Trojaner-Board - Windows 7: Firefox/Internet Explorer Startseite ändert sich immer in www.windowsxlive.net

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 7: Firefox/Internet Explorer Startseite ändert sich immer in www.windowsxlive.net (https://www.trojaner-board.de/194572-windows-7-firefox-internet-explorer-startseite-aendert-immer-www-windowsxlive-net.html)

Windows 7: Firefox/Internet Explorer Startseite ändert sich immer in www.windowsxlive.net

Liebes trojaner-board-Team,

die Startseite meiner Browser Firefox/Internetexplorer ändert sich immer wieder selbstständig in www.windowsxlive.net. Wenn ich den Internetexplorer starte, dann bekomme ich eine Meldung, das ein Programm versucht die Startseite in die genannte zu ändern. Ich habe bereits selbstständig versucht das Problem mit MBAM & AdwCleaner in den Griff zu bekommen, bin aber leider nicht erfolgreich gewesen.

Die Logfiles beider Anwendungen füge ich hier ein, ich habe auch den Scan mit FRST durchgeführt, leider kann ich die Logs aufgrund der Größe nicht in CODE-Tags packen. Soll ich sie nun anhängen oder versuchen sie in weiteren Beiträgen zu posten?

Falls ich etwas vergessen haben sollte, bitte einfach kurz nachfragen.
Vielen Dank für Eure Hilfe.
Marius

Code:

# -------------------------------

# Malwarebytes AdwCleaner 7.2.6.0

# -------------------------------

# Build:    12-18-2018

# Database: 2019-01-02.1 (Cloud)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Clean

# -------------------------------

# Start:    01-08-2019

# Duration: 00:00:14

# OS:       Windows 7 Home Premium

# Cleaned:  17

# Failed:   0
 
 

***** [ Services ] *****
 

Deleted       Partner Service
 

***** [ Folders ] *****
 

Deleted       C:\ProgramData\Partner
 

***** [ Files ] *****
 

No malicious files cleaned.
 

***** [ DLL ] *****
 

No malicious DLLs cleaned.
 

***** [ WMI ] *****
 

No malicious WMI cleaned.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts cleaned.
 

***** [ Tasks ] *****
 

No malicious tasks cleaned.
 

***** [ Registry ] *****
 

Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}

Deleted       HKLM\Software\Wow6432Node\Classes\AppID\kt_bho_dll.dll

Deleted       HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll

Deleted       HKLM\Software\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}

Deleted       HKLM\Software\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}

Deleted       HKLM\Software\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}

Deleted       HKLM\Software\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Deleted       HKLM\Software\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}

Deleted       HKLM\Software\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries cleaned.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs cleaned.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries cleaned.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs cleaned.
 
 

*************************
 

[+] Delete Tracing Keys

[+] Reset Chromium Policies

[+] Reset IE Policies

[+] Reset Proxy Settings

[+] Reset Winsock
 

*************************
 

AdwCleaner[S00].txt - [2998 octets] - [08/01/2019 00:29:33]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Code:

# -------------------------------

# Malwarebytes AdwCleaner 7.2.6.0

# -------------------------------

# Build:    12-18-2018

# Database: 2019-01-02.1 (Cloud)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Scan

# -------------------------------

# Start:    01-08-2019

# Duration: 00:00:29

# OS:       Windows 7 Home Premium

# Scanned:  32243

# Detected: 17
 
 

***** [ Services ] *****
 

PUP.Optional.Legacy             Partner Service
 

***** [ Folders ] *****
 

Adware.LoadMoney                C:\ProgramData\Partner
 

***** [ Files ] *****
 

No malicious files found.
 

***** [ DLL ] *****
 

No malicious DLLs found.
 

***** [ WMI ] *****
 

No malicious WMI found.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts found.
 

***** [ Tasks ] *****
 

No malicious tasks found.
 

***** [ Registry ] *****
 

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\AppID\kt_bho_dll.dll

PUP.Optional.Legacy             HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}

PUP.Optional.Legacy             HKLM\Software\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}

PUP.Optional.Legacy             HKLM\Software\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}

PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

PUP.Optional.Legacy             HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

PUP.Optional.Legacy             HKLM\Software\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Trojan.Agent.BHO                HKLM\Software\Wow6432Node\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}

Trojan.Agent.BHO                HKLM\Software\Classes\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12}
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries found.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs found.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries found.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs found.
 
 
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 08.01.19

Scan-Zeit: 00:54

Protokolldatei: 8953d7d0-12d7-11e9-93f1-00269e97725f.json
 

-Softwaredaten-

Version: 3.6.1.2711

Komponentenversion: 1.0.508

Version des Aktualisierungspakets: 1.0.8673

Lizenz: Testversion
 

-Systemdaten-

Betriebssystem: Windows 7 Service Pack 1

CPU: x64

Dateisystem: NTFS

Benutzer: Marius-PC\Marius
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 228097

Erkannte Bedrohungen: 0

In die Quarantäne verschobene Bedrohungen: 0

Abgelaufene Zeit: 4 Min., 24 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswert: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 0

(keine bösartigen Elemente erkannt)
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

:hallo:

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Du kannst die Logdateien in diesem Fall auch anhhängen.

Bitte poste mit deiner nächsten Antwort

die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias,

vielen Dank für die schnelle Hilfe.
Ich habe beide Logfiles angehängt.

