Trojaner-Board - Windows 10 Pro 64 Bit: Firefox öffnet bei Google-Suche automatisch Tab mit Bing, Yahoo, Google et al.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 10 Pro 64 Bit: Firefox öffnet bei Google-Suche automatisch Tab mit Bing, Yahoo, Google et al. (https://www.trojaner-board.de/195754-windows-10-pro-64-bit-firefox-oeffnet-google-suche-automatisch-tab-bing-yahoo-google-et-al.html)

Windows 10 Pro 64 Bit: Firefox öffnet bei Google-Suche automatisch Tab mit Bing, Yahoo, Google et al.

Hallo,

mein Firefox öffnet bei jedem Start automatisch nach wenigen Sekunden einen neuen Tab mit folgenden Seiten: bing.com, yahoo.com, google.com und anderen Suchseiten bis hin zu ebay.com. Die Suchseiten rotieren dabei munter durch. Augenscheinlich werden auch jeweils wahllos Suchwörter eingegeben (xbox, santa clara county, myspace, 7-eleven, jennifer aniston etc.). Der Tab schließt sich nicht selbständig. Wenn ich diesen schließe, öffnet sich nach minimaler Zeitdauer erneut ein Tab mit den gleichen Symptomen. Das Problem besteht seit zwei Tagen. Firefox war für mich aus nicht ersichtlichem Grund abgeschmiert, der restliche Laptop gleich mit, so dass ich kaltstarten musste. Seitdem ist der PC etwas langsamer unterwegs und die Benutzerkontensteuerung macht sich andauernd bemerkbar, wenn Programme geöffnet werden. Die Deaktivieren hält nicht lange vor. Die Performance von Firefox ist ebenfalls beeinträchtigt. Seit dem Kaltstart musste ich die Einstellungen erst wieder anpassen, die Add-Ons sind noch alle da, nur ihre Einstellungen fehlen teilweise.

Ich lehne diesen Fall an diesen Archiv-Fall an: https://www.trojaner-board.de/179080-windows-7-home-64-bit-firefox-oeffnet-google-suche-automatisch-tabs-bing-yahoo-search-socialdownloadr-com.html

Ich habe schon alles Mögliche versucht, um das Problem zu beheben. Malwarebytes, Adwcleaner, F-Secure, RogueKiller etc. Kein Erfolg. Die Logs habe ich schlauerweise vergessen. Aber ich werde sie nachliefern, nachdem ich die Tools noch einmal habe durchlaufen lassen.

Ich wäre echt glücklich, könnte mir jemand bei meinem Problem helfen ...

Vielen Dank bereits im Voraus.

Cheers

PS: Leider ist es mir wegen Überlänge nicht möglich, die FRST-Dateien als Code zu präsentieren, sie werden stattdessen angehängt.

AdwCleaner

Code:

# -------------------------------

# Malwarebytes AdwCleaner 7.3.0.0

# -------------------------------

# Build:    04-04-2019

# Database: 2019-06-28.1 (Cloud)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Scan

# -------------------------------

# Start:    07-06-2019

# Duration: 00:00:41

# OS:       Windows 10 Pro

# Scanned:  27557

# Detected: 0
 
 

***** [ Services ] *****
 

No malicious services found.
 

***** [ Folders ] *****
 

No malicious folders found.
 

***** [ Files ] *****
 

No malicious files found.
 

***** [ DLL ] *****
 

No malicious DLLs found.
 

***** [ WMI ] *****
 

No malicious WMI found.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts found.
 

***** [ Tasks ] *****
 

No malicious tasks found.
 

***** [ Registry ] *****
 

No malicious registry entries found.
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries found.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs found.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries found.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs found.
 
 

AdwCleaner[S00].txt - [5978 octets] - [11/01/2019 17:36:17]

AdwCleaner[C00].txt - [5302 octets] - [11/01/2019 17:38:12]

AdwCleaner[S01].txt - [1396 octets] - [11/01/2019 22:02:59]

AdwCleaner[C01].txt - [1562 octets] - [11/01/2019 22:03:19]

AdwCleaner[S02].txt - [2333 octets] - [04/07/2019 22:02:59]

AdwCleaner[C02].txt - [2371 octets] - [04/07/2019 22:13:35]

AdwCleaner[S03].txt - [1699 octets] - [04/07/2019 22:31:36]

AdwCleaner[C03].txt - [1847 octets] - [04/07/2019 22:51:57]

AdwCleaner[S04].txt - [1821 octets] - [05/07/2019 00:25:30]

AdwCleaner[C04].txt - [1969 octets] - [05/07/2019 01:48:26]

AdwCleaner[S05].txt - [1859 octets] - [05/07/2019 01:53:46]

AdwCleaner[C05].txt - [2045 octets] - [05/07/2019 01:55:07]

