Windows 10 - HTML-Datei ohne eigenes Zutun auf Desktop erschienen
 

Guten Abend und vielen Dank im Voraus für die Unterstützung.

Vorgestern war mein Rechner an, aber unbeaufsichtigt mit geöffnetem Firefox. Gegen 01 Uhr nachts (6.12.) entdeckte ich ein neues geöffnetes Tab mit Hinweis auf ein Sicherheitsprogramm. Die Seite sah sehr unprofessionell aus (hauptsächlich Text und Zeilen mit rotem Hintergrund). Mir fiel sofort auf, dass die Adresszeile im Browser auf eine Datei mit HTM-Endung auf dem Desktop verwies. Geschockt habe ich sofort den Tab geschlossen und die Datei, die auch tatsächlich auf dem Desktop lag, gelöscht (SHIFT+ENTF). Im zweiten Moment habe ich das natürlich bereut, da ich jetzt weniger sachdienliche Hinweise (Dateiname...) geben kann.

Aus Angst vor Ransomware oder anderen Manipulationen habe ich den Rechner bis jetzt nicht neu gestartet. Ich habe einen umfassenden Scan mit Avira Free Antivirus gestartet, der vier Sachen gefunden hat. Ich glaube aber, dass das nur alte Sachen aus der Quarantäne eines anderen Programms waren. Malwarebytes Premium lief ebenso während der Infektion, hat bei allen Scans danach aber nichts gefunden. Bei Avira finde ich die Logfiles nicht und habe die Meldungen abgetippt.

Netzverbindung habe ich natürlich sofort unterbrochen. Bei der Verwendung von FRST konnten entsprechend keine Updates geladen werden.

FRST.txt
Zu groß > siehe Anhang

Addition.txt
Malwarebytes letzter Scan
Von Avira erkannte Bedrohungen (abgetippt)

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.






Den Inhalt der FRST.txt bitte noch posten, nichts anhängen.
Ggf. den Inhalt auf mehrere Posts aufteilen.

Alles klar:

FRST.txt

Lass die Kiste wieder ans Internet, ich sehe da keine Ransomware, nur Reste von Adware. Auch FRST soll sich updaten.





Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden:

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • SpaceSoundPro
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallation
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

• Netzverbindung wiederhergestellt
• Deinstallation SpaceSoundPro Service nicht möglich, Fehlermeldung: "C:\Program Files (x86)\SpaceSondPro\uninstall.exe" konnte nicht gefunden werden.
• Den Ordner SpaceSondPro kann ich im Verzeichnis auch manuell nicht finden, auch nichts ähnliches (Sound statt Sond...), versteckte Elemente sind eingeblendet
• Es läuft dem TaskManager nach auch kein Prozess mit dem Namen SpaceSoundPro o.Ä.
• Neustart dennoch durchgeführt, dann FRST wieder laufen lassen

FRST.txt

Addition.txt

Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.







Schritt 4

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: SpaceSoundPro;Space Sound Pro

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei von AdwCleaner
• die Logdatei des FRST-Suchlaufs (Search.txt)

AdwCleaner

FRST-Search
Jetzt schon danke für den sensationellen Profi-Service! So schön, den Rechner wieder am Netz zu haben.

Schritt 5

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\zz.11111.ssp
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3261723829-2711565701-2077525560-1001\...\Run: [] => [X]
Task: {2E0C849F-D831-45EC-9B78-32DA77FE69F1} - \CCleanerSkipUAC -> Keine Datei <==== ACHTUNG
Task: {60DA5F2B-FFA1-4B5C-A7FD-911CE0CC4062} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {72DE720C-0397-4E04-99C9-43690AC3CDEA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {7708C8E5-451B-4701-A86A-9D85B3361A19} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {8D26B48D-DBFE-4C29-8098-760296AF8BF0} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Task: {9A3A8161-B5AF-4F7D-B448-DBCBCF2F40CE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {B86FB986-760D-499C-8C37-28E522372F1B} - \Microsoft\Windows\Setup\GWXTriggers\Time-3xd -> Keine Datei <==== ACHTUNG
Task: {BEE595C0-2C84-4B5D-AA48-4CF74F7FE6F9} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Keine Datei <==== ACHTUNG
Task: {E3D9AA66-6437-4938-9410-AF51E8B4D9B3} - System32\Tasks\{9B667A1F-19B7-4F56-B34A-F9B0A20DB065} => C:\Windows\system32\pcalua.exe -a C:\Users\Peter\AppData\Local\Temp\Temp1_Realtek_Win8-64_Win8(v8003).zip\LAN(v8003)\AutoInst.exe <==== ACHTUNG
Task: {F7BADDC2-54E3-48CB-9C1A-2364FC6F9B1C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Toolbar: HKU\S-1-5-21-3261723829-2711565701-2077525560-1001 -> Kein Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Keine Datei
CMD: ipconfig /flushdns
CMD: netsh winsock reset
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 6

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Löschen 1. Durchlauf (Fehlermeldung Avira "Zu Ihrer Sicherheit wurde der Zugriff auf die Hosts-Datei blockiert")

Fixlog.txt 1. Durchlauf
Nach Neustart Avira deaktiviert und Löschen wiederholt.

Fixlog.txt 2. Durchlauf

FRST.txt

Addition.txt

Schritt 6

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

So, im letzten Schritt nochmal was verbockt... Nach dem Cleanup ist natürlich auch das letzte zu postende Log weg, sorry! Sah aber alles gut und ordnungsgemäß aus.

Ganz, ganz großes Kino hier. 1000 Dank für alles! Da kann man wieder ruhig schlafen.

Spende ist über Paypal angewiesen. Weiter so, schön, dass es Euch gibt. :dankeschoen:

Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.