0161e71c3b85031 vn="Variante von MSIL/Toolbar.Linkury.AM evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srsbs.dll"
sh=598A3004CE4E0906A87B8B0D257F1A2450731D7D ft=1 fh=77cd37b41c4f7601 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srsl.dll"
sh=34F405329A02F6DB00EB6A10501B21B28876B638 ft=1 fh=3f33a43cf7adad81 vn="Variante von MSIL/Toolbar.Linkury.AO evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srus.dll"
sh=5C24ED652A4145635BCCE2DB27A6CBF6A48518C6 ft=1 fh=475423da9134a418 vn="Variante von MSIL/Toolbar.Linkury.M.gen evtl. unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\MSIF992.tmp-\srut.dll"
         

und SecurityCheck

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 1.009  
 Windows 7 Service Pack 1 x64 (UAC is disabled!)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
`````````Anti-malware/Other Utilities Check:````````` 
 Java 8 Update 111  
 Java version 32-bit out of Date! 
 Mozilla Firefox (49.0.2) 
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

... noch eine Frage: Im gestrigen Verlauf war es ja so, dass erst Combofix die drei Firefox Dateien gelöscht hat:
c:\program files (x86)\FireFox\plugin-container.exe
c:\program files (x86)\FireFox\uninstall\helper.exe
c:\program files (x86)\FireFox\updater.exe

und dann hat der ADWcleaner anschließend noch den ganzen Firefox Ordner gelöscht:
[-] Ordner gelöscht: C:\Program Files (x86)\Firefox


Die drei genannten exe-Files hatte ich online auf Befall geprüft (auf virustotal.com), die waren ohne Befund. Kannst Du mir sagen, warum sich Combofix und ADW einig waren, dass mit dem Firefox was nicht stimmte?

Danke,
Wechselbalg

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\eins\AppData\Roaming\DIDBW
C:\Users\eins\AppData\Roaming\FCG
C:\Windows\Installer\MSI739E.tmp
C:\Windows\Installer\MSIAE4F.tmp-
C:\Windows\Installer\MSIF992.tmp-
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 30-10-2016
durchgeführt von Admin auf eins (02-11-2016 13:01:37) Run:3
Gestartet von C:\Users\eins\Desktop
Geladene Profile: Admin auf eins (Verfügbare Profile: eins & Admin auf eins)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\Users\eins\AppData\Roaming\DIDBW
C:\Users\eins\AppData\Roaming\FCG
C:\Windows\Installer\MSI739E.tmp
C:\Windows\Installer\MSIAE4F.tmp-
C:\Windows\Installer\MSIF992.tmp-
emptytemp:

*****************

C:\Users\eins\AppData\Roaming\DIDBW => erfolgreich verschoben
C:\Users\eins\AppData\Roaming\FCG => erfolgreich verschoben
"C:\Windows\Installer\MSI739E.tmp" => nicht gefunden.
C:\Windows\Installer\MSIAE4F.tmp- => erfolgreich verschoben
C:\Windows\Installer\MSIF992.tmp- => erfolgreich verschoben

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 3798988 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 2905 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
eins => 0 B
Admin auf eins => 5416274 B

RecycleBin => 0 B
EmptyTemp: => 8.8 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 13:01:37 ====
         

Den Ordner "MSI739E.tmp" gab es schon, der hatte aber wie die beiden anderen noch ein Minusstrich hinten dran. Ich habe ihn jetzt manuell gelöscht.

Ok. Was ist jetzt noch an Problemen offen? Abgesehen von den verschlüsselten Files, die kann man nicht durch reinigen entschlüsseln

Danke für Deine Hilfe, Cosinus.

Die Frage, die ich mir stelle, ist: warum musste der Firefox dran glauben?
Im Verlauf war es ja so, dass erst Combofix die drei Firefox Dateien gelöscht hat:
c:\program files (x86)\FireFox\plugin-container.exe
c:\program files (x86)\FireFox\uninstall\helper.exe
c:\program files (x86)\FireFox\updater.exe

und dann hat der ADWcleaner anschließend noch den ganzen Firefox Ordner gelöscht:
[-] Ordner gelöscht: C:\Program Files (x86)\Firefox


Die drei genannten exe-Files hatte ich online auf Befall geprüft (auf virustotal.com), die waren ohne Befund. Kannst Du mir sagen, warum sich Combofix und ADW einig waren, dass mit dem Firefox was nicht stimmte?

Zitat:

c:\program files (x86)\FireFox

Das ist KEIN Standardpfad für den Browser von Mozilla! Der lautet nämlich

a) bei einem 32-Bit-Firefox auf einem 32-Bit-Windows: C:\Program Files\Mozilla Firefox

b) bei einem 32-Bit-Firefox auf einem 64-Bit-Windows: C:\Program Files (x86)\Mozilla Firefox

c) bei einem 64-Bit-Firefox auf einem 64-Bit-Windows: C:\Program Files\Mozilla Firefox

Ahja - das lag an mir. Da hatte ich in den hininstalliert.

Ok, danke nochmal für Deine schnelle Hilfe.

also das ist für mich die plausibelste Erklärung


Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.


Cleanup:


Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen - sofern benötigt, wenn nicht benötigt natürlich sinnigerweise deinstallieren oder Alternativen verwenden (und diese aktuell halten).

• Browser (Internet Explorer, Edge, Firefox, Chrome, ...)
• Java (bitte wirklich nur installieren/installiert lassen wenn unbedingt nötig!)
• Flash-Player (nach Möglichkeit deinstallieren und HTML5 verwenden siehe zB https://www.youtube.com/html5 )
• PDF-Reader (nach Möglichkeit nicht den Adobe Reader verwenden)

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und/oder mit dem ESET Online Scanner scannen.

Optional:

NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden. Alternativen zu NoScript (wenn um das das Verhindern von Usertracking und Werbung auf Webseiten) geht wären da Ghostery oder uBlock. Ghostery ist eine sehr bekannte Erweiterung, die aber auch in Kritik geraten ist, vgl. dazu bitte diesen Thread => Ghostery schleift Werbung durch

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.