Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 10 Pro 64 Bit: Firefox öffnet bei Google-Suche automatisch Tab mit Bing, Yahoo, Google et al. (https://www.trojaner-board.de/195754-windows-10-pro-64-bit-firefox-oeffnet-google-suche-automatisch-tab-bing-yahoo-google-et-al.html)

pastapasta 06.07.2019 04:48

Windows 10 Pro 64 Bit: Firefox öffnet bei Google-Suche automatisch Tab mit Bing, Yahoo, Google et al.
 
Hallo,

mein Firefox öffnet bei jedem Start automatisch nach wenigen Sekunden einen neuen Tab mit folgenden Seiten: bing.com, yahoo.com, google.com und anderen Suchseiten bis hin zu ebay.com. Die Suchseiten rotieren dabei munter durch. Augenscheinlich werden auch jeweils wahllos Suchwörter eingegeben (xbox, santa clara county, myspace, 7-eleven, jennifer aniston etc.). Der Tab schließt sich nicht selbständig. Wenn ich diesen schließe, öffnet sich nach minimaler Zeitdauer erneut ein Tab mit den gleichen Symptomen. Das Problem besteht seit zwei Tagen. Firefox war für mich aus nicht ersichtlichem Grund abgeschmiert, der restliche Laptop gleich mit, so dass ich kaltstarten musste. Seitdem ist der PC etwas langsamer unterwegs und die Benutzerkontensteuerung macht sich andauernd bemerkbar, wenn Programme geöffnet werden. Die Deaktivieren hält nicht lange vor. Die Performance von Firefox ist ebenfalls beeinträchtigt. Seit dem Kaltstart musste ich die Einstellungen erst wieder anpassen, die Add-Ons sind noch alle da, nur ihre Einstellungen fehlen teilweise.

Ich lehne diesen Fall an diesen Archiv-Fall an: https://www.trojaner-board.de/179080-windows-7-home-64-bit-firefox-oeffnet-google-suche-automatisch-tabs-bing-yahoo-search-socialdownloadr-com.html

Ich habe schon alles Mögliche versucht, um das Problem zu beheben. Malwarebytes, Adwcleaner, F-Secure, RogueKiller etc. Kein Erfolg. Die Logs habe ich schlauerweise vergessen. Aber ich werde sie nachliefern, nachdem ich die Tools noch einmal habe durchlaufen lassen.

Ich wäre echt glücklich, könnte mir jemand bei meinem Problem helfen ...

Vielen Dank bereits im Voraus.

Cheers


PS: Leider ist es mir wegen Überlänge nicht möglich, die FRST-Dateien als Code zu präsentieren, sie werden stattdessen angehängt.

pastapasta 06.07.2019 07:44

AdwCleaner
Code:

# -------------------------------
# Malwarebytes AdwCleaner 7.3.0.0
# -------------------------------
# Build:    04-04-2019
# Database: 2019-06-28.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    07-06-2019
# Duration: 00:00:41
# OS:      Windows 10 Pro
# Scanned:  27557
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [5978 octets] - [11/01/2019 17:36:17]
AdwCleaner[C00].txt - [5302 octets] - [11/01/2019 17:38:12]
AdwCleaner[S01].txt - [1396 octets] - [11/01/2019 22:02:59]
AdwCleaner[C01].txt - [1562 octets] - [11/01/2019 22:03:19]
AdwCleaner[S02].txt - [2333 octets] - [04/07/2019 22:02:59]
AdwCleaner[C02].txt - [2371 octets] - [04/07/2019 22:13:35]
AdwCleaner[S03].txt - [1699 octets] - [04/07/2019 22:31:36]
AdwCleaner[C03].txt - [1847 octets] - [04/07/2019 22:51:57]
AdwCleaner[S04].txt - [1821 octets] - [05/07/2019 00:25:30]
AdwCleaner[C04].txt - [1969 octets] - [05/07/2019 01:48:26]
AdwCleaner[S05].txt - [1859 octets] - [05/07/2019 01:53:46]
AdwCleaner[C05].txt - [2045 octets] - [05/07/2019 01:55:07]
AdwCleaner[S06].txt - [1981 octets] - [05/07/2019 02:09:36]
AdwCleaner[S07].txt - [2437 octets] - [05/07/2019 23:45:48]
AdwCleaner[C07].txt - [2511 octets] - [05/07/2019 23:51:29]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S08].txt ##########

Malwarebytes
Code:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 06.07.19
Scan-Zeit: 05:54
Protokolldatei: b9f80dfa-9fa1-11e9-be65-20256495c114.json