AdwCleaner[S06].txt - [1981 octets] - [05/07/2019 02:09:36]

AdwCleaner[S07].txt - [2437 octets] - [05/07/2019 23:45:48]

AdwCleaner[C07].txt - [2511 octets] - [05/07/2019 23:51:29]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S08].txt ##########

Malwarebytes

Code:

Malwarebytes

www.malwarebytes.com
 

-Protokolldetails-

Scan-Datum: 06.07.19

Scan-Zeit: 05:54

Protokolldatei: b9f80dfa-9fa1-11e9-be65-20256495c114.json
 

-Softwaredaten-

Version: 3.8.3.2965

Komponentenversion: 1.0.613

Version des Aktualisierungspakets: 1.0.11420

Lizenz: Kostenlos
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 18362.207)

CPU: x64

Dateisystem: NTFS

Benutzer: TOSHIBASAT\*****
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 354912

Erkannte Bedrohungen: 4

In die Quarantäne verschobene Bedrohungen: 4

Abgelaufene Zeit: 13 Min., 37 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 2

RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE, In Quarantäne, [6365], [249769],1.0.11420

RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE, In Quarantäne, [6365], [249769],1.0.11420
 

Registrierungswert: 2

RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE|DEBUGGER, In Quarantäne, [6365], [249769],1.0.11420

RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE|DEBUGGER, In Quarantäne, [6365], [249769],1.0.11420
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 0

(keine bösartigen Elemente erkannt)
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

RogueKiller (erkennt nur SpyHunter als "Bedrohung")

Code:

RogueKiller Anti-Malware V13.3.1.0 (x64) [Jul  1 2019] (Free) von Adlice Software

Mail : https://adlice.com/contact/

Website : https://adlice.com/download/roguekiller/

Betriebssystem : Windows 10 (10.0.18362) 64 bits

Gestartet in : Normaler Modus

Benutzer : ***** [Administrator]

Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe

Unterschriften : 20190705_101602, Treiber : Geladen

Modus : Standard-Scan, Scannen -- Datum : 2019/07/06 06:14:58 (Dauer : 00:56:20)
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[Hidden.From.Registry (Bösartig)] EnigmaFileMonDriver (0) -- system32\drivers\EnigmaFileMonDriver.sys -> Gefunden
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Hosts-Datei ist zu groß
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

:hallo:

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Ich lehne diesen Fall an diesen Archiv-Fall an: https://www.trojaner-board.de/179080...loadr-com.html

Jeder Fall ist einzigartig. Einfach sinnfrei irgendwelche Tool auszuführen, wie du es leider gemacht hast, ist kontraproduktiv und hilft uns überhaupt nicht. Und dann installierst du dir auch noch solche Tools, die oft nicht mehr richtig zu entfernen sind und nichts taugen...

Hast du überhaupt unsere Anleitung gelesen, bevor du dein Thema eröffnet hast?

Bitte beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Zudem hast du keine Logdateien der Tools mit relevanten Funden gepostet... die neuen Logdateien von Adwcleaner und MBAM sind ja schön und gut... interessanter wären die ersten Logfiles gewesen.
Wie soll man da noch einen Überblick bekommen? Richtig... gar nicht. Und ich soll jetzt schauen, dass das wieder läuft... schauen wir mal, was sich noch machen lässt. :D

Bitte keine Alleingänge mehr, wenn du von Malwareentfernung keine Ahnung hast! ;)

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden:

Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
- AVG PC TuneUp
- HitmanPro
- RogueKiller
- Spybot
- SpyHunter
- Zemana AntiMalware
Starte den Rechner im Anschluss neu auf.
Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

eine Rückmeldung bezüglich der Deinstallationen,
die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias,

vielen lieben Dank für Deine Hilfe.

Die Deinstallation hat jeweils geklappt (soweit ich das beurteilen kann).

Die neuen Logdateien erhältst Du im Anhang.

Ein schönes Wochenende für Dich.
Cheers

Zitat:

Zitat von pastapasta (Beitrag 1719404)

Ein schönes Wochenende für Dich.

Ebenso. :)

Schritt 1
Downloade Dir bitte SpyHunterCleaner und speichere es auf dem Desktop.

Schließe alle offenen Programme.
Starte die SpyHunterCleaner.bat.
Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
Es öffnet sich ein schwarzes Fenster der Kommandozeile.
Drücke eine beliebige Taste, um den Entfernungsprozess zu starten.
Am Ende wird dein Rechner automatisch neu gestartet, um die Bereinigung abzuschließen.

