FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-1068205320-4282161214-3415222513-1000\...\Winlogon: [Shell] C:\Windows\Explorer.exe [3229696 2016-08-29] (Microsoft Corporation) <==== ACHTUNG
BHO: Kein Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Keine Datei
Task: {3CCC4D3C-D467-4696-972D-0514E301FA3F} - System32\Tasks\{EC78DDE1-A741-4341-BBED-965552EE07BA} => pcalua.exe -a C:\Users\Lepton\AppData\Local\Temp\Temp1_flashsfv26.zip\FlashSfv.exe <==== ACHTUNG
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Keine Datei <==== ACHTUNG
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Fixlog

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-05-2017 01
durchgeführt von Lepton (03-05-2017 23:09:19) Run:1
Gestartet von C:\Users\Lepton\Desktop\FRST
Geladene Profile: Lepton (Verfügbare Profile: Lepton)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKU\S-1-5-21-1068205320-4282161214-3415222513-1000\...\Winlogon: [Shell] C:\Windows\Explorer.exe [3229696 2016-08-29] (Microsoft Corporation) <==== ACHTUNG
BHO: Kein Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Keine Datei
Task: {3CCC4D3C-D467-4696-972D-0514E301FA3F} - System32\Tasks\{EC78DDE1-A741-4341-BBED-965552EE07BA} => pcalua.exe -a C:\Users\Lepton\AppData\Local\Temp\Temp1_flashsfv26.zip\FlashSfv.exe <==== ACHTUNG
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Keine Datei <==== ACHTUNG
emptytemp:
         
*****************

HKU\S-1-5-21-1068205320-4282161214-3415222513-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Wert erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} => Schlüssel erfolgreich entfernt
HKCR\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9} => Schlüssel nicht gefunden. 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3CCC4D3C-D467-4696-972D-0514E301FA3F} => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CCC4D3C-D467-4696-972D-0514E301FA3F} => Schlüssel erfolgreich entfernt
C:\Windows\System32\Tasks\{EC78DDE1-A741-4341-BBED-965552EE07BA} => erfolgreich verschoben
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{EC78DDE1-A741-4341-BBED-965552EE07BA} => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EB02381F-D652-4B1C-894A-712498C62C51} => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EB02381F-D652-4B1C-894A-712498C62C51} => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\MUI\LPRemove => Schlüssel erfolgreich entfernt

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 127689263 B
Java, Flash, Steam htmlcache => 532 B
Windows/system/drivers => 1124117923 B
Edge => 0 B
Chrome => 187804819 B
Firefox => 100470676 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 83492 B
systemprofile32 => 66520 B
LocalService => 82612 B
NetworkService => 35613 B
Lepton => 1749457123 B

RecycleBin => 0 B
EmptyTemp: => 3.1 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 23:11:08 ====
         

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hi, ich habe bereits MBAM Version 3 auf Platte! Ich werde jetzt die entsprechenden Scans durchführen und posten!

Hinweis: Als ich gestern SecurityCheck von dir (ich meine genauer, von Forum) verlinkten Seite downloaden wollte, kam bei Norton folgendes heraus (s. Bild)!

ja Norton halt
Ist ein Fehlalarm. Ich würde dir auch empfehlen ein anderes AV zu verwenden. Wird im Abschlussposting genauer behandelt wie und warum.

Ok! Hier schonmal MB:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 04.05.17
Scan-Zeit: 11:35
Protokolldatei: mbam.txt
Administrator: Ja

-Softwaredaten-
Version: 3.0.6.1469
Komponentenversion: 1.0.103
Version des Aktualisierungspakets: 1.0.1866
Lizenz: Premium

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Lepton-PC\Lepton

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 369247
Abgelaufene Zeit: 26 Min., 8 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)
         

Eset folgt...

es geht weiter mit Eset und SecurityC. (SC)!

