FRST / Viren ?
 

Hey hab den Verdacht auf Viren und hoffe auf eine Auswertung.

FRST.txt

Addition.txt
FRST Additions Logfile:
--- --- ---

:hallo:




Wie begründest du deinen Verdacht? Gibt es Auffälligkeiten oder Probleme?
Haben AntiMalware Programme Funde zu Tage gebracht? Wenn ja, bitte die Logdateien posten.

Probleme mit Datenändungen, Windows Update und Store.
Programme starteten nicht (Discord)

MB hat folgendes gefunden

Servus,








Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • BITS wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 2

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die zwei neuen Logdateien von FRST.

Hey,
AdwCleaner Log
FRST.txt

FRST Logfile:
--- --- ---

Addition.txt
FRST Additions Logfile:
--- --- ---


Danke nochmal für deine Hilfe

Servus,





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 0
HKU\S-1-5-21-2403094533-2988184830-1683912224-1001\...\Run: [] => [X]
HKU\S-1-5-21-2403094533-2988184830-1683912224-1001\...\MountPoints2: {0bc8eab0-e762-11e8-9018-704d7b86cad0} - "D:\setup.exe"
GroupPolicy\User: Beschränkung ? <==== ACHTUNG
Winsock: Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll => Keine Datei
Winsock: Catalog5-x64 07 C:\Program Files\Bonjour\mdnsNSP.dll => Keine Datei
BHO: Kein Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Keine Datei
BHO: Kein Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Keine Datei
BHO-x32: Kein Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Keine Datei
U4 CmdAgent; kein ImagePath
S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
U4 dmwappushsvc; kein ImagePath
U2 idsvc; kein ImagePath
S4 IMFMBRProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win10_amd64\IMFMBRProtect.sys [X]
S4 IMFSafeBox; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win10_amd64\IMFSafeBox.sys [X]
U3 iswSvc; kein ImagePath
Task: {40A03130-29FF-4914-B750-69FFA4332A53} - \Avast Software\Overseer -> Keine Datei <==== ACHTUNG
Task: {BB26D065-0B55-4007-9569-C02B893EFB8B} - \FreeDownloadManagerNetworkMonitor -> Keine Datei <==== ACHTUNG
FirewallRules: [{BA04A13F-1521-43DB-804E-C65A6216EFAF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.0.2\DriverBooster.exe
FirewallRules: [{5C423EE5-5E2D-465D-B7B5-CE1B9B192494}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.0.2\DriverBooster.exe
FirewallRules: [{2337FBDD-E638-4CE0-BB09-AE9166693178}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.0.2\DBDownloader.exe
FirewallRules: [{01ACE2DA-09C1-4F68-866F-BB387EA152F1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.0.2\DBDownloader.exe
FirewallRules: [{94671943-9940-4BBE-9FFA-73CE8796CEA1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.0.2\AutoUpdate.exe
FirewallRules: [{70ECE112-FB4F-43E1-B0C0-30E15E14E41F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.0.2\AutoUpdate.exe
Folder: C:\Users\Max\Documents\4b30a7a85222fceb72ff19bf53aa7c7d6ef72349
CMD: dir "%ProgramFiles%"
CMD: dir "%ProgramFiles(x86)%"
CMD: dir "%ProgramData%"
CMD: dir "%Appdata%"
CMD: dir "%LocalAppdata%"
CMD: dir "%CommonProgramFiles(x86)%"
CMD: dir "%CommonProgramW6432%"
CMD: dir "%UserProfile%"
CMD: dir "C:\"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: Advanced SystemCare;Tencent;slimware;Driver Booster

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei des FRST-Suchlaufs (Search.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

FRST-Fix ist leider bei ersten Durchlauf abgestürzt, kann also sein das das Logfile nicht ganz passt.

Die weiteren Logs folgen

Schritt 1
Bitte lade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro 32-Bit | HitmanPro 64-Bit

• Starte die HitmanPro.exe.
• Klicke auf Einstellungen.
• Entferne den Haken bei Nach Tracking-Cookies suchen und bestätige mit OK.
• Klicke auf Weiter.
• Akzeptiere die Lizenzbedingungen und klicke auf Weiter.
• Wähle Nein, ich möchte nur einen Einmalscan zur Überprüfung des Computers ausführen.
• Entferne den Haken bei Bitte informieren Sie mich per E-Mail... und klicke auf Weiter.
• Sobald der Scan beendet wurde, NICHTS löschen lassen, sondern wähle unten links auf der Button-Leiste Logdatei speichern.
• Speichere die Logdatei auf deinem Desktop ab und schließe HitmanPro wieder.
• Poste mir den Inhalt der Logdatei mit dieser nächsten Antwort.