-Softwaredaten-
Version: 3.8.3.2965
Komponentenversion: 1.0.613
Version des Aktualisierungspakets: 1.0.11420
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.207)
CPU: x64
Dateisystem: NTFS
Benutzer: TOSHIBASAT\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 354912
Erkannte Bedrohungen: 4
In die Quarantäne verschobene Bedrohungen: 4
Abgelaufene Zeit: 13 Min., 37 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE, In Quarantäne, [6365], [249769],1.0.11420
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE, In Quarantäne, [6365], [249769],1.0.11420

Registrierungswert: 2
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE|DEBUGGER, In Quarantäne, [6365], [249769],1.0.11420
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SDFILES.EXE|DEBUGGER, In Quarantäne, [6365], [249769],1.0.11420

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

RogueKiller (erkennt nur SpyHunter als "Bedrohung")
Code:

RogueKiller Anti-Malware V13.3.1.0 (x64) [Jul  1 2019] (Free) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.18362) 64 bits
Gestartet in : Normaler Modus
Benutzer : ***** [Administrator]
Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe
Unterschriften : 20190705_101602, Treiber : Geladen
Modus : Standard-Scan, Scannen -- Datum : 2019/07/06 06:14:58 (Dauer : 00:56:20)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozesse ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Prozessmodule ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dienste ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[Hidden.From.Registry (Bösartig)] EnigmaFileMonDriver (0) -- system32\drivers\EnigmaFileMonDriver.sys -> Gefunden

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tasks ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Hosts-Datei ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Hosts-Datei ist zu groß

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Dateien ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Webbrowser ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


M-K-D-B 06.07.2019 11:36

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.





Zitat:

Ich lehne diesen Fall an diesen Archiv-Fall an: https://www.trojaner-board.de/179080...loadr-com.html
Jeder Fall ist einzigartig. Einfach sinnfrei irgendwelche Tool auszuführen, wie du es leider gemacht hast, ist kontraproduktiv und hilft uns überhaupt nicht. Und dann installierst du dir auch noch solche Tools, die oft nicht mehr richtig zu entfernen sind und nichts taugen...




Hast du überhaupt unsere Anleitung gelesen, bevor du dein Thema eröffnet hast?

Bitte beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?




Zudem hast du keine Logdateien der Tools mit relevanten Funden gepostet... die neuen Logdateien von Adwcleaner und MBAM sind ja schön und gut... interessanter wären die ersten Logfiles gewesen.
Wie soll man da noch einen Überblick bekommen? Richtig... gar nicht. Und ich soll jetzt schauen, dass das wieder läuft... schauen wir mal, was sich noch machen lässt. :D

Bitte keine Alleingänge mehr, wenn du von Malwareentfernung keine Ahnung hast! ;)






Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden:
  • Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
    • AVG PC TuneUp
    • HitmanPro
    • RogueKiller
    • Spybot
    • SpyHunter
    • Zemana AntiMalware
  • Starte den Rechner im Anschluss neu auf.
  • Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.







Schritt 2
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • eine Rückmeldung bezüglich der Deinstallationen,
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

pastapasta 06.07.2019 17:52

Hallo Matthias,

vielen lieben Dank für Deine Hilfe.

Die Deinstallation hat jeweils geklappt (soweit ich das beurteilen kann).

Die neuen Logdateien erhältst Du im Anhang.

Ein schönes Wochenende für Dich.
Cheers

M-K-D-B 06.07.2019 20:04

Zitat:

Zitat von pastapasta (Beitrag 1719404)
Ein schönes Wochenende für Dich.

Ebenso. :)







Schritt 1
Downloade Dir bitte SpyHunterCleaner und speichere es auf dem Desktop.
  • Schließe alle offenen Programme.
  • Starte die SpyHunterCleaner.bat.
  • Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
  • Es öffnet sich ein schwarzes Fenster der Kommandozeile.
  • Drücke eine beliebige Taste, um den Entfernungsprozess zu starten.
  • Am Ende wird dein Rechner automatisch neu gestartet, um die Bereinigung abzuschließen.







Schritt 2
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:

    Start::
    CloseProcesses:
    HKU\S-1-5-21-2863377994-3076818292-4038221420-1004\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) [Datei ist nicht signiert]
    C:\Program Files\Common Files\AV\Spybot - Search and Destroy
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Task: {01A03719-69D0-4BDD-9129-67395034D901} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG
    Task: {0E2C6A2B-A643-4727-88ED-D7905F4DC68F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
    Task: {1C366804-3824-4DDE-B0C1-AA2E4D8F4830} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
    Task: {210DE37E-BB9D-4385-A9BF-049DC0607F37} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
    Task: {234A3CB7-FCEA-44AC-8EA1-E6F8241AD63B} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
    Task: {2511A38D-85CD-41E6-8EA6-AC1DAFF05A33} - \Microsoft\Windows\Setup\gwx\rundetector -> Keine Datei <==== ACHTUNG
    C:\Program Files (x86)\AVG
    Task: {289E7FFC-04E0-4B54-839D-B35A4B5D12B4} - System32\Tasks\{A06B41B3-82A8-4A68-9B62-9100B8B927DB} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\LucasArts\Monkey Island Collection\Monkey2\Monkey2.exe" -d "C:\Program Files (x86)\LucasArts\Monkey Island Collection\Monkey2"
    Task: {526CED37-62A9-4127-9C28-B4B3B83D8258} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
    Task: {6477ABFC-7BDE-4292-95B2-E68B3FF6BC93} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
    Task: {670C35A8-9026-4DC5-AB3E-F5037446A852} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
    Task: {7CCA62CE-1DA8-4F77-8F44-94380846127D} - \WPD\SqmUpload_S-1-5-21-2863377994-3076818292-4038221420-1004 -> Keine Datei <==== ACHTUNG
    Task: {7DE73F3B-1A29-4DF3-BC10-8FAFBA12D663} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Keine Datei <==== ACHTUNG
    Task: {94323D39-A91F-4F30-806F-B9C05CD40AC8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
    Task: {9A595117-88C0-4D9A-8AB9-561FC89E9870} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    Task: {A77277B3-499F-4EB2-86FF-0800315E5AF0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG
    Task: {D8EBD8A3-20E5-4EF0-AC77-2E16E3216ED0} - System32\Tasks\Updates\Security Update Checker => C:\Users\CurrentUserName\AppData\Roaming\Microsoft\SysHex.exe <==== ACHTUNG
    C:\Users\CurrentUserName\AppData\Roaming\Microsoft\SysHex.exe
    Task: {E08E51BC-AAB2-4D8C-9CAB-1A2A83186AB5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
    Task: {E0FA7754-D091-47C7-BCBF-67C80D5AC2C1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
    Task: {EC17BC93-5008-415D-A5A3-C8128E2A01B9} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Keine Datei <==== ACHTUNG
    Task: {EE47DF8D-5D28-42AC-931C-D4130BAE1E48} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
    Task: {F15AE4C1-3988-4758-9A84-EF9CAC1DA90A} - System32\Tasks\AdwCleaner_onReboot => D:\Downloads\adwcleaner_7.3.exe [7025360 2019-07-04] (Malwarebytes Corporation -> Malwarebytes)
    HKU\S-1-5-21-2863377994-3076818292-4038221420-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG
    Toolbar: HKU\S-1-5-21-2863377994-3076818292-4038221420-1004 -> Kein Name - {BFD9D8A8-57FF-488A-B919-065EC77CF82F} -  Keine Datei
    FF user.js: detected! => C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\user.js [2019-07-04]
    FF Extension: (Secure Login (Embedded WebExtension)) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\@slogin.xpi [2017-08-23] [Legacy]
    FF Extension: (Adblock Plus Pop-up Addon) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\adblockpopups@jessehakanen.net.xpi [2016-04-29] [Legacy]
    FF Extension: (checkCompatibility) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\check-compatibility@dactyl.googlecode.com.xpi [2016-04-27] [Legacy]
    FF Extension: (Element Hiding Helper for Adblock Plus) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\elemhidehelper@adblockplus.org.xpi [2017-04-13] [Legacy]
    FF Extension: (FloatNotes) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\floatnotes@felix-kling.de.xpi [2016-04-29] [Legacy]
    FF Extension: (Hide Fullscreen Alert) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\hidefullscreenalert.vaka@gmail.com.xpi [2016-06-25] [Legacy]
    FF Extension: (No Flash) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\jid1-cplLTTY501TB2Q@jetpack.xpi [2016-03-04] [Legacy]
    FF Extension: (NoSquint) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\nosquint@urandom.ca.xpi [2016-04-29] [Legacy]
    FF Extension: (Secure Login) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\secureLogin@blueimp.net.xpi [2017-02-25] [Legacy]
    FF Extension: (Session Manager) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi [2017-01-31] [Legacy]
    FF Extension: (Searchbar Autosizer) - C:\Users\CurrentUserName\AppData\Roaming\Mozilla\Firefox\Profiles\fbjt63z5.default-1458256819445\Extensions\{655397ca-4766-496b-b7a8-3a5b176ee4c2}.xpi [2016-04-27] [Legacy]
    FF Extension: (Foxit PDF Creator) - C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\Creator\FirefoxAddin\FFExtnHTML2PDF.xpi [2017-10-09] [Legacy]
    S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X]
    2019-07-06 01:31 - 2019-07-06 01:31 - 000012872 _____ (SurfRight B.V.) C:\WINDOWS\system32\bootdelete.exe
    2019-07-05 01:13 - 2019-07-05 01:13 - 000000000 ____D C:\Users\CurrentUserName\AppData\Local\Zemana
    2019-07-05 01:12 - 2019-07-06 16:33 - 000277876 _____ C:\WINDOWS\ZAM.krnl.trace
    2019-07-06 17:47 - 2016-07-24 16:21 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2019-07-06 17:44 - 2018-10-25 14:31 - 000000000 ____D C:\Users\CurrentUserName\AppData\Local\AvgSetupLog
    2019-07-06 17:44 - 2018-04-26 23:48 - 000000000 ____D C:\Program Files (x86)\AVG
    2019-07-06 17:44 - 2016-07-14 23:45 - 000000000 ____D C:\ProgramData\Avg
    2019-07-06 17:39 - 2016-07-24 16:21 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2018-04-26 22:16 - 2018-04-26 22:16 - 000000171 _____ () C:\Users\CurrentUserName\AppData\Roaming\1eb766f2-fed1-4d33-9c39-2c8a972fd11f
    2018-04-26 22:16 - 2018-04-26 22:16 - 000000304 _____ () C:\Users\CurrentUserName\AppData\Roaming\4e93aa11-2d46-4980-a421-0a4ac759e5bf
    2018-04-26 22:16 - 2018-04-26 22:16 - 000000175 _____ () C:\Users\CurrentUserName\AppData\Roaming\fc19ece2-6b3f-4f22-8758-9651ab9ca388
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\qtcghuwp.sys:changelist [590]
    HKLM\...\StartupApproved\Run32: => "AvgUi"
    HKLM\...\StartupApproved\Run32: => "SDTray"
    HKU\S-1-5-21-2863377994-3076818292-4038221420-1004\...\StartupApproved\Run: => "SpybotPostWindows10UpgradeReInstall"
    Folder: C:\Windows\System32\Tasks\Updates
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    Unlock: C:\WINDOWS\system32\drivers\etc\hosts
    C:\WINDOWS\system32\drivers\etc\hosts
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::

  • Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • eine kurze Rückmeldung, ob SpyHunterCleaner durchgelaufen ist,
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

pastapasta 06.07.2019 20:48

Hallo Matthias,

der SpyHunterCleaner ist durchgelaufen.

Anbei erhältst Du die drei Log-Dateien.


Cheers

M-K-D-B 07.07.2019 09:27

Bevor wir weitermachen, habe ich noch folgende Fragen:

Wie läuft dein Rechner aktuell?
Gibt es noch Probleme mit Firefox mit sich selbst öffnenden Tabs?

pastapasta 07.07.2019 15:09

Hi Matthias,

ja, der selbstöffnende und Suchseiten durchrödelnde Tab ist immer noch quietschlebendig. Der PC erscheint im Ganzen ein wenig stabiler und auch schneller.

Dir einen schönen Sonntag ;).

Cheers

M-K-D-B 07.07.2019 19:55

Schritt 1
Bitte setze deinen Browser wie folgt zurück:
FF :::
Firefox zurücksetzen

Vorerst bitte keine Erweiterungen installieren, bis wir mit der Bereinigung fertig sind!







Schritt 2
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

pastapasta 08.07.2019 00:12

Hallo Matthias,

im Anhang bekommst Du die zwei Log-Dateien. Nochmal danke für Deine Hilfe.

Der Unruhe-Tab ist - wie gedacht - verschwunden.

Einen angenehmen Wochenauftakt für Dich.

Cheers

pastapasta 08.07.2019 01:29

Die Add-Ons, die ich in Gebrauch hatte, sind alle eine Stunde nach dem Re-Set automatisch nachgerutscht - denke, das ist durch die Sync mit dem FF-Konto geschehen. Habe den FRST-Durchlauf wiederholt. Von dem fraglichen Tab ist dennoch keine Spur mehr.

M-K-D-B 08.07.2019 10:57

Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:

    Start::
    C:\WINDOWS\system32\Drivers\etc\hosts.*.backup
    DeleteQuarantine:
    Reboot:
    End::

  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

pastapasta 08.07.2019 15:46

Hallo Matthias,

hätte Dir ja noch gern das fixlog gesendet, allerdings hatte dieses schon das TBCleanUpTool mitgenommen. Dankeschön jedenfalls für die Hilfe. Das Thema kannst Du getrost aus Deinen Abos nehmen.

Lässt sich eigentlich ein Fazit ziehen, was für eine Art von Malware das gewesen ist? Würde mich ja schon mal interessieren.

Ansonsten: Alles Gute für Dich.

Cheers

M-K-D-B 08.07.2019 19:30

Was war höchstwahrscheinlich (ausgehend von deinen Beschreibungen) Adware.





Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131