Servus,

Schritt 1

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: S3 DKbFltr; SysWOW64\Drivers\DKbFltr.sys [X] BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Keine Datei Toolbar: HKU\S-1-5-21-583238456-2501623725-3417551623-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei C:\Users\Marius\AppData\Roaming\Mozilla\Firefox\Profiles\f7q007lt.Marius\prefs.js ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions CMD: ipconfig /flushdns CMD: netsh winsock reset RemoveProxy: EmptyTemp: End::
Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Bitte setze deine Browser wie folgt zurück:

IE :::
Internet Explorer zurücksetzen

EDGE :::
Edge zurücksetzen

FF :::
Firefox zurücksetzen

CHR:::
Chrome zurücksetzen

OPR::
Opera zurücksetzen

Schritt 3

Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit deinen Internet Browsern?

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix (fixlog.txt),
die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt),
die Beantwortung der gestellten Fragen.

Zur Beantwortung der Frage, Firefox läuft wieder normal, allerdings kommt beim Internetexplorer weiterhin die Meldung, dass www.windowsxlive.net von einem Programm als Startseite gesetzt werden soll.

Die Logs habe ich wegen der Größe wieder angehängt.

Servus,

Starte den Internet Explorer.
Klicke rechts oben auf Extras, dann auf Internetoptionen.
Wähle den Tab Erweitert aus und klicke auf Zurücksetzen.
Setze einen Haken bei Persönliche Einstellungen löschen und dann auf Zurücksetzen.
Klicke zum Abschluss auf Schließen und starte den Rechner neu.

Berichte, wie der IE nun läuft.

Hallo Matthias,
leider erhalte ich beim Start vom IE immer noch die Meldung, das ein unbekanntes Programm "www.windowsxlive.net" als Startseite einrichten will.

Servus,

sein wann (Datum) tritt das Problem auf?
Welche Programme hast du seitdem installiert?

Evtl. ist die Ursache auch ein legitimes Programm...

Schritt 1

Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:

Code:

SearchAll: windowsxlive
Klicke auf den Button Datei-Suche.
FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
Am Ende wird eine Textdatei Search.txt erstellt.
Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 2

Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Suchlaufs (Search.txt),
die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Die Dateisuche von FRST läuft noch, beim durchsehen des letzten FRST-Log ist mir das hier aufgefallen, ob ich das bewusst mal installiert habe weiß ich nicht mehr, kann es aber auch nicht ausschließen.

[UXTheme Launcher] => C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe [239870 2015-03-06] (Windows X)

Hier das Search-Log:

Code:

Farbar Recovery Scan Tool (x64) Version: 09.01.2019

durchgeführt von Marius (09-01-2019 17:00:14)

Gestartet von C:\Users\Marius\Downloads

Start-Modus: Normal
 

================== Datei-Suche: "SearchAll: windowsxlive" =============
 

Datei:

========
 

Ordner:

========
 

Registry:

========
 
 

====== Ende von Suche ======

Die FRST-Logs musste ich wieder anhängen.

Servus,

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: VirusTotal: C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe End::
Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Nabend Matthias,
leider habe ich die themeengine.exe schon gelöscht, sorry das ich nicht gewartet habe. Ich hoffe dass das nicht deine ganze Arbeit zunichte macht.

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09.01.2019 01

durchgeführt von Marius (09-01-2019 22:32:28) Run:4

Gestartet von C:\Users\Marius\Downloads

Geladene Profile: Marius (Verfügbare Profile: Marius)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

VirusTotal: C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe
 

*****************
 

"VirusTotal: C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe" => nicht gefunden
 

==== Ende von Fixlog 22:32:28 ====

Servus,

ok, dann mach bitte folgendes und berichte, ob du immer noch Probleme mit dem IE hast.

Schritt 1

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: HKLM-x32\...\Run: [UXTheme Launcher] => C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe [239870 2015-03-06] (Windows X) C:\Program Files (x86)\UXTheme Multi-Patcher EmptyTemp: End::
Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix (fixlog.txt),
die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Nabend Matthias,

hier das Fixlog:

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09.01.2019 01

durchgeführt von Marius (10-01-2019 18:34:22) Run:5

Gestartet von C:\Users\Marius\Downloads

Geladene Profile: Marius (Verfügbare Profile: Marius)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

HKLM-x32\...\Run: [UXTheme Launcher] => C:\Program Files (x86)\UXTheme Multi-Patcher\themeengine.exe [239870 2015-03-06] (Windows X)

C:\Program Files (x86)\UXTheme Multi-Patcher

EmptyTemp:
 

*****************
 

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\UXTheme Launcher" => nicht gefunden

"C:\Program Files (x86)\UXTheme Multi-Patcher" => nicht gefunden
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 8388608 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 4572166 B

Java, Flash, Steam htmlcache => 410 B

Windows/system/drivers => 1272224 B

Edge => 0 B

Chrome => 0 B

Firefox => 339737105 B

Opera => 0 B
 

Temp, IE cache, history, cookies, recent:

Users => 0 B

Default => 0 B

Public => 0 B

ProgramData => 0 B

systemprofile => 0 B

systemprofile32 => 0 B

LocalService => 0 B

NetworkService => 846 B

Marius => 57593855 B
 

RecycleBin => 1243787675 B

EmptyTemp: => 1.5 GB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 18:37:30 ====

Der IE macht jetzt auch keine Probleme mehr, vielen Dank für deine Hilfe.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wichtige Tipps und Hinweise zur Entfernung aller eingesetzten Tools sowie Maßnahmen zur Absicherung deines Computers findest du hier:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.