Schritt 2
Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

• Starte die Installationsdatei.
• Akzeptiere die Nutzungsbedingungen.
• Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
• Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
• Am Ende des Suchlaufs werden die gefundenen Elemente aufgelistet.
• Wähle In Textdatei speichern... aus und speichere die Datei als eset.txt auf deinem Desktop ab.
• Füge den Inhalt der eset.txt mit deiner nächsten Antwort hinzu.
• Sollte ESET nichts finden, so kann auch keine Logdatei erstellt werden. Teile uns das dann unbedingt mit.
• Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.

Von diesem ganzen IObit-Müll (Driver Booster, Uninstaller, SmartDefrag) solltest du dich trennen (= deinstallieren). Diese Programme haben keinen nennenswerten Mehrwert und verlangsamen nur das System.
Wieso du alle möglichen Exploints abgespeichert hast, ist mir auch ein Rätsel.

Wir haben etwas PUP und Adware entfernt.





Meine Empfehlung:
IObit-Software deinstallieren, ESET erneut ausführen und nun alle Funde entfernen lassen.





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Alle Logs gepostet? Dann lade Dir bitte das TBCleanUpTool herunter.

• Schließe alle offenen Programme.
• Rechtsklicke auf die TBCleanUp.bat und wähle Als Administrator ausführen.
• Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
• Es öffnet sich ein schwarzes Fenster der Kommandozeile.
• Drücke eine beliebige Taste, um den Entfernungsprozess zu starten.
• Am Ende wird dein Rechner automatisch neu gestartet.

Hinweis:
Das TBCleanUpTool entfernt die verwendeten Programme, die Quarantäne unserer Scanner und löscht sich abschließend selbst.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, die du nicht mehr verwenden möchtest, kannst du diese über die Systemsteuerung deinstallieren.











Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweise:
Bitte gib mir eine kurze Rückmeldung, sobald alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.







Virenscanner + Firewall
Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf! Kein Antivirusprogramm erkennt 100% der Schadsoftware.

Sofern du noch unentschieden bist, verwende MAXIMAL EIN EINZIGES der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

• Malwarebytes AntiMalware Premium (kostenpflichtig)
• Microsoft Security Essentials (kostenlos)

Microsoft Security Essentials (MSE) / Windows Defender (WD) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE/WD entschieden hast, brauchst du nicht extra MSE/WD zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Verwende immer nur reine Virenscanner (keine Produkte mit "Suite", "Internet Security", "Endpoint" oder "Total Security" in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird)

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware (Free), AdwCleaner und mit dem ESET Online Scanner scannen.
Diese Programme sind alle kostenlos und stören nicht den Betrieb deines Antivirenprogramms.





Absicherungen
Beim Betriebsystem Windows ist es wichtig, die automatischen Updates zu aktivieren.
Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen.

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden. Sicherheitslücken werden beispielsweise dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.

Besonders aufpassen bezüglich der Aktualität musst du insbesondere bei folgender Software - sofern diese überhaupt benötigt wird:

• Browser - Ich empfehle Mozilla Firefox
• Flash-Player
• Java
• Adobe Reader

Empfohlene Firefox-Addons (Erweiterungen)

https://addons.cdn.mozilla.net/user-...ied=1510319591uBlock Origin kann u. a. Werbung, Pop-ups, Tracking und Malware-Seiten blockieren.

https://addons.cdn.mozilla.net/user-...ied=1511295622HTTPS Everywhere sorgt dafür, dass Firefox immer, wenn möglich, verschlüsselte Verbindungen (HTTPS) verwendet statt HTTP. Wahlweise kann man darüber durch Setzen eines Häkchens auch alle unverschlüsselten Verbindungen blockieren, Firefox nutzt dann nur noch HTTPS und lädt nichts mehr über unverschlüsselte Verbindungen.

https://addons.cdn.mozilla.net/user-...ified=mcrushedNoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden.





Grundsätzliches

• Ändere regelmäßig deine Online-Passwörter und erstelle Backups deiner wichtigen Dateien oder des Systems. Genaueres dazu findest du unten im Lesestoff zu Backups.
• Lade keine Software von Chip, Softonic, SourceForge, openoffice.de oder VLC.de.
  Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software (PUP) oder Adware installiert.
  Auf manchen Seiten wird direkt PUP / Adware zum Download angeboten.
• Halte dich von Seiten wie kinox.to & Co fern! Diese Seiten sind bekannt dafür, Schadsoftware zu verbreiten bzw. leiten auf infizierte Seiten weiter.
• Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif oder direkt beim jeweiligen Hersteller / Entwickler.
• Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne die Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
• Der Nutzen von Registry-Cleanern, Optimizern, usw. zur Performancesteigerung ist umstritten bis nicht belegbar. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht.
  Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.