UCGuard nicht entfernbar und andere Malware

M-K-D-B · 06.11.2016, 21:04

Servus,

passt schon so.

Bitte alle Schritte aufmerksam durchlesen und genau so mit den genannten Optionen/Einstellungen, insbesondere bei AdwCleaner, anwenden!

Habe schon lange nicht mehr so viele Malware gesehen...

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
ShellExecuteHooks:  - {47BCB852-9E94-11E6-AEC8-64006A5CFC23} - C:\Users\Benjamin\AppData\Roaming\Hnentqerky\Domesanruent.dll Keine Datei [ ]
C:\Users\Benjamin\AppData\Roaming\Hnentqerky
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Keine Datei
SearchScopes: HKU\S-1-5-21-3046321304-749213656-246317510-1001 -> {467914D1-0A20-41D7-8496-E7B7AD0E48D4} URL = 
R2 Arakosatuhph; C:\Program Files (x86)\Phowert\qonakclecisycln.dll [274944 2016-11-04] () [Datei ist nicht signiert]
C:\Program Files (x86)\Phowert
S2 xecotyvo; kein ImagePath
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== ACHTUNG
Unlock: C:\WINDOWS\System32\drivers:ucdrv-x64.sys
C:\WINDOWS\System32\drivers:ucdrv-x64.sys
R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ACHTUNG
Unlock: C:\WINDOWS\System32\DRIVERS\ucguard.sys
C:\WINDOWS\System32\DRIVERS\ucguard.sys
Unlock: C:\Users\Benjamin\AppData\Roaming\wyUpdate AU
C:\Users\Benjamin\AppData\Roaming\wyUpdate AU
C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore
C:\WINDOWS\Tasks\UCBrowserUpdater.job
C:\WINDOWS\System32\Tasks\UCBrowserUpdater
C:\WINDOWS\System32\Tasks\SecureUpdater
C:\Users\Benjamin\AppData\Local\UCBrowser
C:\Program Files (x86)\UCBrowser
C:\ProgramData\Avira
C:\ProgramData\Avg
C:\ProgramData\AVAST Software
C:\WINDOWS\System32\Tasks\Cwspgajother Provider
C:\WINDOWS\System32\Tasks\090814979df9a1cbff315bc3871a6032
C:\Users\Public\Thunder Network
C:\Program Files (x86)\Phowert
C:\Users\Benjamin\AppData\Roaming\Hnentqerky
C:\Users\Benjamin\AppData\Local\Wisahoroly
C:\Users\Benjamin\Downloads\Cheat Bot Package.zip
Task: {2CA40D83-1939-47D2-A855-2F7A4FAB06E8} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-11-04] (UC Web Inc.) <==== ACHTUNG
Task: {33E118EB-0693-4BEC-88A4-A38AF88114D0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {40BD5A48-16A5-429F-85F3-0176EF3735A2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {43E0225D-0996-45E3-BC8E-A4C886C60E52} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-31] (UCWeb Inc) <==== ACHTUNG
Task: {64AAF96A-BD92-463B-BE03-B8B88DC23005} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {7A34A017-10ED-43F4-B3ED-275D45FE199B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
Task: {826CF2EA-D0DF-45E0-AF6A-95816F289396} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {96B2DA81-9A99-40BB-AC28-1AA2DB91F55E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {99363A44-6DEC-4356-B050-29265EFD2B77} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {9DC45D87-CD47-4FF5-B828-8EEAA989237A} - System32\Tasks\Cwspgajother Provider => C:\Program Files (x86)\Phowert\steiing.exe [2016-11-04] (Glarysoft Ltd)
Task: {A392F5FC-6486-4E05-AEBD-55CDEC33D22A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
Task: {A54A7010-1548-4C4B-A473-6223323ADCC3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei <==== ACHTUNG
Task: {A8B04EAC-2AF5-4B8A-86CA-687A402989E2} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-31] (UCWeb Inc) <==== ACHTUNG
Task: {D082025C-E335-415A-A00D-C3591ED52A58} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {D274DC96-E8BC-4642-92F0-F538D9913564} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Unlock: C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\UCBrowser
CMD: type "C:\iexplore.bat"
C:\iexplore.bat
CMD: type "C:\launcher.bat"
C:\launcher.bat
CMD: type "C:\Users\Benjamin\AppData\Roaming\2.txt"
Shortcut: C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk -> C:\iexplore.bat ()
Shortcut: C:\Users\Benjamin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk -> C:\iexplore.bat ()
Shortcut: C:\Users\Benjamin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\chrome.bat (Keine Datei)
Shortcut: C:\Users\Benjamin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk -> C:\iexplore.bat ()
ShortcutWithArgument: C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Node.js\Node.js command prompt.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /k "C:\Program Files\nodejs\nodevars.bat"
Unlock: C:\Program Files\nodejs
C:\Program Files\nodejs
AlternateDataStreams: C:\Windows:nlsPreferences [386]
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [360536]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1156450]
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- Image File Execution Options Schlüssel
- "Tracing" Schlüssel
- "Prefetch" Dateien
- Proxy
- Winsock
- Internet Explorer Richtlinien
- Chrome Richtlinien
- Chrome Einstellungen
Bestätige die Auswahl mit Ok.
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 5

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei von AdwCleaner,
die Logdatei von MBAM,
die Logdatei von JRT,
die beiden neuen Logdateien von FRST.

UCGuard nicht entfernbar und andere Malware

Log-Analyse und Auswertung: UCGuard nicht entfernbar und andere Malware

UCGuard nicht entfernbar und andere Malware

Ähnliche Themen: UCGuard nicht entfernbar und andere Malware