Liebes trojaner-board-Team,

die Startseite meiner Browser Firefox/Internetexplorer ändert sich immer wieder selbstständig in www.windowsxlive.net. Wenn ich den Internetexplorer starte, dann bekomme ich eine Meldung, das ein Programm versucht die Startseite in die genannte zu ändern. Ich habe bereits selbstständig versucht das Problem mit MBAM & AdwCleaner in den Griff zu bekommen, bin aber leider nicht erfolgreich gewesen.

Die Logfiles beider Anwendungen füge ich hier ein, ich habe auch den Scan mit FRST durchgeführt, leider kann ich die Logs aufgrund der Größe nicht in CODE-Tags packen. Soll ich sie nun anhängen oder versuchen sie in weiteren Beiträgen zu posten?

Falls ich etwas vergessen haben sollte, bitte einfach kurz nachfragen.
Vielen Dank für Eure Hilfe.
Marius

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 7.2.6.0
# -------------------------------
# Build:    12-18-2018
# Database: 2019-01-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-08-2019
# Duration: 00:00:14
# OS:       Windows 7 Home Premium
# Cleaned:  17
# Failed:   0


***** [ Services ] *****

Deleted       Partner Service

***** [ Folders ] *****

Deleted       C:\ProgramData\Partner

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
Deleted       HKLM\Software\Wow6432Node\Classes\AppID\kt_bho_dll.dll
Deleted       HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll
Deleted       HKLM\Software\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
Deleted       HKLM\Software\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
Deleted       HKLM\Software\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
Deleted       HKLM\Software\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Deleted       HKLM\Software\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}
Deleted       HKLM\Software\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2998 octets] - [08/01/2019 00:29:33]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 7.2.6.0
# -------------------------------
# Build:    12-18-2018
# Database: 2019-01-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-08-2019
# Duration: 00:00:29
# OS:       Windows 7 Home Premium
# Scanned:  32243
# Detected: 17


***** [ Services ] *****

PUP.Optional.Legacy             Partner Service

***** [ Folders ] *****

Adware.LoadMoney                C:\ProgramData\Partner

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\AppID\kt_bho_dll.dll
PUP.Optional.Legacy             HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
PUP.Optional.Legacy             HKLM\Software\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
PUP.Optional.Legacy             HKLM\Software\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
PUP.Optional.Legacy             HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
PUP.Optional.Legacy             HKLM\Software\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Trojan.Agent.BHO                HKLM\Software\Wow6432Node\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}
Trojan.Agent.BHO                HKLM\Software\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 08.01.19
Scan-Zeit: 00:54
Protokolldatei: 8953d7d0-12d7-11e9-93f1-00269e97725f.json

-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.508
Version des Aktualisierungspakets: 1.0.8673
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Marius-PC\Marius

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 228097
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 4 Min., 24 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?






Du kannst die Logdateien in diesem Fall auch anhhängen.






Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias,

vielen Dank für die schnelle Hilfe.
Ich habe beide Logfiles angehängt.

Servus,





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  S3 DKbFltr; SysWOW64\Drivers\DKbFltr.sys [X]
  BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Keine Datei
  Toolbar: HKU\S-1-5-21-583238456-2501623725-3417551623-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Keine Datei
  C:\Users\Marius\AppData\Roaming\Mozilla\Firefox\Profiles\f7q007lt.Marius\prefs.js
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  RemoveProxy:
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Bitte setze deine Browser wie folgt zurück:

IE :::
Internet Explorer zurücksetzen

EDGE :::
Edge zurücksetzen

FF :::
Firefox zurücksetzen

CHR:::
Chrome zurücksetzen

OPR::
Opera zurücksetzen








Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Gibt es jetzt noch Probleme mit deinen Internet Browsern?







Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt),
• die Beantwortung der gestellten Fragen.

Zur Beantwortung der Frage, Firefox läuft wieder normal, allerdings kommt beim Internetexplorer weiterhin die Meldung, dass www.windowsxlive.net von einem Programm als Startseite gesetzt werden soll.

