Liebe Trojaner-Board-Experten,
ich könnte gerade gut Eure Hilfe brauchen: Ich habe eine ältere Mikroskop-Okular-Kamera gekauft und suchte im Internet nach einem Treiber dafür. Nach längerer Suche glaubte ich fündig geworden zu sein und lud die Datei herunter. Eine Prüfung mit Malwarebytes ergab keine Beanstandung (oder ich habe sie übersehen). Das Programm lud dann ein weiteres Programm nach. Das habe ich dann entweder gespeichert oder ausgeführt, und dann gings los. Es tauchten plötzlich Programmfenster und Taskleistensysmbole auf (Power-Downloader und Stoppuhr oder so) und der Microsoft Virenkiller meldete ein Problem. Ich habe den Rechner dann schnell runtergefahren. Bei einem neuen Start ging es gleich wieder los und ich habe den Rechner wieder schnell runtergefahren. Dann habe ich eine Bitdefender- Rettungs-CD erstellt, damit den Rechner gestartet und untersucht. Ergebnis war ca. 40 Bedrohungen in 200 Dateien. Die Reinigung war nur zu 75% möglich. Ein Durchlauf mit einer Avast Rettungs-CD entfernte weitere Bedrohungen (siehe Log). Bitdefender findet hinterher noch, was auf dem zweiten Bild zu sehen ist. Den Rechner kann ich hochfahren, aber dann legen die netten kleinen Progrämmchen sofort los.

Könnt Ihr mir hier weiterhelfen? Ich bin in Sachen Computer sonst ganz passabel sachkundig, komme hier aber nicht weiter.

Vielen Dank + viele Grüße,

Bob

Mit Avast oder Avira wirst du hier nicht weit kommen... diese AV-Hersteller sind bei der Erkennung von Adware schlecht aufgestellt.




Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?







Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias,

vielen Dank für Deine Hilfe!
Die Nutzungsregeln habe ich schon vorher gelesen, und versuche, sie immer zu beachten.
Anbei die beiden Dateien. Der Rechner habe ich vorher vom Internet abgeklemmt.

Viele Grüße,
Bob

Adware ohne Ende.... wir fangen erst mal so an:







Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden:

• Deinstalliere über die Systemsteuerung (Bebilderte Anleitung):
  • bestDownloader
  • cleanComputerNew
  • CPUID CPU-Z
  • eweew3grthrtvew
  • FastDataX
  • Multitimer
  • One System Care
  • Up Pro
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallationen erfolgreich war.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • IFEO-Schlüssel löschen
  • Firewall wiederherstellen
  • Tracing Schlüssel löschen
  • IPSec wiederherstellen
  • Prefetch-Dateien löschen
  • BITS wiederherstellen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 3

• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der Deinstallationen,
• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die zwei neuen Logdateien von FRST.

Deinstallieren:
-FastData X: FehlermeldungRuntime error (at 35:459) Could not call proc.
-Multitimer: Some elements can be removed manually

Rest war normal zu deinstallieren.

ADWCleaner lief normal durch, MBAM ebenfalls.

Es waren nur 154 Bedrohungen, also halb so schlimm!

Gut gemacht.


Das Programm "Seal One" hast du bewusst / absichtlich installiert?



So geht es weiter:




Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|chip 1-click installer.exe
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|CHIP Active Download.exe
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|CHIP Starter.exe
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|CHIP Updater.exe
  DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Chip Digital GmbH|chip1click|SplashForm.exe
  HKU\S-1-5-21-1041274668-1386125221-86827588-1001\...\Run: [VolID] => C:\Users\Aspire\AppData\Roaming\VolID.url [108 2018-11-27] ()
  C:\Users\Aspire\AppData\Roaming\VolID.url
  Startup: C:\Users\Aspire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2018-09-10] ()
  CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
  SearchScopes: HKU\S-1-5-21-1041274668-1386125221-86827588-1001 -> DefaultScope {500CEA1B-9795-42D4-9958-C3EA09FAA62C} URL = 
  SearchScopes: HKU\S-1-5-21-1041274668-1386125221-86827588-1001 -> {500CEA1B-9795-42D4-9958-C3EA09FAA62C} URL = 
  SearchScopes: HKU\S-1-5-21-1041274668-1386125221-86827588-1001 -> {85A60A59-D3D8-468F-B598-FB4393789EF4} URL = hxxps://www.google.de/search?q={searchTerms}
  BHO: Kein Name -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Keine Datei
  BHO-x32: Kein Name -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Keine Datei
  FF Extension: (Avast Online Security) - C:\Users\Aspire\AppData\Roaming\Mozilla\Firefox\Profiles\si2djoha.default-1509270631071\Extensions\wrc@avast.com.xpi [2018-10-28]
  FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\firefox.js [2018-11-27]
  S3 CZCanSrv; C:\Program Files (x86)\Common Files\Carl Zeiss\CZCanSrv.exe [X]
  S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
  S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
  S2 MTBService_2.1.0.8; "C:\Program Files\Carl Zeiss\MTB 2011 - 2.1.0.8\MTB Server Console\MTBService.exe" [X]
  2018-11-27 19:10 - 2018-11-28 10:52 - 000000000 ____D C:\Program Files\6F1MYS9U14
  2018-11-27 19:10 - 2018-11-28 06:49 - 000000000 ____D C:\Program Files\ZCD0YPDB7P
  2018-11-27 19:09 - 2018-11-30 23:27 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
  2018-11-27 19:09 - 2018-11-27 19:09 - 000000116 _____ C:\Users\Aspire\AppData\Roaming\iplog.url
  2018-11-27 19:09 - 2018-11-27 19:09 - 000000108 _____ C:\Users\Aspire\AppData\Roaming\VolID.url
  2018-11-27 19:08 - 2018-12-01 15:07 - 000000000 ____D C:\Program Files (x86)\Multitimer
  2018-11-27 19:08 - 2018-12-01 14:12 - 000000000 ____D C:\Program Files (x86)\cleanComputerNew
  2018-11-27 19:08 - 2018-11-27 19:08 - 000693248 _____ C:\Users\Aspire\VolID.exe
  2018-11-27 19:07 - 2018-11-28 08:37 - 000000000 ____D C:\Program Files (x86)\Berzek
  2018-11-27 19:08 - 2018-11-27 19:08 - 000693248 _____ () C:\Users\Aspire\VolID.exe
  2018-11-27 19:09 - 2018-11-27 19:09 - 000000116 _____ () C:\Users\Aspire\AppData\Roaming\iplog.url
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
  Task: {91A75D2B-3A35-4044-8C06-C818FE309887} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-04-13] (AVAST Software)
  Task: {9B254019-60F4-40C5-8BEC-9BF65D36B2E7} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-04-13] (AVAST Software)
  C:\Program Files (x86)\AVAST Software
  Task: {B3CF3E34-F911-41E1-81C5-CF20D96858A0} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2018-10-31] (AVAST Software)
  Task: {CE28E713-3206-4792-AA3F-5411C71151ED} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
  AlternateDataStreams: C:\ProgramData:BDSDRMHK [64]
  AlternateDataStreams: C:\Users\All Users:BDSDRMHK [64]
  AlternateDataStreams: C:\ProgramData\Anwendungsdaten:BDSDRMHK [64]
  AlternateDataStreams: C:\ProgramData\Application Data:BDSDRMHK [64]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  AlternateDataStreams: C:\ProgramData\Temp:3C9302F9 [155]
  CMD: dir "%ProgramFiles%"
  CMD: dir "%ProgramFiles(x86)%"
  CMD: dir "%ProgramData%"
  CMD: dir "%Appdata%"
  CMD: dir "%LocalAppdata%"
  CMD: dir "%CommonProgramFiles(x86)%"
  CMD: dir "%CommonProgramW6432%"
  CMD: dir "%UserProfile%"
  CMD: dir "C:\"
  CMD: dir "%systemprofile%\users"
  CMD: dir /AH "%SYSTEMDRIVE%\users"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  RemoveProxy:
  Unlock: C:\Windows\system32\Drivers\etc\hosts
  C:\Windows\system32\Drivers\etc\hosts
  Hosts:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  SearchAll: bestDownloader;cleanComputerNew;CPUID CPU-Z;eweew3grthrtvew;FastDataX;Multitimer;One System Care;Up Pro;Booking.com;pokki;TechnologyDesktopnew;Speedycar;bestavicampaign
           

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei des FRST-Suchlaufs (Search.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).