Eset

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=66a8cbac531361439aa7bae38cb2bb62
# end=init
# utc_time=2017-05-04 10:06:41
# local_time=2017-05-04 12:06:41 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 33269
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=66a8cbac531361439aa7bae38cb2bb62
# end=updated
# utc_time=2017-05-04 10:11:17
# local_time=2017-05-04 12:11:17 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=66a8cbac531361439aa7bae38cb2bb62
# engine=33269
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2017-05-04 03:21:00
# local_time=2017-05-04 05:21:00 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1='Norton Security'
# compatibility_mode=3611 16777213 100 100 2047465 6302176 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 120335234 245541110 0 0
# scanned=434836
# found=30
# cleaned=0
# scan_time=18580
sh=86F4406F23C5550902564253890CF12FF55C4190 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Backup\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs_17_07_2014_13_34_45.js"
sh=33E3C4EA4197504CF2FBD8B03C0BB5C5B58FA08D ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Backup\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs_28_06_2014_19_48_48.js"
sh=ECC58B2A132EA5FC806E1EB5C00B403867CFE4D4 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Backup\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs_28_06_2014_20_02_02.js"
sh=BE40C0251D66829CF63FD4341CACA785CAF5CD73 ft=1 fh=afd5085e605741b5 vn="Win64/Toolbar.Conduit.B eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\Fun_Media_Bar_V9\hk64tbFun_.dll.vir"
sh=31819C285AD68587D8DABEC74FD7F447FF439CA5 ft=1 fh=20c4afc2b350ab06 vn="Win32/Toolbar.Conduit.X eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\Fun_Media_Bar_V9\prxtbFun_.dll.vir"
sh=531245BF0CCBF9341DCA56181388A8864A14EB03 ft=1 fh=ba6b0435fc2c0458 vn="Variante von Win32/Techsnab.B eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\GetPrivate\gpup.exe.vir"
sh=EAB622CFF6A82A438196DCFEECF5445B85DF2B57 ft=1 fh=4948853c4ff8d215 vn="Variante von Win32/YourFileDownloader eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\YourFileDownloader\uninstall.exe.vir"
sh=06536338ED1C35D59E0BEE885AE7664746E61D27 ft=1 fh=7e1143789c87a7c7 vn="Variante von Win32/ExpressDownloader.I eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\YourFileDownloader\YourFile.exe.vir"
sh=D86451022DDD8348105C1D52FBFD2ADB1E2DCC30 ft=1 fh=d3e706a6307522ba vn="Win32/Toolbar.Conduit.Y eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll.vir"
sh=314F703F0F190BF70F0386509C10998D4E2BD10B ft=1 fh=2f9f46df1834d950 vn="Win32/Toolbar.Conduit.Y eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Local\Conduit\BackgroundContainer\TBUpdaterLogic_1.0.0.1.dll.vir"
sh=D3CBDD7C6ED2C9D81DA4FCF9AF57CDD5D3711ED3 ft=1 fh=86dbe26399c3d0fa vn="Win32/Toolbar.Conduit.Y eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Local\Conduit\BackgroundContainer\TBUpdaterLogic_1.0.0.2.dll.vir"
sh=16068B8977B4DC562AE782D91BC009472667E331 ft=1 fh=c3b5a87b7d152749 vn="Variante von Win32/DownloadSponsor.A eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Local\Temp\OCS\ocs_v71a.exe.vir"
sh=31CE21FE36C11E107A6E315EFE1875743809B4CC ft=1 fh=48abcfa6ce4a4014 vn="Variante von Win32/DownloadSponsor.A eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Local\Temp\OCS\ocs_v71b.exe.vir"