Die Logs habe ich wegen der Größe wieder angehängt.

Servus,




Starte den Internet Explorer.
Klicke rechts oben auf Extras, dann auf Internetoptionen.
Wähle den Tab Erweitert aus und klicke auf Zurücksetzen.
Setze einen Haken bei Persönliche Einstellungen löschen und dann auf Zurücksetzen.
Klicke zum Abschluss auf Schließen und starte den Rechner neu.


Berichte, wie der IE nun läuft.

Hallo Matthias,
leider erhalte ich beim Start vom IE immer noch die Meldung, das ein unbekanntes Programm "www.windowsxlive.net" als Startseite einrichten will.

Servus,


sein wann (Datum) tritt das Problem auf?
Welche Programme hast du seitdem installiert?

Evtl. ist die Ursache auch ein legitimes Programm...





Schritt 1

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  SearchAll: windowsxlive
           

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 2

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Suchlaufs (Search.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Die Dateisuche von FRST läuft noch, beim durchsehen des letzten FRST-Log ist mir das hier aufgefallen, ob ich das bewusst mal installiert habe weiß ich nicht mehr, kann es aber auch nicht ausschließen.

[UXTheme Launcher] => C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe [239870 2015-03-06] (Windows X)

Hier das Search-Log:

Code: Alles auswählenAufklappen

ATTFilter

Farbar Recovery Scan Tool (x64) Version: 09.01.2019
durchgeführt von Marius (09-01-2019 17:00:14)
Gestartet von C:\Users\Marius\Downloads
Start-Modus: Normal

================== Datei-Suche: "SearchAll: windowsxlive" =============

Datei:
========

Ordner:
========

Registry:
========


====== Ende von Suche ======
         

Die FRST-Logs musste ich wieder anhängen.

Servus,

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  VirusTotal: C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Nabend Matthias,
leider habe ich die themeengine.exe schon gelöscht, sorry das ich nicht gewartet habe. Ich hoffe dass das nicht deine ganze Arbeit zunichte macht.

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09.01.2019 01
durchgeführt von Marius (09-01-2019 22:32:28) Run:4
Gestartet von C:\Users\Marius\Downloads
Geladene Profile: Marius (Verfügbare Profile: Marius)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
VirusTotal: C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe

*****************

"VirusTotal: C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe" => nicht gefunden

==== Ende von Fixlog 22:32:28 ====
         

Servus,





ok, dann mach bitte folgendes und berichte, ob du immer noch Probleme mit dem IE hast.





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM-x32\...\Run: [UXTheme Launcher] => C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe [239870 2015-03-06] (Windows X)
  C:\Program Files (x86)\UXTheme Multi-Patcher
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Nabend Matthias,

hier das Fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09.01.2019 01
durchgeführt von Marius (10-01-2019 18:34:22) Run:5
Gestartet von C:\Users\Marius\Downloads
Geladene Profile: Marius (Verfügbare Profile: Marius)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM-x32\...\Run: [UXTheme Launcher] => C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe [239870 2015-03-06] (Windows X)
C:\Program Files (x86)\UXTheme Multi-Patcher
EmptyTemp:

*****************

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\UXTheme Launcher" => nicht gefunden
"C:\Program Files (x86)\UXTheme Multi-Patcher" => nicht gefunden

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 4572166 B
Java, Flash, Steam htmlcache => 410 B
Windows/system/drivers => 1272224 B
Edge => 0 B
Chrome => 0 B
Firefox => 339737105 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 846 B
Marius => 57593855 B

RecycleBin => 1243787675 B
EmptyTemp: => 1.5 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 18:37:30 ====
         

Der IE macht jetzt auch keine Probleme mehr, vielen Dank für deine Hilfe.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Wichtige Tipps und Hinweise zur Entfernung aller eingesetzten Tools sowie Maßnahmen zur Absicherung deines Computers findest du hier:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.