Win 10, ThinkPad
 

Habe den Eindruck das der Rechner nicht ganz rund läuft,
was kann ich davon mit HiJackThis fixen?

:dankeschoen:

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Du hast ein Thema im Malwarebereich eröffnet.
Wieso denkst du, dass dein System mit Malware infiziert ist?
Welche Probleme treten auf?

HijackThis ist seit Jahren veraltet. Darf ich fragen, warum du es ausgeführt hast?


Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hallo Matthias, vielen Dank für Deine Antwort und die Unterstützung.

Ich habe den Eindruck, dass der Rechner (Intel I7 einige Jahre alt) langsamer geworden ist. Insbesondere bei Surfen im Internet werden, manche Inhalte gelegentlich nicht vollständig dargestellt oder erst mit Menüs erst mit Verzögerung geöffnet werden.

- Win 10 Pro ist aktuell, alle Updates drauf.
- Thunderbird und Firefox sind ebenfalls aktuell
- Malwarebytes, Spybot und Win Virenschutz liefern keine Auffälligkeiten.
- HiJackThis hatte ich mal vor ein paar Jahren genutzt, deshalb hatte ich es erneut genutzt.

Vielleicht liegt es auch nur an irgendeiner Technologie die aktualisiert werden muss, aber irgendwie könnte er besser laufen und ich wollte auf Nummer sicher gehen, dass niemand hier was auf dem Rechner heimlich installiert hat, was meine Kommunikation bremst.

hier der Inhalt aus FRST64, falls das noch aktuell ist. Der Inhalt ist aber auch auffällig lang wie ich finde:

Teil 2:

Teil 3:

Die von dir verwendete Version von FRST ist total veraltet. Da macht eine Analyse keinen Sinn.

Keine Ahnung, von welcher Seite du FRST geladen hast, aber anscheinend hast du unsere Anleitung "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" nicht durchgelesen... dort wird nämlich immer auf die neueste Version auf BleepingComputer verlinkt.

Bleeping Computer kann ich auf der Seite nicht finden:(

Geht es sonst mit dieser Version?

Ich verstehe dich nicht... mit diesem Post habe ich doch auf unsere Hinweise verlinkt.

Unter dem Punkt 2. "Informationen zusammenstellen" ist doch eine Anleitung für FRST zu finden:
Dort wird auch auf die FRST-64 direkt verlinkt... und wenn man auf den Link klickt, wird man direkt zum Download auf BleepingComputer weitergeleitet.


Was ist am Lesen und klicken von Links jetzt so schwer? :wtf:

Der Code unten ist doch aus der Version "Farbar Recovery Scan Tool (FRST) (x64) Version: 24-01-2021 01", oder nicht?
"Bleeping Computer" taucht namentlich nicht auf oder zumindest findet meine Browser-Suche den Begriff nicht, deshalb die Verwirrung.
Hier noch die Addition.txt:

--- --- ---

--- --- ---

--- --- ---

FRST erstellt immer 2 Logdateien.
Die Addition.txt von der neuen FRST Version hast du gepostet.
Die neue FRST.txt fehlt jedoch. Bitte nachreichen.

Ich habe folgende hier gepostet:

- Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 24-01-2021 01 (26-01-2021 11:51:49)

und

- Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 24-01-2021 01
durchgeführt (26-01-2021 11:49:44)


Ich werde die Software nochmal neu runterladen und dann beide Dateien dann nochmal posten, vielleicht passt es dann.
Vielen Dank für die Geduld.

Nein, brauchst du nicht.

Ich habe nicht gesehen, dass du die FRST.txt weiter oben (= über meiner letzten Antwort) gepostet hast... sowas solltest du lassen. Ich gehe immer von meinem letzten Post aus und schau mir an, was du für Logdateien danach gepostet hast.

Also wir fangen jetzt an. :)

Warum hast du Spybot installiert? Ich persönlich würde das deinstallieren, es hat keinen bedeutenden Mehrwert.

Ich sehe nur etwas PUP/Adware. Nichts Schlimmes.






Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
C:\Users\Think\AppData\Roaming\Mozilla\Firefox\Profiles\5gn9hi2f.default-1591865574563\prefs.js
CustomCLSID: HKU\S-1-5-21-1209848437-1841399802-3568628442-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Think\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1209848437-1841399802-3568628442-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Think\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => Keine Datei
CustomCLSID: HKU\S-1-5-21-1209848437-1841399802-3568628442-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Think\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von AdwCleaner
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Moin,
das sind ja gute Nachrichten, vielen Dank für die Gewissheit und die Mühe.

SpyBot installiere ich manchmal lasse es durchlaufen und deinstalliere es dann wieder, einfach um sicher zugehen. Ist schon wieder deinstalliert.

Hier nun im ersten Schritte das Fixlog:

Hier nun das Log vom AdwCleaner:
Log von FRST64 vom Hersteller BleepingComputer:
Log von Additionvom Hersteller BleepingComputer:

Gut gemacht. :)
Wir entfernen ein paar Reste (Schritt 1) und führen noch zwei Kontrollen durch (Schritte 2 und 3).
Wir haben es bald geschafft.





Schritt 1

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
BootExecute: autocheck autochk * sdnclean64.exe
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
AV: Spybot - Search and Destroy (Disabled - Out of date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8}
AS: Spybot - Search and Destroy (Enabled - Up to date) {4C1D9672-63FE-5C90-371E-8FDA591C5B75}
2021-01-26 17:59 - 2019-02-13 11:56 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2021-01-26 17:59 - 2019-02-13 11:56 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
HKLM\...\StartupApproved\Run: => "CL-23-5FA3121D-B884-4994-BF8B-4E288EF864E1"
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von EEK