sh=BE40C0251D66829CF63FD4341CACA785CAF5CD73 ft=1 fh=afd5085e605741b5 vn="Win64/Toolbar.Conduit.B eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\LocalLow\Fun_Media_Bar_V9\hk64tbFun_.dll.vir"
sh=547EF42FB35708E8C39FE6D04DBF3DEDD91E73DB ft=1 fh=99fdcb8395eefb1c vn="Variante von Win32/Toolbar.Conduit.X eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\LocalLow\Fun_Media_Bar_V9\ldrtbFun_.dll.vir"
sh=B5C93DA0C608B26C9487ABC49CCB643C9A15ED33 ft=1 fh=75f1c65aa8a331ed vn="Variante von Win32/PriceGong.A eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\LocalLow\Fun_Media_Bar_V9\plugins\{5E1360DC-8FA8-40df-A8CD-FC3831B3634B}\3.6.12\bin\PriceGongIE.dll.vir"
sh=531245BF0CCBF9341DCA56181388A8864A14EB03 ft=1 fh=ba6b0435fc2c0458 vn="Variante von Win32/Techsnab.B eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Roaming\GetPrivate\gp_upd.exe.vir"
sh=67AC12C2107B3A6666217005E05A2EE9F1CE646F ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\invalidprefs.js.vir"
sh=CB35C4745164C5D3843576421E0D2A7DA14C9B11 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\user.js.vir"
sh=9702D52FD703AB8544899779568F6666A2938A71 ft=0 fh=0000000000000000 vn="Win32/Conduit.SearchProtect.BC eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\Extensions\{40C3CC16-7269-4B32-9531-17F2950FB06F}\Chrome\CT2319825\content\popup.js.vir"
sh=9EA2EC35286E8B152E1B0FB0F7CB45ECE5DD1E94 ft=1 fh=1d1710bbc0b94508 vn="Variante von Win32/Conduit.SearchProtect.N eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\Extensions\{40C3CC16-7269-4B32-9531-17F2950FB06F}\ctypes\FirefoxCtype.dll.vir"
sh=C4B818C7A02DD8A7E718CA0AD32655CF8FBB6364 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\files\uugmtadrsvhiavvbbhbrpvztitnwrjai.back"
sh=609F2D4B1AE5C7177C44CCAF9309EFD16FC9E42D ft=1 fh=8551c46845849e5f vn="Variante von Win32/Toolbar.Iminent.E eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\files\idcrwttbhattyvqevezmioauocounyub\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}\TbHelper2.exe"
sh=22B1B0EAFDBB1229336F9D8187F9905A5DDEDF89 ft=1 fh=406c1e66a46fc082 vn="Variante von Win32/Toolbar.Iminent.E eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\files\idcrwttbhattyvqevezmioauocounyub\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}\uninstall.exe"
sh=88CA2B9C5E587306B08CF6EA239CA72775495695 ft=1 fh=b15f3040528a74fd vn="Variante von Win32/Toolbar.Iminent.E eventuell unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\files\idcrwttbhattyvqevezmioauocounyub\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}\update.exe"
sh=BACAE2EB64418BDEA5092CE7DA932A7808AC9D16 ft=0 fh=0000000000000000 vn="Java/Exploit.CVE-2011-3544.AV Trojaner" ac=I fn="C:\Users\Lepton\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\67960581-713da68e"
sh=57BB851781BF7B6171C1B3997147A33FAF5C7836 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.bak"
sh=A1D3DF2241C95608CFEBC89BE288BB8B19924F27 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.copy"
sh=782F519AF9CA5061A0590D433E820CFBAC376F55 ft=0 fh=0000000000000000 vn="JS/SecurityDisabler.A.Gen eventuell unerwünschte Anwendung" ac=I fn="C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.new"
sh=BA2C170D2D9B7A52B7646D4AAF2F79E1DDBB6E46 ft=0 fh=0000000000000000 vn="Variante von Win32/Toolbar.Iminent.E eventuell unerwünschte Anwendung" ac=I fn="C:\Windows\Installer\27356d.msi"
         