Schritt 2

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: CloseProcesses: HKU\S-1-5-21-2863377994-3076818292-4038221420-1004\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) [Datei ist nicht signiert] C:\Program Files\Common Files\AV\Spybot - Search and Destroy GroupPolicy: Beschränkung ? <==== ACHTUNG Task: {01A03719-69D0-4BDD-9129-67395034D901} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG Task: {0E2C6A2B-A643-4727-88ED-D7905F4DC68F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG Task: {1C366804-3824-4DDE-B0C1-AA2E4D8F4830} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG Task: {210DE37E-BB9D-4385-A9BF-049DC0607F37} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG Task: {234A3CB7-FCEA-44AC-8EA1-E6F8241AD63B} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {2511A38D-85CD-41E6-8EA6-AC1DAFF05A33} - \Microsoft\Windows\Setup\gwx\rundetector -> Keine Datei <==== ACHTUNG C:\Program Files (x86)\AVG Task: {289E7FFC-04E0-4B54-839D-B35A4B5D12B4} - System32\Tasks\{A06B41B3-82A8-4A68-9B62-9100B8B927DB} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\LucasArts\Monkey Island Collection\Monkey2\Monkey2.exe" -d "C:\Program Files (x86)\LucasArts\Monkey Island Collection\Monkey2" Task: {526CED37-62A9-4127-9C28-B4B3B83D8258} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG Task: {6477ABFC-7BDE-4292-95B2-E68B3FF6BC93} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG Task: {670C35A8-9026-4DC5-AB3E-F5037446A852} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG Task: {7CCA62CE-1DA8-4F77-8F44-94380846127D} - \WPD\SqmUpload_S-1-5-21-2863377994-3076818292-4038221420-1004 -> Keine Datei <==== ACHTUNG Task: {7DE73F3B-1A29-4DF3-BC10-8FAFBA12D663} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Keine Datei <==== ACHTUNG Task: {94323D39-A91F-4F30-806F-B9C05CD40AC8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG Task: {9A595117-88C0-4D9A-8AB9-561FC89E9870} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG Task: {A77277B3-499F-4EB2-86FF-0800315E5AF0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG Task: {D8EBD8A3-20E5-4EF0-AC77-2E16E3216ED0} - System32\Tasks\Updates\Security Update Checker => C:\Users\CurrentUserName\AppData\Roaming\Microsoft\SysHex.exe <==== ACHTUNG C:\Users\CurrentUserName\AppData\Roaming\Microsoft\SysHex.exe Task: {E08E51BC-AAB2-4D8C-9CAB-1A2A83186AB5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG Task: {E0FA7754-D091-47C7-BCBF-67C80D5AC2C1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG Task: {EC17BC93-5008-415D-A5A3-C8128E2A01B9} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Keine Datei <==== ACHTUNG Task: {EE47DF8D-5D28-42AC-931C-D4130BAE1E48} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG Task: {F15AE4C1-3988-4758-9A84-EF9CAC1DA90A} - System32\Tasks\AdwCleaner_onReboot => D:\Downloads\adwcleaner_7.3.exe [7025360 2019-07-04] (Malwarebytes Corporation -> Malwarebytes) HKU\S-1-5-21-2863377994-3076818292-4038221420-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG Toolbar: HKU\S-1-5-21-2863377994-3076818292-4038221420-1004 -> Kein Name - {BFD9D8A8-57FF-488A-B919-065EC77CF82F} - Keine Datei FF user.js: detected! => C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\user.js [2019-07-04] FF Extension: (Secure Login (Embedded WebExtension)) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\@slogin.xpi [2017-08-23] [Legacy] FF Extension: (Adblock Plus Pop-up Addon) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\adblockpopups@jessehakanen.net.xpi [2016-04-29] [Legacy] FF Extension: (checkCompatibility) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\check-compatibility@dactyl.googlecode.com.xpi [2016-04-27] [Legacy] FF Extension: (Element Hiding Helper for Adblock Plus) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\elemhidehelper@adblockplus.org.xpi [2017-04-13] [Legacy] FF Extension: (FloatNotes) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\floatnotes@felix-kling.de.xpi [2016-04-29] [Legacy] FF Extension: (Hide Fullscreen Alert) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\hidefullscreenalert.vaka@gmail.com.xpi [2016-06-25] [Legacy] FF Extension: (No Flash) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\jid1-cplLTTY501TB2Q@jetpack.xpi [2016-03-04] [Legacy] FF Extension: (NoSquint) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\nosquint@urandom.ca.xpi [2016-04-29] [Legacy] FF Extension: (Secure Login) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\secureLogin@blueimp.net.xpi [2017-02-25] [Legacy] FF Extension: (Session Manager) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi [2017-01-31] [Legacy] FF Extension: (Searchbar Autosizer) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\{655397ca-4766-496b-b7a8-3a5b176ee4c2}.xpi [2016-04-27] [Legacy] FF Extension: (Foxit PDF Creator) - C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\Creator\FirefoxAddin\FFExtnHTML2PDF.xpi [2017-10-09] [Legacy] S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X] 2019-07-06 01:31 - 2019-07-06 01:31 - 000012872 _____ (SurfRight B.V.) C:\WINDOWS\system32\bootdelete.exe 2019-07-05 01:13 - 2019-07-05 01:13 - 000000000 ____D C:\Users\CurrentUserName\AppData\Local\Zemana 2019-07-05 01:12 - 2019-07-06 16:33 - 000277876 _____ C:\WINDOWS\ZAM.krnl.trace 2019-07-06 17:47 - 2016-07-24 16:21 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2 2019-07-06 17:44 - 2018-10-25 14:31 - 000000000 ____D C:\Users\CurrentUserName\AppData\Local\AvgSetupLog 2019-07-06 17:44 - 2018-04-26 23:48 - 000000000 ____D C:\Program Files (x86)\AVG 2019-07-06 17:44 - 2016-07-14 23:45 - 000000000 ____D C:\ProgramData\Avg 2019-07-06 17:39 - 2016-07-24 16:21 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy 2018-04-26 22:16 - 2018-04-26 22:16 - 000000171 _____ () C:\Users\CurrentUserName\AppData\Roaming\1eb766f2-fed1-4d33-9c39-2c8a972fd11f 2018-04-26 22:16 - 2018-04-26 22:16 - 000000304 _____ () C:\Users\CurrentUserName\AppData\Roaming\4e93aa11-2d46-4980-a421-0a4ac759e5bf 2018-04-26 22:16 - 2018-04-26 22:16 - 000000175 _____ () C:\Users\CurrentUserName\AppData\Roaming\fc19ece2-6b3f-4f22-8758-9651ab9ca388 AlternateDataStreams: C:\WINDOWS\system32\Drivers\qtcghuwp.sys:changelist [590] HKLM\...\StartupApproved\Run32: => "AvgUi" HKLM\...\StartupApproved\Run32: => "SDTray" HKU\S-1-5-21-2863377994-3076818292-4038221420-1004\...\StartupApproved\Run: => "SpybotPostWindows10UpgradeReInstall" Folder: C:\Windows\System32\Tasks\Updates ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions CMD: ipconfig /flushdns CMD: netsh winsock reset CMD: netsh advfirewall reset CMD: netsh advfirewall set allprofiles state ON CMD: Bitsadmin /Reset /Allusers Unlock: C:\WINDOWS\system32\drivers\etc\hosts C:\WINDOWS\system32\drivers\etc\hosts Hosts: RemoveProxy: EmptyTemp: End::
Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 3

Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

eine kurze Rückmeldung, ob SpyHunterCleaner durchgelaufen ist,
die Logdatei des FRST-Fix (fixlog.txt),
die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias,

der SpyHunterCleaner ist durchgelaufen.

Anbei erhältst Du die drei Log-Dateien.

Cheers

Bevor wir weitermachen, habe ich noch folgende Fragen:

Wie läuft dein Rechner aktuell?
Gibt es noch Probleme mit Firefox mit sich selbst öffnenden Tabs?

Hi Matthias,

ja, der selbstöffnende und Suchseiten durchrödelnde Tab ist immer noch quietschlebendig. Der PC erscheint im Ganzen ein wenig stabiler und auch schneller.

Dir einen schönen Sonntag ;).

Cheers

Schritt 1
Bitte setze deinen Browser wie folgt zurück:
FF :::
Firefox zurücksetzen

Vorerst bitte keine Erweiterungen installieren, bis wir mit der Bereinigung fertig sind!

Schritt 2

Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias,

im Anhang bekommst Du die zwei Log-Dateien. Nochmal danke für Deine Hilfe.

Der Unruhe-Tab ist - wie gedacht - verschwunden.

Einen angenehmen Wochenauftakt für Dich.

Cheers

Die Add-Ons, die ich in Gebrauch hatte, sind alle eine Stunde nach dem Re-Set automatisch nachgerutscht - denke, das ist durch die Sync mit dem FF-Konto geschehen. Habe den FRST-Durchlauf wiederholt. Von dem fraglichen Tab ist dennoch keine Spur mehr.

Schritt 1

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: C:\WINDOWS\system32\Drivers\etc\hosts.*.backup DeleteQuarantine: Reboot: End::
Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias,

hätte Dir ja noch gern das fixlog gesendet, allerdings hatte dieses schon das TBCleanUpTool mitgenommen. Dankeschön jedenfalls für die Hilfe. Das Thema kannst Du getrost aus Deinen Abos nehmen.

Lässt sich eigentlich ein Fazit ziehen, was für eine Art von Malware das gewesen ist? Würde mich ja schon mal interessieren.

Ansonsten: Alles Gute für Dich.

Cheers

Was war höchstwahrscheinlich (ausgehend von deinen Beschreibungen) Adware.

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.