SC

Code: Alles auswählenAufklappen

ATTFilter

Results of screen317's Security Check version 1.009  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Norton Security   
Malwarebytes      
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Java 8 Update 131  
 Java version 32-bit out of Date! 
 Adobe Flash Player 25.0.0.148  
 Google Chrome (58.0.3029.96) 
 Google Chrome (SetupMetrics...) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamtray.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Lepton\AppData\LocalLow\Sun\Java\Deployment\cache\6.0
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.bak
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.copy
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.new
C:\Windows\Installer\27356d.msi
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Fixlog

Code: Alles auswählenAufklappen

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-05-2017 01
durchgeführt von Lepton (04-05-2017 21:26:00) Run:1
Gestartet von C:\Users\Lepton\Desktop\FRST
Geladene Profile: Lepton (Verfügbare Profile: Lepton)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\Users\Lepton\AppData\LocalLow\Sun\Java\Deployment\cache\6.0
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.bak
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.copy
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.new
C:\Windows\Installer\27356d.msi
emptytemp:

*****************

C:\Users\Lepton\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 => erfolgreich verschoben
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.bak => erfolgreich verschoben
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.copy => erfolgreich verschoben
C:\Users\Lepton\AppData\Roaming\Mozilla\Firefox\Profiles\vz8k3inq.default\prefs.js.new => erfolgreich verschoben
C:\Windows\Installer\27356d.msi => erfolgreich verschoben

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12150874 B
Java, Flash, Steam htmlcache => 709 B
Windows/system/drivers => 32137 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Lepton => 20991394 B

RecycleBin => 0 B
EmptyTemp: => 31.6 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 21:26:06 ====
         

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend müssen wir noch ein paar Schritte unternehmen, um dein System aufzuräumen und abzusichern.


Cleanup
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.



Absicherung
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen - sofern benötigt, wenn nicht benötigt natürlich sinnigerweise deinstallieren oder Alternativen verwenden (und diese aktuell halten).

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden; Sicherheitslücken werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Besonders aufpassen bzgl. der Aktualität musst du bei folgender Software:

• Browser (Internet Explorer, Edge, Firefox, Chrome, ...)
  
  
• Flash Player: Was Adobe mit seinem Flash Player veranstaltet, ist irgendwo zwischen Frechheit und Inkompetenz einzustufen; in dem Teil werden ständig neue dicke Sicherheitslücken gefunden - für YT reicht meistens HTML5 aus, das ist der Standardplayer wenn der Flash Player inaktiv oder nicht installiert ist; für spezielle Browsergames kann es aber sein, dass du den Flash Player brauchst. Nutze Flash so sparsam wie möglich und wenn dann immer aktuell halten!!
  
  
• Java: Spielt kaum noch eine Rolle. Fast nirgendwo werden mehr Java-Applets eingesetzt. Wird noch für spezielles Zeugs in OpenOffice genutzt, IIRC brauchen auch manche Games Java. Aber wirklich sehr selten.
  
  
• PDF-Reader: NICHT den AdobeReader benutzen, sondern besser sowas wie PDF-X-Change Viewer; der interne PDF-Betrachter vom Firefox reicht meist auch aus. Vermeide Adobe unbedingt, das ist eine Firma mit miserabler Sicherheitspolitik!

Optional:
NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden. Alternativen zu NoScript (wenn um das das Verhindern von Usertracking und Werbung auf Webseiten) geht wären da Ghostery oder uBlock. Ghostery ist eine sehr bekannte Erweiterung, die aber auch in Kritik geraten ist, vgl. dazu bitte diesen Thread => Ghostery schleift Werbung durch

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.




Virenscanner + Firewall
Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf!

Die Dinger sind mittlerweile auch unter Windows stark umstritten und können Probleme bereiten, die man so ohne AV einfach nicht haben wird. Zudem werden sie auch niemals jeden Schädling finden können. Aussagen der Anbieter dieser Software entpuppen sich regelmäßig als Marketinggeblubber. Lies dazu => Aus aktuellem Anlass: Antivirus-Schlangenöl | Elias Schwerdtfeger und => http://www.golem.de/news/antivirenso...12-125148.html

Verwende also MAXIMAL ein einziges der folgenden AVs mit Echtzeitscanner und stets aktueller Signaturendatenbank; verwende immer nur reine Virenscanner (keine Produkte mit Suite oder Internet Security in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird!)

• Emsisoft Anti-Malware (kostenpflichtig)
  
• Microsoft Security Essentials (kostenlos)

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und/oder mit dem ESET Online Scanner scannen.



Grundsätzliches
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups deiner wichtigen Dateien oder des Systems (genaueres unten im Lesestoff zu Backups)

Finger weg von Registry-Cleanern, Optimizern usw!!! - die Performancesteigerung ist umstritten bis ganz klar nicht belegbar, dafür hast du ein großes Risiko dein System zu zerstören v.a. bei Registry-Operationen. Das Beste ist, die windowseigene Datenträgerbereinigung zu verwenden - und die Registry in Ruhe zu lassen!

Lade Software immer von einem sauberen Portal wie . Finger weg von chip.de oder softonic!
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner.

Lesestoff:
Backup-/Image-Tools

IMHO sind Wiederherstellungspunkte nix weiter als eine Notlösung, wer sich auf was Funktionierendes verlassen will und muss, kommt um echte Backup/Imaging Software nicht herum. Ich nehme unter Windows immer Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64

Damit man sinnvolle Backups hat muss man regelmäßig zB wöchentlich ein Image auf eine separate externe Festplatte erstellen. Diese externe Festplatte wird nur dann angeschlossen, wenn man das Backup erstellen will (oder etwas wiederherstellen muss), sonsten bleibt sie aus Sicherheitsgründen sicher im Schrank verwahrt - allein schon aus dem Grund, die Backups vor Krypto-Trojaner zu schützen.



Option 1: Drivesnapshot
Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64
Download (32-Bit) => http://www.drivesnapshot.de/download/snapshot.exe
Download (64-Bit) => http://www.drivesnapshot.de/download/snapshot64.exe


Screenshots:
http://www.drivesnapshot.de/images/startup.png
http://www.drivesnapshot.de/images/save3.png


Es gibt da auch leicht abgespeckte Versionen von Acronis TrueImage gratis wenn man Platten von Seagate und/oder Western Digital hat. Vllt sagen diese Programme dir mehr zu. Mein Favorit aber ist das kleine o.g. Drivesnapshot.



Option 2: Seagate DiscWizard
Download => Seagate DiscWizard - Download - Filepony


Screenshots:
http://filepony.de/screenshot/seagate_discwizard5.jpg
http://filepony.de/screenshot/seagate_discwizard4.png
http://filepony.de/screenshot/seagate_discwizard3.jpg



Option 3: Acronis TrueImage WD Edition
Download => Acronis True Image WD Edition - Download - Filepony


Screenshots:
http://filepony.de/screenshot/acroni...d_edition1.jpg
http://filepony.de/screenshot/acroni...d_edition2.jpg

Ich hätte noch abschließend ein paar Fragen:

1. Ist das System jetzt vollkommen clean?
2. Wann und woher hat sich dieser DNS-Changer hineingeschlichen?
3. Im Autostart habe ich auch dieses unbekannte Programm
==> MSCONFIG\startupreg: qcgce2mrvjq91kk1e7pnbb19m52fx => C:\Users\Lepton\AppData\Local\Temp\iocgwtetccwqtaiux.exe
Steckte Malware dahinter?
4. Ist dieses "Java/Exploit.CVE-2011-3544.AV Trojaner" ac=I fn="C:\Users\Lepton\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\67960581-713da68e" auch verschwunden?

1. 100 % Sicherheit gibt es nicht. Auch wenn du ne Neuinstallation machst, spätestens beim ersten Gang ins Internet ist es vorbei mit 100%

2. das lässt sich nie genau nachvollziehen

3. ja ist ein Überrest, verwaister Autostart-Eintrag, einfach entfernen

4. ja siehe letzten FRST Fix

Klasse, vielen Dank für die umfassende Unterstützung! Dieses Forum ist ein Juwel unter den Malware-Huntern! Absolute Weiterempfehlung!

Beste Grüße